Datenschutz- und Informationssicherheits-Herausforderungen 2024

Welche Themen werden Datenschützer und Informationssicherheits-Verantwortliche im Jahr 2024 besonders beschäftigen? Was sind die größten technischen, rechtlichen und organisatorischen Herausforderungen? Wo werden die Aufsichtsbehörden besonders hinschauen?

Experten von activeMind geben ihre Einschätzungen ab und wagen ihre persönliche Prognose für den Datenschutz und die Informationssicherheit im Jahr 2024.

Jure Globocnik

Jure Globocnik:

„Künstliche Intelligenz bringt zwar viele Herausforderungen, aber auch echte Chancen für Legal Tech“

Künstliche Intelligenz (KI) ist in aller Munde. Datenschutzexperten werden im Jahr 2024 noch mehr als bisher damit beschäftigt sein, KI-Tools zu bewerten und deren Nutzung derart (mit) zu gestalten, dass diese den datenschutzrechtlichen Anforderungen genügen. Der kommende AI Act der EU wird hier maßgeblichen Einfluss haben. Spannend werden aber auch die Sichtweisen der einzelnen Datenschutz-Aufsichtsbehörden auf das Thema – wie z.B. die des BfDI.

KI bietet für den Datenschutz aber auch Chancen. Mithilfe von KI ließen sich bspw. Auftragsverarbeitungs-Verträge prüfen, Regelungsdokumente automatisiert sichten oder gar Entwürfe solcher Dokumente erstellen. Außerdem könnte KI Datenschutzexperten bei der Erstellung von Verzeichnissen von Verarbeitungstätigkeiten und bei der Gewährleistung ausreichender technischer und organisatorischer Maßnahmen unter die Arme greifen. Davon werden wir im neuen Jahr sicherlich noch mehr sehen.

Dr. Evelyne Sørensen

Dr. Evelyne Sørensen:

„Datentransfers in die USA sind gerade möglich. Aber wer weiß wie lange noch?“

Seit dem 10. Juli 2023 gilt der neue Angemessenheitsbeschluss EU-U.S. Data Privacy Framework (DPF), welcher den Datentransfer in die USA neu regelt. Datentransfers aus der EU an US-Unternehmen, die den DPF-Zertifizierungsprozess durchlaufen haben, sind ohne weitere Datenschutz-Maßnahmen möglich.

Allerdings sind die Zweifel groß, dass sich das Datenschutzniveau für EU-Bürger in den USA grundsätzlich verbessert hat. Somit steht der Beschluss steht auf wackligen Füßen. Es ist somit nicht auszuschließen, dass auch das aktuelle DPF vom Europäischen Gerichtshof in naher Zukunft für ungültig erklärt wird.

Michael Plankemann

Michael Plankemann:

„Von den Vorgaben der NIS2-Richtlinie werden viel mehr Unternehmen betroffen sein als angenommen.“

Spannend dürften im kommenden Jahr die direkten und indirekten Auswirkungen der NIS2-Richtlinie und der dazugehörigen nationalen Umsetzung werden. Die Zahl der Stellen, die direkt verpflichtet werden, sich intensiver um die Cybersicherheit zu kümmern, steigt. Unbequem wird hierbei, dass dies nachgewiesen werden muss und teils recht kurzfristig zu erfüllende Meldepflichten bestehen. Da empfindliche Sanktionen vorgesehen sind und das Management persönlich in Verantwortung und Haftung genommen wird, dürfte das Thema ernst genommen werden.

Tatsächlich dürften noch weit mehr Unternehmen als von der Richtlinie vorgeschrieben gezwungen sein, sich auf die Vorgaben einzustellen, denn die Sicherheit der Lieferkette ist ausdrücklich vorgeschrieben. Es wäre nicht überraschend, wenn Auftraggeber künftig erwarten, dass auch Dienstleister und Lieferanten einen gleichwertigen Nachweis erbringen, um aufwändige eigene Prüfungen zu vermeiden.

