Zuverlässigkeit des betrieblichen Datenschutzbeauftragten

Sowohl die Datenschutz-Grundverordnung (DSGVO) als auch das Bundesdatenschutzgesetz (BDSG) stellen hohe Anforderungen an die Personen, die zum betrieblichen Datenschutzbeauftragten bestellt werden sollen. Diese Anforderungen lassen sich in die Bereiche der Fachkunde und der Zuverlässigkeit unterteilen. Insbesondere der Begriff der Zuverlässigkeit enthält jedoch keine klaren Konturen und Abgrenzungen – und sorgt daher in der Praxis öfter für Verwirrung. Was also bedeutet es, wenn ein Datenschutzbeauftragter zuverlässig sein soll?

Zuverlässigkeit als Anforderung an den Datenschutzbeauftragten

Zuverlässigkeit setzt zunächst einmal die persönliche Integrität des Datenschutzbeauftragten voraus. Diese beurteilt sich nach dem bisherigen Verhalten des Mitarbeiters im Unternehmen sowie seiner allgemeinen Charakterzüge. Die persönliche Integrität ist sehr wichtig, da der Datenschutzbeauftragte innerhalb des Unternehmens eine besonders hohe Vertrauensstellung in Anspruch nimmt. Er erhält von fast allen Abläufen und Vorgängen im Unternehmen Kenntnis und verfügt daher über ein sehr umfangreiches Wissen über das Unternehmen selbst, aber auch über dessen Mitarbeiter.

Der Datenschutzbeauftragte sollte stets eine neutrale Position im Unternehmen einnehmen, so dass sowohl der Betriebsrat und die Mitarbeiter als auch die Geschäftsführung ihn als unabhängige Instanz wahrnehmen und sich seiner Unvoreingenommenheit sicher sein können. Denn der Datenschutzbeauftragte stellt sowohl für Personal als auch für die Geschäftsführung die erste Instanz dar, die bei datenschutzrechtlichen Fragestellungen kontaktiert wird.

Oftmals kommt es zwischen den Parteien jedoch zum Konflikt, insbesondere was den Umgang mit Mitarbeiterdaten betrifft. Um seiner Vertrauensposition gerecht zu werden, ist es daher wichtig, auch in solchen Streitfällen stets neutral zwischen den Konfliktparteien zu stehen und sich keiner der beiden Seiten zugehörig zu fühlen.

Mögliche Interessenskonflikte des Datenschutzbeauftragten

Daneben darf der Datenschutzbeauftragte in keinem Interessenkonflikt stehen. Datenschutzbeauftragte müssen ihre Aufgaben in vollständiger Unabhängigkeit und Weisungsfreiheit ausüben können. Ein Interessenkonflikt könnte dann entstehen, wenn der Datenschutzbeauftragte sich selbst oder seine eignen Aufgaben kontrollieren müsste oder wenn er ein eigenes wirtschaftliches Interesse am Unternehmenserfolg hat.

Dies würde dem Zweck eines Datenschutzbeauftragten zuwiderlaufen, da dieser grundsätzlich eine neutrale Stelle darstellen soll, die den für den Umgang mit personenbezogenen Daten verantwortlichen Personen „auf die Finger schaut“. Daher ist eine Bestellung von Personen aus der Geschäftsführung sowie von verantwortlichen Personen aus dem Bereich Personal, EDV, Vertrieb oder Marketing nicht zulässig. Auch die Bestellung von Personen aus dem Betriebsrat ist grundsätzlich nicht empfehlenswert.

Als Faustregel lässt sich festhalten, dass all diejenigen, die für den Umgang mit personenbezogenen Daten verantwortlich sind, stets der Gefahr eines Interessenskonflikts ausgesetzt sind und daher grundsätzlich nicht in Frage kommen. Auch wenn es sich aus Sicht der Unternehmen anbietet, den IT-Leiter oder den Leiter der Rechtsabteilung zu bestellen, da diese teilweise schon die erforderliche Fachkunde mitbringen, ist hiervon strikt abzuraten. Es mag zwar wesentlich umständlicher sein, einem Unbeteiligten die erforderliche Fachkunde beizubringen, aber aus rechtlicher Sicht ist dies der einzig gangbare Weg, um sich nicht der Gefahr eines Bußgeldes auszusetzen.

Bei der Auswahl eines Datenschutzbeauftragten ist der in Frage kommende Kandidatenkreis also zunächst einmal anhand der Zuverlässigkeit zu sondieren und anschließend ist in einem zweiten Schritt nach dem Merkmal der Fachkunde auszuwählen. Bei vielen Unternehmen stellt sich aufgrund deren Größe jedoch bereits im Rahmen der Zuverlässigkeit das Problem, dass keine geeigneten Kandidaten mehr vorhanden sind.

Fazit: Geeignete Kandidaten sind intern nicht leicht zu finden

Unternehmen sollten schon vor der Benennung eines Datenschutzbeauftragten prüfen, ob es zu Interessenskonflikten kommen kann. Gegebenenfalls empfiehlt es sich, einen externen Datenschutzbeauftragten zu bestellen, sofern das Unternehmen einen Interessenskonflikt bei keinem geeigneten Mitarbeiter sicher ausschließen kann.

Aber auch externe Datenschutzbeauftragte dürfen natürlich keine Interessenskonflikte haben. Demnach kann ein externer IT-Verantwortlicher nicht auch gleichzeitig als Datenschutzbeauftragter bestellt werden.