Nicole Quirke

Nicole Quirke:

„Wer beim Whistleblowing den Datenschutz vergisst, kommt in Teufels Küche!“

Unternehmen mit 50 oder mehr Beschäftigten sind spätestens seit dem 17. Dezember 2024 verpflichtet, eine interne Meldestelle einzurichten, an die sich Arbeitnehmer wenden können, die rechtliche Verstöße im Betrieb melden wollen. Dafür bietet sich ein sogenanntes Hinweisgebersystem an, um nicht nur wirksam, sondern auch rechtsicher Meldungen annehmen und verarbeiten zu können. Da bei einer Meldung regelmäßig personenbezogene Daten verarbeitet werden, ist der Anwendungsbereich der EU-Datenschutz-Grundverordnung (DSGVO) eröffnet.

Um den Hinweisgeberschutz in Einklang mit dem Datenschutzrecht zu bringen, müssen neben den Vorgaben des Hinweisgeberschutzgesetztes (HinSchG) auch gleichermaßen die Vorgaben der DSGVO berücksichtigt werden. Hierzu gehören u.a. die Durchführung einer Datenschutz-Folgenabschätzung (DSFA), die Erfüllung entsprechender Informationspflichten sowie angemessene Maßnahmen zur Datensicherheit.

Christian Wegeler

Christian Wegeler:

„Die Nutzung von Gesundheitsdaten ändert sich maßgeblich. Wenn das mal gut geht …“

Am 14. Dezember 2023 fand die zweite und dritte Lesung des Gesetzes zur verbesserten Nutzung von Gesundheitsdaten (Gesundheitsdatennutzungsgesetz – GDNG) im Bundestag statt. Das GDNG soll voraussichtlich in der ersten Jahreshälfte 2024 in Kraft treten. Ziel des Gesetzes ist es die Nutzung der vorhandenen medizinischen und pseudonymisierten Daten im Sinne des Allgemeinwohls (Versorgung der Bevölkerung) zu erleichtern. Für den Zugriff der forschenden Industrie auf die gespeicherten Daten beim Forschungsdatenzentrum Gesundheit (FDZ) soll eine federführende Datenschutzaufsichtsbehörde zuständig sein.

Eine wesentliche Änderung für Patienten ergibt sich in der vorherigen Einwilligung. Zukünftig soll die Widerspruchslösung (Opt-out) für eine erhebliche Vergrößerung der Datenbasis sorgen. Es bleibt somit abzuwarten, ob ein Gleichgewicht zwischen dem Grundrecht auf informationelle Selbstbestimmung und dem Grundrecht auf Forschungsfreiheit erreicht werden kann.

Martin Röleke

Martin Röleke:

„Die lang erwartete Neuregelung des Beschäftigtendatenschutzes muss endlich kommen!“

Das durch die Bundesregierung noch für 2023 angekündigte, bereichsspezifische Beschäftigtendatenschutzgesetz lässt noch auf sich warten. Derzeit gibt es noch keinen Referentenentwurf, der konkretere Details aus dem geplanten Vorhaben preisgibt.

Die Latte liegt sehr hoch, insbesondere seit der Entscheidung des Europäischen Gerichtshofs, dass ein nationales, den Beschäftigtendatenschutz regelndes Gesetz, eine Datenverarbeitung abweichend von Art. 88 DSGVO nur dann enthalten darf, wenn speziellere Anforderungen auch formuliert wurden. Dagegen ist eine bloße Wiederholung einer Abwägungsvoraussetzung keine speziellere Norm und damit unanwendbar.

Ein eigenes bereichspezifisches Beschäftigtendatenschutz würde im Gegensatz zu der Generalklausel des § 26 BDSG diese Vorgabe erfüllen. Es bleibt mit Spannung zu erwarten, ob das Gesetz in der Lage ist, das vielerorts existierende rechtliche Vakuum zu schließen. Zu denken wäre beispielsweise an die Problematik des Fernmeldegeheimnisses im Rahmen des Arbeitgeber-Arbeitnehmer-Verhältnisses, die rechtliche Ausgestaltung von Telearbeit, Voraussetzungen für BYOD oder konkretisierende Regelungen zur Einwilligung im Bewerbungs- bzw. Beschäftigungskontext.

Geschrieben am:

Terrorlistenscreening – vereinbar mit dem Datenschutz?

Mit den EU-Anti-Terrorverordnungen (2580/2001/EG, 881/2002/EG und 753/2011/EG) soll die Finanzierung terroristischer Handlungen verhindert werden. Steht ein Mitarbeiter auf einer der Verordnungslisten, darf ihm kein Gehalt ausgezahlt werden. Auch mit terroristischen Kunden oder anderen Vertragspartnern darf kein Handel getrieben werden.

Doch können Unternehmen die sogenannten Terrorlisten überhaupt datenschutzkonform auswerten? Und falls ja, wie muss das Terrorlistenscreening ausgestaltet sein?

Was schreiben die EU-Anti-Terrorverordnungen vor?

Ca. 200 als Terroristen geltende natürliche Personen und ca. 70 als terroristisch eingestufte juristische Personen, Gruppen und Organisationen sind derzeit im Anhang I der Verordnung 881/2002/EG zu finden. Die Liste wurde zuletzt am 4. Juni 2022 geändert.

Die Terroristenliste der Verordnung 753/2011/EG umfasst demgegenüber 123 natürliche und juristische Personen, Gruppen, Unternehmen und Einrichtungen und wurde zuletzt am 13. April 2022 aktualisiert.

Gemäß Art. 3 Abs. 2 der Verordnung 753/2011/EG dürfen

„[d]en in Anhang I aufgeführten natürlichen oder juristischen Personen, Gruppen, Unternehmen und Einrichtungen […] weder unmittelbar noch mittelbar Gelder oder wirtschaftliche Ressourcen zur Verfügung gestellt werden oder zugutekommen.“

Ein ähnlicher Wortlaut findet sich in Art. 2 Abs. 2 der Verordnung 881/2002/EG. Bei einem Verstoß gegen die Verordnungen sind erhebliche Sanktionen möglich, von einer Geldbuße und Untersagung der Gewerbefortführung bis zur Freiheitsstrafe.

Wer muss die Terrorlisten screenen?

Nach Art. 14 Verordnung 753/2011/EG (ähnlich Art. 11 Verordnung 881/2002/EG) gilt diese u.a.

„d) für die nach dem Recht eines Mitgliedstaats gegründeten oder eingetragenen juristischen Personen, Gruppen, Unternehmen und Einrichtungen;

e) für juristische Personen, Gruppen, Unternehmen und Einrichtungen in Bezug auf Geschäfte, die ganz oder teilweise in der Union getätigt werden.“

Somit sind im Prinzip alle Unternehmen, die Geschäfte in Europa tätigen und / oder hier gegründet oder eingetragen sind, verpflichtet, die Verordnungen einzuhalten.

Ein (fortwährendes) Screenen der Listen wird in den Verordnungen allerdings nicht verlangt. Auch Artikel 14 k der Zollkodex-Durchführungsverordnung (ZK-DVO), der „Sicherheitsüberprüfungen“ und „regelmäßige Hintergrundüberprüfungen“ zur Voraussetzung für die Erlangung des mit Zollvorteilen versehenen Status „Zugelassener Wirtschaftsbeteiligter – AEO“ macht, enthält keine explizite Screening-Pflicht. Gleichwohl verlangt der Zoll auf Grundlage der Leitlinien „Zugelassener Wirtschaftsbeteiligter“ von antragstellenden Unternehmen die Bestätigung, dass die Terrorlisten im Rahmen der Sicherheitsüberprüfungen herangezogen werden (vgl. Fragekatalog zur Selbstbewertung – AEO Punkt 6.11.3 und 6.12.1.).

Ist der Abgleich (von Mitarbeiterdaten) datenschutzkonform?

Zunächst ist festzustellen, dass die Verordnungen als solche das Datenschutzrecht nicht überlagern bzw. verdrängen. Dies folgt u. a. aus dem Umstand, dass das Screening als solches in den Verordnungen nicht gefordert und somit auch nicht für zulässig erklärt wird.

Vor diesem Hintergrund hatten sich die Datenschutzbehörden in der Vergangenheit kritisch zu einem pauschalen und anlasslosen Screening von Mitarbeitern positioniert. Dieses könne weder als erforderlich angesehen werden, noch genüge es rechtsstaatlichen Prinzipien. Weniger bedenklich (allerdings uneinig) hatte sich der Datenschutzkreis gegenüber dem Screenen von Kundendaten gezeigt. Ausführlich und vergleichsweise differenziert hatte auch der (ehemalige) Bundesbeauftragte für den Datenschutz und die Informationsfreiheit zum Thema Stellung bezogen.