Dieser aktualisierte Artikel erschien zuerst am 10. Dezember 2014.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Haftung des Datenschutzbeauftragten

Wer von einem Unternehmen als interner (betrieblicher) oder externer Datenschutzbeauftragter bestellt wird, nimmt gemäß der Datenschutz-Grundverordnung (DSGVO) nicht nur eine beratende Funktionen im Unternehmen ein, sondern auch eine überwachende. Mit dieser Verantwortung kommt auf den Datenschutzbeauftragten auch eine gewisse Haftung zu. Wann und in welchem Umfang der Beauftragte für Datenschutz haftet und wie sich Haftungsrisiken von internem und externem Datenschutzbeauftragten unterscheiden, erklären wir Ihnen in diesem Artikel.

Grundsätzliches zur Haftung des Datenschutzbeauftragten

Zuerst einmal sollte klargestellt werden, dass der Datenschutzbeauftragte nicht für die Datenverarbeitung oder Datenschutzverstöße des Verantwortlichen haftet. Im Rahmen seiner Stellung kann der Beauftragte für Datenschutz keine Weisungen erteilen und demnach Ursachen für Verstöße gegen das Datenschutzrecht nicht selbst abstellen.

Allerdings können sowohl das Unternehmen als auch Betroffene Schadensansprüche gegen den Datenschutzbeauftragten geltend machen: Beispielsweise haftet er dem Verantwortlichen gegenüber, wenn dem Verantwortlichen ein Schaden (z.B. Bußgeld durch die Aufsichtsbehörde) entsteht, welcher auf eine falsche Beratung zurückzuführen ist.

Für Schäden von Betroffenen kommt eine Haftung des Beauftragten für Datenschutz in Betracht, wenn der Verantwortliche z.B. aufgrund einer objektiv falschen Beratung eine datenschutzrechtlich unzulässige Maßnahme durchführt, aufgrund welcher ein Betroffener einen Schaden erleidet. Mangels vertraglicher Beziehungen löst solch eine Handlung einen deliktischen Anspruch des Betroffenen aus.

Welches finanzielle Risiko geht mit der Haftung einher?

Interner Datenschutzbeauftragter

Der interne Datenschutzbeauftragte ist beim Auftraggeber als Arbeitnehmer beschäftigt und genießt daher die Vorteile des sogenannten „innerbetrieblichen Schadensausgleichs“. Danach muss ein Schaden nur dann vom Mitarbeiter aus der eigenen Tasche gezahlt werden, wenn er vorsätzlich oder grob fahrlässig verursacht wurde:

  1. Im Falle der groben Fahrlässigkeit ist bei einem deutlichen Missverhältnis zwischen der Schadenshöhe und dem Einkommen des Datenschutzbeauftragten jedoch auch eine Haftungserleichterung möglich.
  2. Bei mittlerer Fahrlässigkeit wird der Schaden zwischen Arbeitgeber und Arbeitnehmer aufgeteilt. Wie hoch der Anteil des Datenschutzbeauftragten ist, hängt dabei von den Umständen des konkreten Falles ab.
  3. Im Ergebnis trägt aber nur bei leichter Fahrlässigkeit der Arbeitgeber den Schaden komplett und kann nicht auf den internen Datenschutzbeauftragten zurückgreifen.

Dabei ist es wichtig zu wissen, dass „grob fahrlässig“ auch handelt, wer Aufgaben übernimmt, die er vorhersehbar nicht ordentlich erledigen können wird – etwa wegen mangelnder Fachkunde.

Diese Regelungen gelten, sofern im Arbeitsvertrag oder im Rahmen der Bestellung keine für den Datenschutzbeauftragten besseren Regelungen getroffen wurden. Schlechtere Haftungsregelungen für den Datenschutzbeauftragten wären im Arbeitsvertrag allerdings grundsätzlich unzulässig.

Externer Datenschutzbeauftragter

Der externe Datenschutzbeauftragte ist im Gegensatz zum internen Datenschutzbeauftragten beim Auftraggeber nicht angestellt.  Ein externer Datenschutzbeauftragter profitiert demnach nicht vom „innerbetrieblichen Schadenausgleich“. Demnach haftet der externe Datenschutzbeauftragte gegenüber dem jeweils Geschädigten schon bei leichter Fahrlässigkeit in voller Höhe.

Immer wieder gibt es auch Fälle, in denen ein angestellter – also interner – Beauftragter für Datenschutz gleichzeitig andere Unternehmen im Konzern betreut. Sofern der Datenschutzbeauftragte hier nicht angestellt ist, ist er bei diesen Unternehmen dann externer Datenschutzbeauftragter.

Welche strafrechtlichen Aspekte betreffen den Datenschutzbeauftragten?

Da der Datenschutzbeauftragte selbst keine Weisungsbefugnisse hat und für die Umsetzung des Datenschutzes nicht verantwortlich ist, kann er sich nur wegen Beihilfe zu Datenschutzverletzungen strafbar machen. Das wäre insbesondere dann der Fall, wenn der Datenschutzbeauftragte eine datenschutzrechtlich unzulässige Aktion – aus welchen Gründen auch immer – bewusst „durchgehen lässt“.

Wie können sich Datenschutzbeauftragte gegen Haftung absichern?

Sorgfältige Arbeit ist ohne Zweifel die beste Absicherung für einen Datenschutzbeauftragten. Dazu gehören neben eigener Sach- bzw. Fachkunde und regelmäßiger Fortbildung auch die genaue Dokumentation der eigenen Arbeit. Als letzter Ausweg muss die Einschaltung der Aufsichtsbehörde in Betracht gezogen werden. Die Argumente für die getroffene Entscheidung über die Einschaltung sind ebenfalls zu dokumentieren.