Der Bundesfinanzhof (BFH) hat die durch die Datenschützer mitverursachte Rechtsunsicherheit mit seinem Urteil vom 19. Juni 2012 beseitigt. Der BFH hält die Vorgabe des Zolls, das Erlangen des AEO-Zertifikats vom Screenen der Anti-Terrorverordnungen abhängig zu machen, für datenschutzkonform. Das Screenen könne als erforderlich angesehen werden; schutzwürdige Interessen der Mitarbeiter würden bereits aufgrund der geringen Sensivität der für den Abgleich erforderlichen Daten nicht überwiegen.

Was darf bzw. muss gescreent werden?

Hinsichtlich der Art der auszuwertenden Daten ist der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c, Art. 25 Abs. 1 DSGVO) zu beachten. Danach dürfen nur Stammdaten gescreent werden, wozu der Name, die Anschrift, das Geburtsdatum und / oder der Geburtsort zählen. Auch eine Pseudonymisierung der Daten sollte vor diesem Hintergrund geprüft werden.

Bewerber dürfen keinem Screening unterzogen werden, es sei denn, die Einstellung eines Bewerbers steht unmittelbar bevor. Grund hierfür ist, dass Bewerbern keine Gelder bereitgestellt werden, weshalb kein Verstoß gegen das Bereitstellungsverbot der Verordnungen denkbar ist. Hierdurch entfällt in der Interessenabwägung die komplette Interessenlage des Arbeitgebers.

Wann und wie oft muss gescreent werden?

Wohl auch angesichts der in den Verordnungen fehlenden Screening-Pflicht hat die Bundesregierung 2010 in einer Stellungnahme die Pflicht eines Unternehmens zu einem systematischen und anlassunabhängigen Abgleich seiner Kunden- und Mitarbeiterdateien verneint. Eine Screening-Pflicht bestehe „allenfalls nach Maßgabe von Sorgfaltspflichten“.

Angesichts der drohenden Sanktionen und der nunmehr (weitgehend) geklärten Datenschutzrechtslage sollten dennoch im Rahmen des betrieblichen Compliance-Managements, soweit praktisch sinnvoll und handhabbar, regelmäßige Abgleiche erfolgen.

Zur Ermittlung einer sinnvollen Prüffrequenz kann bei (kleinen) ressourcenschwachen Unternehmen auf die in den benannten Leitlinien aufgestellte Mindestprüfpflicht von einem Jahr abgestellt werden. Diese Mindestprüfpflicht greift jedoch – zumindest hinsichtlich AEO – nicht, wenn Güter aus einem sicherheitsrelevanten Bereich betroffen sind. In diesem Fall sollte eine höhere Prüffrequenz angesetzt werden.

Worauf muss bei der Einbindung eines Dienstleisters geachtet werden?

Eine fortwährende Überprüfung der Terrorlisten kann für ein Unternehmen sehr lästig sein, weshalb verschiedene Dienstleister den Abgleich anbieten (Beispiel 1, Beispiel 2). Die Beauftragung eines Dienstleisters ist grundsätzlich im Rahmen einer Auftragsverarbeitung (Art. 2829 DSGVO) datenschutzkonform möglich.

Erforderlich ist eine dokumentierte Prüfung der organisatorischen und technischen Maßnahmen (TOM) des Dienstleisters. Es sollte insbesondere geprüft und dokumentiert werden, ob der Dienstleister aktuelle Terrorlisten verwendet und mit welchen konkreten Methoden das Screening erfolgt. Die Einbindung erfordert zudem den Abschluss eines Auftragsverarbeitungsvertrages.

Was muss beim Terrorlistenscreening noch beachtet werden?

Eine Datenschutzfolgenabschätzung (DSFA) nach Art. 35 DSGVO ist angesichts der geringen Risiken nicht erforderlich, da bei der Suche offensichtlich keine Daten verloren gehen können.

Etwas anderes kann jedoch gelten, wenn der Abgleich durch einen Dienstleister erfolgt. Sofern bestimmte Voraussetzungen nicht eingehalten werden (Server in der EU, Verschlüsselung der Daten, Vereinbarung einer Auftragsverarbeitung nach Art. 28 DSGVO, Löschkonzept), besteht hier ein erhöhtes Risiko. Neben der Einbeziehung des Datenschutzbeauftragten empfiehlt es sich auch, den Betriebsrat zu informieren. Ein Mitbestimmungsrecht des Betriebsrats nach § 87 I Nr. 6 BDSG bei dem beim Einsatz einer Screening-Software besteht nach Auffassung des BAG jedoch nicht.

Schließlich müssen sowohl die Mitarbeiter als auch die Kunden und sonstigen Vertragspartner über die Umstände des Screenings informiert werden.

Fazit: Terrorlistenscreening ist datenschutzkonform durchführbar

Auch wenn die Terrorismusverordnungen ein Screenen nicht ausdrücklich verlangen, kann dieses aus datenschutzrechtlicher Sicht als erforderlich angesehen werden. Der Abgleich kann im Wege der Auftragsdatenverarbeitung auf einen Dienstleister übertragen werden. Neben dem Datenschutzbeauftragten sollte auch der Betriebsrat eingebunden werden. Die vom Screening Betroffenen sind über die Umstände zu informieren.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Informationsanspruch einer Aktiengesellschaft über die Kontaktdaten ihrer Aktionäre

Wenn Aktiengesellschaften direkt mit ihren Aktionären kommunizieren wollen, war das aufgrund von Zwischenhändlern bzw. Investmentplattformen oft ein Problem. Mit der Umsetzung der zweiten Aktionärsrichtlinie (ARUG II) im Aktiengesetz (AktG) wurde dies in Deutschland nun maßgeblich vereinfacht. Wir zeigen Ihnen auf, welche Daten Sie wie erheben, nutzen und speichern dürfen.

Ziel der Richtlinie ARUG II

Die ARUG II Richtlinie (Richtlinie (EU) 2017/828) löst die frühere Richtlinie 2007/36/EG ab, um die langfristige Mitwirkung der Aktionäre einer Aktiengesellschaft und die Transparenz zwischen den Gesellschaften und Anlegern zu fördern. Aktiengesellschaften haben nun insbesondere das Recht, personenbezogene Daten ihrer Aktionäre zu erheben, damit sie mit ihren Aktionären unmittelbar kommunizieren können. Es besteht allerdings keine gesetzliche Pflicht zur Erhebung der Kontaktdaten, was für die Rechtsgrundlage zur Datenverarbeitung ausschlaggebend ist.

Die EU sah die Notwendigkeit einer Neuregelung, da Aktiengesellschaften oftmals nicht in der Lage waren, ihre Aktionäre aufgrund diverser Zwischenhändler oder Investmentplattformen (in der Richtlinie als Intermediär bezeichnet) konkret zu identifizieren. Die Identifizierung der Aktionäre ist nach Erwägungsgrund 4 der Richtlinie (EU) 2017/828 jedoch für die Ausübung von Aktionärsrechten und die Mitwirkung der Aktionäre notwendig.

Den Mitgliedsstaaten stand es bei der Umsetzung der Richtlinie frei, Kleinanleger von der Identifizierungsanforderung auszunehmen. Deutschland hat davon jedoch keinen Gebrauch gemacht.

Ergänzt wird die Richtlinie durch Art. 3 Abs. 2 und Tabelle 2 der Durchführungsverordnung (EU) 2018/1212, welche die konkrete Art der zu erhebenden Daten festlegt.

Rechtsgrundlage für die Datenerhebung

In Erwägungsgrund 52 der Richtlinie (EU) 2017/828 wird darauf hingewiesen, dass die Datenerhebung im Einklang mit der DSGVO zu erfolgen hat.

Für die Verarbeitung der Kontaktdaten kommt wegen des abschließenden Katalogs der Rechtsgrundlagen aus Art. 6 DSGVO nur ein berechtigtes Interesse gemäß Art.  6 Abs. 1 lit. f DSGVO in Betracht. Eine gesetzliche Verpflichtung zur Erhebung der Aktionärsdaten durch die Aktiengesellschaft gemäß Art. 6 Abs. 1 lit. c DSGVO ist nicht gegeben, da Aktiengesellschaften gerade nicht in der Pflicht zur Erhebung stehen sollen.

Deshalb ist eine Interessensabwägung vorzunehmen. Diese wird aufgrund der vorgeprägten gesetzgeberischen Intention in den allermeisten Fällen ein berechtigtes Interesse der Aktiengesellschaft an der Datenerhebung als Ergebnis haben.