Gerade beim Konzern-Datenschutzbeauftragten gibt es darüber hinaus häufig auch den Wunsch, diesen von allen Haftungsrisiken bestmöglich zu befreien. Die DSGVO stellt deutlich hohe und ggf.  existenzbedrohende Bußgelder und Sanktionen für Datenschutzverletzungen in Aussicht. Um den Konzern-Datenschutzbeauftragten vor solchen Zahlungen bestmöglich zu schützen, sind daher Vereinbarungen möglich, wonach die betreffenden Unternehmen die Schadenersatzforderungen in den relevanten Fällen selbst tragen und den Beauftragten für Datenschutz von der Haftung freistellen. Eine andere Möglichkeit wäre, eine Berufshaftpflichtversicherung für den betreffenden Angestellten abzuschließen.

Wichtig ist: Weder Freistellungserklärung noch Versicherung dürfen dazu führen, dass der Datenschutzbeauftragte seine Arbeit schleifen oder in kritischen Situationen den Arbeitgeber gewähren lässt. Denn vorsätzliches Handeln ist bei Freistellungserklärungen und Versicherungen immer ausgenommen, grob fahrlässiges Handeln in der Regel auch. In diesen Fällen würde der Datenschutzbeauftragte also dennoch selbst haften.

Dieser aktualisierte Artikel erschien zuerst am 15. April 2011.

In unserem kostenlosen Whitepaper zum betrieblichen Datenschutzbeauftragten finden Sie alle Informationen zu Voraussetzungen, Stellung und Aufgaben.

Patientenakten und Datenschutz: Was müssen Ärzte bei einer Praxisübernahme beachten?

Wechselt eine Arztpraxis ihren Besitzer, stellt sich die Frage, ob der Nachfolger die Patientenakten vom Vorgänger einsehen und benutzen darf. Denn natürlich lohnt es sich für den neuen Arzt, den Patientenstamm zu übernehmen, weil so ein Kerngeschäft bereits vorhanden ist. Doch bei den vorhandenen Patientenakten des Vorgängers ist neben dem klassischen Patientengeheimnis auch der Datenschutz zu beachten. Immerhin handelt es sich bei Gesundheitsdaten um besondere personenbezogene Daten, welche besonders schützenswert sind. Wie mit alten Patientenakten bei Praxisübernahme oder Praxisauflösung umgegangen werden sollte, erfahren Sie in diesem Artikel.

Dürfen Patientenakten „vererbt“ werden?

Da hinter jeder Patientenakte das Vertrauensverhältnis zwischen Arzt und Patient steht und dieses Vertrauensverhältnis nicht einfach auf einen Dritten erweitert werden kann, ist nicht davon auszugehen, dass Patientenakten ohne weiteres an einen Nachfolger übergeben werden können. Ein Patient, der die Behandlung eines bestimmten, nämlich seines Arztes gesucht hat, will nicht automatisch von dessen Nachfolger behandelt werden. Konsequenterweise muss das auch bei der Aktenverwaltung berücksichtigt werden.

Wie sollten Patientenakten nach Praxisübergabe behandelt werden?

Das Unabhängige Landeszentrum für Datenschutz (ULD) in Schleswig-Holstein schlägt für Praxisübernahmen bzw. -übergaben das sogenannte „Zwei-Schrank-Modell“ vor. Danach werden die Patientenakten des Vorgängers in einem anderen Schrank gelagert, als die Akten des Nachfolgers. Der Nachfolger hat keine Erlaubnis, auf die Patientenakten des Vorgängers zuzugreifen. Im Fall einer elektronischen Aktenverwaltung sollte durch Zugangsbeschränkungen ebenso verfahren werden. Ein Zugriff auf die Akte des Vorgängers sollte demnach standardmäßig für den Nachfolger ausgeschlossen sein.

Natürlich kann der Nachfolger die Bestandspatienten über den Umstand des Praxisübergangs aufklären und fragen, ob er die angelegte Akte seines Vorgängers übernehmen darf. Sollte der neue Arzt jeweils die ausdrückliche Einwilligung der Patienten bekommen, so kann die vorhandene Akte ohne Probleme in die jetzt neu angelegte Akte übernommen werden. Dieser Vorgang sollte schriftlich dokumentiert und die Einwilligungserklärung Teil der neuen Patientenakte werden.

1. Ausnahme: Nachfolger-Arzt ist bereits bekannt

Wie immer bestätigen Ausnahmen die Regel. So kann eine Altakte vom nachfolgenden Arzt weiterverwendet werden, wenn dieser schon unter dem Vorgänger längere Zeit in der Praxis tätig war und erst im Nachhinein die Praxis erwarb. Dadurch war der Aktenzugriff ohnehin schon erlaubt, um eine effektive Behandlung durch die in der Praxis tätigen Ärzte zu gewährleisten. In der Regel dürfte der neue Arzt den Patienten dann auch bereits bekannt sein. Es wäre praxisfern hier noch eine separate Einwilligung zu fordern.

2. Ausnahme: Patientenakten beim Betriebsarzt

Eine weitere Ausnahme besteht bei Betriebsärzten, da hier das oben angesprochene Vertrauensverhältnis zwischen Arzt und Patient nicht in dieser ausgeprägten Form besteht. Zwar unterfällt der Betriebsarzt auch der ärztlichen Schweigepflicht. Allerdings ist er bestellt, um den Arbeitgeber bei Gesundheitsfragen in dessen Unternehmen zu unterstützen. Arbeitnehmer werden daher zu Pflichtuntersuchungen gebeten, damit der Arbeitgeber seiner Sorgfaltspflicht gegenüber seinen Arbeitnehmern in Bezug auf ein gesundes Arbeitsumfeld gerecht wird.

Allerdings bedeutet das nicht, dass Arbeitnehmer sich in allen medizinischen Fragen an den Betriebsarzt wenden müssen. Meist wird auch hier für spezielle medizinische Probleme auf den Hausarzt oder einen Spezialisten zurückgegriffen. Der Betriebsarzt hat im besten Falle also nur das verlangte Minimum an medizinischen Daten in seinen Aufzeichnungen – zumindest solange, wie Arbeitnehmer sich nicht auf freiwilliger Basis dem Betriebsarzt anvertrauen.

Bei einem Wechsel des Betriebsarztes wird daher davon ausgegangen, dass die Patientenakten an den neuen Betriebsarzt übergeben werden. Schließlich soll der in der Lage sein, die Aufgaben seines Vorgängers für den Arbeitgeber nahtlos weiter erfüllen zu können. Eine ausdrückliche Einwilligung der Mitarbeiter bzw. Patienten ist hier daher nicht vorgesehen. Aus Transparenzgrüngen sollte aber ein Wechsel des Betriebsarztes im Unternehmen deutlich kommuniziert werden.

Ferner ist auch zu beachten, dass bei einem Wechsel des Betriebsarztes zumindest eine Widerspruchsmöglichkeit für die Teile der Akte eingeräumt wird, die der Vorgänger außerhalb einer Pflichtuntersuchung angelegt hat. Mit anderen Worten: Die medizinischen Daten, die ein Patient dem Betriebsarzt freiwillig zugänglich gemacht hat, unterfallen eben nicht dieser Ausnahme und müssen für den neuen Betriebsarzt gesperrt werden.

Aufbewahrungspflichten für Patientenakten

In diesem Zusammenhang sei noch darauf hingewiesen, dass weder Altakten bei einer Praxisübernahme, noch Teile der Patientenakte bei einem Wechsel des Betriebsarztes gelöscht werden dürfen. Dies gilt auch, wenn eine Praxis mangels Nachfolger ganz geschlossen werden muss. Medizinische Akten sind in Deutschland zehn Jahre lang aufzubewahren. Patientenakten bzw. Teile dieser dürfen daher nur gesperrt werden (und müssen dies auch!), wenn die oben beschriebenen Voraussetzungen nicht vorliegen.

Im Falle der vollständigen Schließung einer Arztpraxis muss dies ebenso beachtet werden. Die Akten sind sicher zu verwahren, um einen späteren Zugriff durch den jeweiligen Patienten zu gewährleisten. Erst nach der gesetzlichen Frist dürfen die Akten vernichtet werden.

Dieser aktualisierte Artikel wurde zuerst am 19. November 2015 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

BREXIT – No-Deal mit der EU: Auswirkungen auf den Datenschutz

Am 15. Januar 2019 stimmte das britische Parlament über den von Premierministerin Theresa May ausgehandelten Brexit-Deal mit der EU ab. Das Votum ergab ein eindeutiges Ergebnis: No Deal. Diese Ablehnung des Brexit-Vertrages für den EU-Austritt könnte zu einem ungeregelten Austritt Großbritanniens aus der Union am 29. März 2019 führen. Doch was bedeutet das Votum für den Datenschutz in deutschen bzw. europäischen Unternehmen?

Der Brexit-Vertrag sah u.a. vor, dass das europäische Datenschutzrecht während einer Übergangsphase mindestens bis zum 31. Dezember 2019 gelten soll. Das wäre genug Zeit für die EU-Kommission gewesen, um über einen Angemessenheitsbeschluss gem. Art. 45 DSGVO entscheiden zu können. Denn nach dem Brexit wird Großbritannien ein sogenanntes Drittland im Sinne der Datenschutz-Grundverordnung (DSGVO). Die DSGVO sieht für einen Datentransfer in ein Drittland besondere Regelungen vor (Art. 44 – 49 DSGVO).

Ein No-Deal-Brexit bedeutet jedoch, dass es keine Übergangsfrist gibt und Großbritannien mit Austritt am 29. März 2019 wie ein Drittland behandelt wird. Es kann nicht erwartet werden, dass die EU-Kommission in dieser kurzen Frist einen Angemessenheitsbeschluss erlässt. Auch wenn mit dem näher rückenden Termin ein No-Deal-Szenario immer wahrscheinlicher wird, sind weitere Szenarien denkbar: Misstrauensvotum, Neuwahlen oder ein zweites Referendum. Unternehmen, die personenbezogene Daten mit Großbritannien austauschen, sollten die Entwicklung unbedingt weiter beobachten.

Was ist zu tun im Falle eines No-Deal-Szenarios?

Die EU-Kommission hat bereits im November 2018 bereits einen Notfallmaßnahmenkatalog für ein No-Deal-Szenario veröffentlicht. Aus Sicht des Datenschutzes ist erwähnenswert, dass der Katalog keinen Angemessenheitsbeschluss nach Art. 45 DSGVO enthält.

Datentransfer von der EU nach Großbritannien

In einem Informationsschreiben (Notice to stakeholder in the field of data protection), das sich an alle europäischen Bürger, Unternehmen und Mitgliedstaaten richtet, mahnt die EU-Kommission ausdrücklich, sich auf alle möglichen Szenarien vorzubereiten. Im Falle eines No-Deal-Brexit sind ab dem 30. März 2019 Datenübermittlungen nach Großbritannien nur möglich, wenn einer der vorgesehenen Mechanismen in Art. 44 ff. DSGVO ergriffen wird:

  • Feststellung der Angemessenheit des Datenschutzniveaus im Drittland durch die EU-Kommission (Art. 45 DSGVO)
  • Vorliegen geeigneter Garantien, z.B. Standardvertragsklauseln im Falle einer Auftragsverarbeitung (Art. 46 DSGVO)
  • Ausnahmen für bestimmte Fälle (Art. 49 DSGVO):
    • Einwilligung der Betroffenen (Art. 49 Abs. 1 Buchst. a) DSGVO)
    • Übermittlung zur Erfüllung eines Vertrags (Art. 49 Abs. 1 Buchst. b) DSGVO)
    • zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Art. 49 Abs.1 Buchst. e) DSGVO) oder
    • aus wichtigen Gründen des öffentlichen Interesses (Art. 49 Abs.1 Buchst. d) DSGVO)

Bitte beachten Sie, dass der Europäische Gerichtshof (EuGH) derzeit die Rechtmäßigkeit der EU-Standardvertragsklauseln prüft. Die Verwendung der Standardvertragsklauseln ist jedoch nach wie vor möglich und üblich. Bitte beobachten Sie aber auch hier die weitere Entwicklung.

Für Unternehmen in UK

Die britische Aufsichtsbehörde (ICO – Information Commissioner‘s Office) hat einen Leitfaden für britische Unternehmen für den Fall eines harten Ausstiegs aus der EU veröffentlicht. Hier werden folgende sechs Schritte empfohlen:

  1. Britische Unternehmen sollen sich weiter an die Bestimmungen der DSGVO halten und diese befolgen;
  2. Für den Datentransfer aus der EU/EWR nach Großbritannien: Überprüfung des Datentransfers, um sicherzustellen, dass ausreichende Sicherheitsvorkehrungen getroffen werden (siehe oben);
  3. Für den Datentransfer von Großbritannien in die EU/EWR: Beachtung der Bestimmungen des UK Data Protection Act 2018 zum internationalen Datentransfer (Chapter 5);
  4. Für Konzerne: europaweit tätige Konzerne sollten ihre Dokumente bzgl. des Datenschutzes überprüfen und gegebenenfalls anpassen;
  5. Bewusstsein für organisatorische Fragen: Sicherstellen, dass Personen in Schlüsselpositionen innerhalb eines Unternehmens sich der bevorstehenden Problematik bewusst sind und Pläne auf dem neusten Stand halten.

Das britische Ministerium für Kultur, Medien und Sport hat ebenfalls einen Leitfaden im Falle eines No-Deal-Ausstiegs veröffentlicht. Dieser beinhaltet folgende Leitaussagen:

  1. Großbritannien wird die Datenschutzgesetze aller EU/EWR-Mitgliedstaaten und Gibraltar im Sinne des UK Data Protection Act 2018 als angemessen behandeln. Demnach müssen keine weiteren Mechanismen für den Datentransfer von Großbritannien in die EU eingesetzt werden.
  2. Bestehende Angemessenheitsbeschlüsse (z.B. Schweiz) werden zunächst weiterhin von Großbritannien anerkannt. Somit kann ein Datentransfer in Länder mit Angemessenheitsbeschluss fortgesetzt werden.
  3. Es ist vorgesehen, dass Standard-Vertragsklauseln weiterhin auch mit Nicht EU/EWR-Mitgliedsstaaten verwendet werden können.
  4. Britische Unternehmen, die nicht in der EU vertreten sind (z.B. durch eine Niederlassung) müssen sich darauf einstellen, einen EU-Vertreter gemäß Art. 27 DSGVO zu benennen, sofern sie personenbezogene Daten von EU Bürgern verarbeiten bzw. Waren und/oder Dienstleistungen in der EU anbieten.

Fazit

Aufgrund der Ungewissheit bei der Brexit-Entwicklung bleibt die Frage, inwieweit der Transfer personenbezogener Daten zwischen Großbritannien und der EU/EWR in Zukunft ungehindert stattfinden kann. Von großer Bedeutung für sowohl EU/EWR-<Unternehmen als auch für britische Unternehmen ist demnach, ob Großbritannien von der EU als angemessenes Drittland angesehen wird. Dies würde den freien Datentransfer personenbezogener Daten aus dem EU/EWR-Raum weiterhin ermöglichen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Datenschutzkonformer Einsatz von Google Analytics

Google Analytics ist eines der verbreitetsten Analysewerkzeuge, um Zugriffe auf Websites und Nutzerverhalten auszuwerten. Für einen datenschutzkonformen Einsatz von Google Analytics müssen unter der EU-Datenschutz-Grundverordnung (DSGVO) allerdings einige Aspekte beachtet werden.

Datenschutzrechtliche Aspekte bei Google Analytics

Google verwehrt grundsätzlich die Speicherung personenbezogener Daten in Analytics, wertet die IP-Adresse allerdings nicht als solche. Des Weiteren kann eine Übertragung von Daten zu diesem Zweck in die USA nicht umgangen werden. Laut DSGVO zählen IP-Adressen jedoch zu den personenbezogenen Daten. Grundsätzlich bedarf es der ausdrücklichen Einwilligung eines Internetnutzers, dass seine personenbezogenen Daten durch den Websitebetreiber verarbeitet werden dürfen, soweit nicht ein Gesetz eine Rechtsgrundlage hierfür liefert (Art. 6 DSGVO).

Bis zum Inkrafttreten der DSGVO wurde § 15 Abs. 3 Telemediengesetz (TMG) als Rechtsgrundlage angesehen. Demnach konnte der Betreiber einer Website unter anderem für Zwecke der Werbung oder zur Optimierung der Website bei Verwendung von Pseudonymen Nutzungsprofile erstellen, sofern der Nutzer dem nicht widersprach. Voraussetzung war jedoch, dass der Benutzer per Widerspruchsrecht auf diese Nutzung hingewiesen wurde und der Betreiber die Nutzungsprofile nicht mit Daten über den Träger des Pseudonyms zusammenführte.

Um Google Analytics unter der DSGVO (weiterhin) datenschutzkonform zu betreiben, sind fünf Schritte notwendig:

1. Einholung der Einwilligung

Am 30. April 2018 veröffentlichte die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) ein Positionspapier, das sich mit den rechtlichen Anforderungen an das Tracking von Nutzern beschäftigt. Die DSK erhält die datenschutzrechtlichen Regelungen in § 15 TMG mit Geltung der DSGVO für nicht mehr anwendbar.

Soll also Google Analytics eingesetzt werden, muss die sogenannte informierte Einwilligung i. S. d DSGVO eingeholt werden, bevor Cookies platziert bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.

Achtung: Sofern sich Websitenbetreiber auf eine andere Rechtsgrundlage (bspw. berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO) berufen, weisen wir an dieser Stelle auf ein bestehendes Abmahn- und Sanktionsrisiko hin.

Praktische Umsetzung

Hierfür bieten sich je nach verwendetem Content-Management-System (CMS) der Website diverse Cookie-Consent-Plugins an. Websitebetreiber sollten jedoch sicherstellen, dass

  1. bis zur Einwilligung (z. B. durch Klick auf einen Button) wirklich kein Cookie gesetzt wird und
  2. keine automatische Einwilligung durch Scrollen, Navigation auf der Website oder sonstiges Ignorieren der Einwilligungsaufforderung erfolgt.

2. Auftragsverarbeitungsvertrag mit Google

Weil Google Zugriff auf die in Google Analytics erhobenen personenbezogenen Daten erhält, begründet sich ein Auftragsverarbeitungs-Verhältnis. Deswegen müssen Websitebetreiber mit Google einen Vertrag über Auftragsverarbeitung abschließen.

Praktische Umsetzung

Die DSGVO ermöglicht das „Unterschreiben“ eines Auftragsverarbeitungsvertrages (AVV) in digitaler Form. Daher kann man nun mit Google den AVV elektronisch abschließen. Weitere Infos stellt Google hier zur Verfügung.

Wer bereits vor dem 25. Mai 2018 den alten AVV mit Google abgeschlossen hat, muss diesen aktualisieren. Dafür reicht es, als Websitebetreiber den sogenannten „Zusatz zur Datenverarbeitung“ online zu bestätigen (siehe diese Anleitung von Google).

3. IP-Adressen anonymisieren

Eine Speicherung der vollständigen IP-Adresse der Besucher einer Website ist gemäß der DSGVO nicht erlaubt (Grundsätze der Zweckbindung und Datenminimierung). Deshalb muss die IP-Adresse der Nutzer gekürzt werden, damit nur pseudonymisierte Nutzerprofile erstellt werden können.

Praktische Umsetzung

Google bietet für die Kürzung der erhobenen IP-Adressen einen Javascript-Schnipsel an, der in den Trackingcode zu integrieren ist. Leider muss dies händisch geschehen (siehe diese Infos von Google), die Ausgabe eines fertig konfigurierten Trackingcodes ist nicht möglich.

4. Speicherdauer

Die Grundsätze der Zweckgebundenheit und der Speicherbegrenzung, die die DSGVO vorschreibt, müssen auch beim Einsatz von Google Analytics eingehalten werden. Google stellt Websitebetreibern mittlerweile Steuerelemente zur Datenaufbewahrung zur Verfügung. Der Betreiber einer Website kann nun zwischen verschiedenen Zeitspannen wählen und damit festlegen, wie lange Nutzer- und Ereignisdaten auf den Servern von Google gespeichert werden. Sobald die gewählte Aufbewahrungszeit abgelaufen ist, werden die betroffenen Daten dann grundsätzlich von Google Analytics automatisch gelöscht; ausgenommen hiervon sind Berichte, die auf aggregierten Daten basieren.

Praktische Umsetzung

Wie die Einstellung auf der Oberfläche von Google Analytics vorzunehmen ist, finden Sie hier. Wir empfehlen, einen Zeitraum von 14 Monaten für die Datenaufbewahrung einzustellen. Für längere Speicherfristen werden sich kaum Argumente finden.

5. Anpassung der Datenschutzerklärung

Zu guter Letzt ist eine Aktualisierung der Datenschutzerklärung auf der Website unumgänglich. Wie auch schon früher, muss ein Hinweis in der Datenschutzerklärung auf den Einsatz von Google Analytics zu finden sein. Dieser Hinweis muss den Benutzern auch weiterhin eine Möglichkeit geben, sich dem Tracking durch Google Analytics zu entziehen.

Allerdings enthält die DSGVO höhere Anforderungen an den Inhalt und Umfang der Erklärung. Besucher der Website müssen konkret darüber informiert werden, welche Daten wofür und in welchem Umfang genutzt werden und welche Datenschutzrechte dem Nutzer zustehen. Zusätzlich sind die Rechtsgrundlagen der Datenverarbeitung und die Speicherdauer sowie die Übermittlung an ein Drittland anzugeben.

Praktische Umsetzung

Für die Möglichkeit eines Opt-out sind mehrere Schritte anzuraten bzw. notwendig:

  1. Setzen Sie einen Link auf das Browser-Add-on zur generellen Deaktivierung von Google Analytics.
  2. Ermöglichen Sie das Setzen eines Opt-out-Cookies für die konkrete Website (insbesondere für Browser auf mobilen Endgeräten wichtig). Dafür muss ein von Google bereitgestelltes JavaScript per Klick auf einen Link in der Datenschutzerklärung ausgeführt werden. Wichtig ist dabei, dass die Funktionalität des Opt-out-Links erhalten bleibt. Da viele CMS Javascript blockieren, muss die Einbindung entweder über eine entsprechende Funktion des Templates (z. B. Code- oder Scriptfeld) oder mittels einer Pluginlösung erfolgen.
  3. Außerdem müssen Sie wiederum den Trackingcode von Google Analytics anpassen, damit der in der Datenschutzerklärung eingebaute Opt-Out-Link auch tatsächlich ein Cookie setzt. Mehr dazu finden Sie hier.

Die Schritte eins und zwei erledigen Sie am besten mit unserem kostenlosen Datenschutzerklärungs-Generator. Anschließend müssen Sie nur noch den Trackingcode anpassen.

Dieser aktualisierte Artikel wurde zuerst am 15. November 2010 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Cookies nur noch nach Einwilligung – Aufsichtsbehörden erschweren Webanalyse

Die Anwendbarkeit der EU-Datenschutz-Grundverordnung (DSGVO) steht unmittelbar bevor. Weil die gleichzeitig geplante ePrivacy-Verordnung der EU aber noch nicht in Kraft treten kann, stellt sich in einigen Bereichen die Frage nach der Anwendbarkeit der bestehenden nationalen Gesetze. Die deutschen Datenschutzaufsichtsbehörden sehen insbesondere beim Einsatz von Cookies – um z. B. das Nutzerverhalten auf Websites zu analysieren – Probleme. Sie fordern deswegen eine Einwilligung des Nutzers bevor Cookies gesetzt werden dürfen. Das aber würde der bisherigen Sichtweise zuwiderlaufen und im Zweifelsfall ganze Geschäftsmodelle vernichten.

Das Problem von DSGVO, ePrivacy-Verordnung und nationalem Recht

Während viele Unternehmen mit Hochdruck daran arbeiten, die neuen Vorschriften der DSGVO umzusetzen, diskutieren auch die Aufsichtsbehörden, wie die DSGVO konkret auszulegen ist. Für die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder stellt das Verhältnis zu bestehenden nationalen Gesetzen eine besondere Herausforderung dar. Dies liegt auch daran, dass der Gesetzgebungsprozess der ePrivacy-Verordnung der EU sich verzögert. In der ePrivacy-Verordnung soll u. a. der Einsatz von Cookies neu geregelt werden.

Mangels neuer Regelung stellt sich also die Frage, ob in Deutschland beim Einsatz von Cookies die bisher geltenden Vorschriften des Telemediengesetzes (TMG) noch anzuwenden sind. Die datenschutzrechtlichen Paragrafen des TMG dienten jedoch der Umsetzung der (alten) EU-Datenschutzrichtlinie, die durch die DSGVO abgelöst wurde. An letztere wurde das TMG bisher nicht angepasst.

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder zieht daraus den Schluss, dass der Anwendungsvorrang der DSGVO greift. In einem am 30. April 2018 veröffentlichten Positionspapier schreiben die Aufsichtsbehörden:

„Damit können die §§ 12, 13, 15 TMG bei der Beurteilung der Rechtmäßigkeit der Reichweitenmessung und des Einsatzes von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen, ab dem 25. Mai 2018 nicht mehr angewendet werden.“

Konsequenzen mit enormer Tragweite

Die Tragweite dieser Interpretation durch die Aufsichtsbehörden kann kaum überschätzt werden. Denn nun kommt als Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch Diensteanbieter von Telemedien nur noch Art. 6 Absatz 1 Buchstabe a) DSGVO in Betracht – also die eindeutige und freiwillig erfolgte Einwilligung der Betroffenen.

Sollen also Cookies eingesetzt werden, muss die sogenannte informierte Einwilligung i. S. d. DSGVO eingeholt werden, bevor Cookies platziert bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden. Bisher galt es als ausreichend, über den Einsatz von Cookies z. B. zu Analysezwecken zu informieren und auf die Widerspruchsmöglichkeit hinzuweisen. Nach Interpretation der deutschen Datenschutzaufsichtsbehörden muss nun mindestens ein Soft-Opt-in erfolgen, also etwa ein Bestätigungs-Button geklickt werden, bevor das Analyse-Cookie gesetzt werden darf. Ignoriert der Nutzer den Cookie-Hinweis und nutzt die Website weiter, ist keine Einwilligung gegeben!

Für die Nutzung von Google Analytics und vergleichbaren Tools zur Reichweitenmessung etc. könnte diese Sichtweise der Aufsichtsbehörden katastrophal sein. Im Zweifelsfall könnten ganze Geschäftsmodelle, die auf der Nutzung (pseudonymisierter) Nutzerdaten basieren, zusammenbrechen.

Es bleibt also abzuwarten, wie einzelne Datenschutzaufsichtsbehörden und Gerichte den Einsatz von Cookies zukünftig bewerten bzw. ob die ePrivacy-Verordnung neue Rechtsgrundlagen schafft, die praxistauglicher sind. Bis dahin kann nur empfohlen werden, den Einsatz von Cookies vom Opt-in der Nutzer abhängig zu machen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

4 Gründe warum die DSGVO für britische Unternehmen auch nach dem Brexit wichtig bleibt

Die datenschutzrechtlichen Folgen des Brexits – dem Austritt Großbritanniens aus der EU – sind derzeit nur begrenzt abzuschätzen. Verkomplizierend kommt hinzu, dass die europäische Datenschutz-Grundverordnung (DSGVO) bereits ca. zehn Monate vor dem Brexit anwendbar wird – auch in Großbritannien. Britische Unternehmen könnten angesichts des kurzen Zeitraums in Versuchung geraten, die neuen Datenschutz-Regelungen der DSGVO zu ignorieren. Es gibt jedoch vier wichtige Gründe, warum die Einhaltung der DSGVO für britische Unternehmen auch nach dem Brexit wichtig bleibt!

1. Angemessenheit des Datenschutzniveaus in Großbritannien

Sofern die EU-Kommission nicht in einem sogenannten Angemessenheitsbeschluss feststellt, dass Großbritannien über ein angemessenes Schutzniveau verfügt, unterliegt die Verarbeitung von personenbezogenen Daten durch britische Unternehmen hohen Anforderungen. Wie schwierig der Nachweis eines angemessenen Schutzniveaus sein kann, zeigt die Entscheidung des Europäischen Gerichtshofs (EuGH) zum Safe- Harbor-Abkommen, das Datentransfers zwischen der EU und den USA ermöglichte.

Bei der vertraglichen Sicherstellung ohne Feststellung der EU-Kommission wäre zudem zu berücksichtigen, dass das aktuelle Datenschutzniveau in Großbritannien im EU-Vergleich als eher gering zu bewerten ist.

2. Die DSGVO ist für EU-Bürger in jedem Fall anzuwenden

Viele britische Unternehmen werden weiterhin auf dem EU-Binnenmarkt tätig sein, um EU-Bürgern Produkte oder Dienstleistungen anzubieten. Sobald diese Unternehmen personenbezogene Daten von EU-Bürgern verarbeiten, müssen sie sich (weiterhin) an die DSGVO halten. Ein britisches Online-Reisebüro, das Flugtickets an Kunden mit einer Rechnungsadresse in der EU oder per E-Mail an einen in der EU ansässigen Kunden verkauft, unterliegt demnach den Regelungen der DSGVO. Britische Unternehmen müssen daher zunächst sicherstellen, dass eine solche Datenverarbeitung dem EU-Recht entspricht.

Für internationale Datentransfers ausschließlich innerhalb von Konzernen können alternativ Binding Corporate Rules (BCR) oder vertragliche Vereinbarungen auf Grundlage der EU-Standardvertragsklauseln als Grundlage eines angemessenen Datenschutzniveaus dienen. Eine Auftragsdatenverarbeitung ist bei Anwendung dieser zusätzlichen Instrumente nach der DSGVO auch in Drittstaaten möglich. Die Umsetzung von BCRs ist jedoch sehr aufwendig, da seitens der Aufsichtsbehörden detaillierte und umfangreiche Anforderungen an die Ausgestaltung gestellt werden. Standardvertragsklauseln sind demgegenüber einfacher umzusetzen und daher für sporadische Datenvermittlung praktikabler.

3. Die Nicht-Einhaltung der DSGVO ist viel zu riskant

Die DGVO enthält nicht nur zahlreiche neue Regelungen für Unternehmen, sondern auch hohe Geldbußen für die Nicht-Einhaltung der Verpflichtungen. Britische Unternehmen könnten bei Datenschutz-Verstößen mit bis zu 20 Mio. Euro oder bis zu 4 % des weltweiten Jahresumsatzes belangt werden – je nachdem welcher Betrag höher ist!

4. Zeitliche Überschneidungen von DSGVO und Brexit

Bis zum Vollzug des Brexit ist Großbritannien ein Mitgliedsstaat der EU. Demzufolge wird die DSGVO erst einmal direkte Anwendung finden. Für britische Unternehmen besteht also eigentlich gar keine Wahl, ob sie sich auf die DSGVO vorbereiten oder nicht. Zudem hat die britische Datenschutzbeauftragte angedeutet, bei Nichteinhaltung der DSGVO durchzugreifen und Sanktionen zu verhängen.

Fazit: Britische Unternehmen sind mit der DSGVO gut beraten

Während sich die Regierung Großbritanniens auf den Brexit vorbereitet, sind britische Unternehmen aus allen Sektoren gut damit beraten, weiterhin Vorbereitungen für die bevorstehende DSGVO zu treffen. Sollte die britische Regierung das nationale Datenschutzrecht nach dem Brexit nicht ohnehin an die DSGVO anpassen, müssen britische Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, dennoch die Vorschriften der DSGVO beachten. Darüber hinaus kündigte die britische Aufsichtsbehörde an, dass nach dem Brexit sehr ähnliche Standards gelten werden.

Dies ist eine aktualisierte Version des Artikels vom 18. April 2017.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!