Gemäß § 67a Abs. 1 AktG in Verbindung mit Art. 6 Abs. 1 lit. c DSGVO sind deutsche Aktiengesellschaften hingegen verpflichtet, bei Unternehmensereignissen (eine vom Emittenten oder einem Dritten initiierte Maßnahme, die die Ausübung der mit den Aktien verbundenen Rechte beinhaltet und die zugrunde liegende Aktie beeinflussen kann, z. B. die Gewinnausschüttung oder eine Hauptversammlung) den Inhaber (bei Namensaktien) oder den Intermediär zu informieren.

Des Weiteren trifft den Vorstand einer Aktiengesellschaft die Pflicht gemäß §125 AktG in Verbindung mit Art. 6 Abs. 1 lit. c DSGVO über die Einberufung der Hauptversammlung mindestens 21 Tage vor dieser zu informieren. Der Inhalt dieser Mitteilungspflicht bestimmt sich nach Art. 3 Abs. 1 Durchführungsverordnung (EU) 2018/1212 und Tabelle 3 dieser Verordnung.

Umsetzung der ARUG II Richtlinie in Deutschland

Die Richtlinie (EU) 2017/828 wurde in Deutschland bezüglich Auskunft einer Aktiengesellschaft über die Identität der Aktionäre in den §§ 67a ff. Aktiengesetz (AktG) umgesetzt. Das Änderungsgesetz zur Umsetzung der Richtlinie ist seit dem 1. Januar 2020 in Kraft. § 67d Abs. 1 S.2 und Abs. 2 AktG verweisen bezüglich Inhalt und Format des Auskunftsverlangens auf die Durchführungsverordnung (EU) 2018/1212.

Datenerhebung

Konkret dürfen Aktiengesellschaften folgende Daten erheben:

Bei juristischen Personen:

  • Die nationale Registrierungsnummer des Aktionärs, seine internationale Bankleitzahl oder Kundenkennziffer,
  • Name der juristischen Person.

Bei natürlichen Personen:

  • die nationale Kundenkennung,
  • Vor- und Nachname.

Bei juristischen und natürlichen Personen:

  • Anschrift,
  • Postleitzahl,
  • Wohn- oder Firmensitz,
  • Land,
  • die Postleitzahl des Postfachs,
  • Nummer des Postfachs,
  • die E-Mail-Adresse (wenn vorhanden),
  • die Art der Beteiligung,
  • die Zahl der gehaltenen Aktien,
  • der Beginn der Beteiligung,
  • der Name und die Kennung des vom Aktionär benannten Dritten.

Verfahren zur Erhebung der Daten

Die Erhebung erfolgt durch einen Antrag bei dem Intermediär. Dieser muss die Daten unter Berücksichtigung des Antrags gemäß § 67d Abs. 3 AktG und Art. 9 Abs. 6 Durchführungsverordnung (EU) 2018/1212 unverzüglich oder spätestens bis zum Ende des Geschäftstages (vor 16:00 Uhr), an dem der Antrag eingegangen ist, an den nächsten Intermediär übermitteln. Der Informationsanspruch der Gesellschaft gilt daher gegenüber sämtlichen Intermediären. Ein Antrag nach 16.00 Uhr ist bis 10:00 Uhr des nächsten Geschäftstages zu übermitteln. Diese Frist gilt jedoch nicht, wenn der Antrag nicht maschinell oder vollautomatisiert abgewickelt werden kann.

Zweck der Datenverarbeitung

Der Zweck der Datenerhebung ist gemäß §67e Abs. 1 AktG beschränkt. So dürfen die Daten nur für folgende Zwecke erhoben werden:

  • Identifikation,
  • Kommunikation mit den Aktionären, den Gesellschaften und den Intermediären,
  • Ausübung der Rechte der Aktionäre,
  • Führung des Aktienregisters,
  • Zusammenarbeit zwischen der Gesellschaft und den Aktionären.

Eine weitere Verarbeitung zu anderen Zwecken (wie z.B. Werbung) ist für Aktiengesellschaften grundsätzlich interessant, verstößt jedoch gegen die DSGVO. So darf eine Aktiengesellschaft die erhobene E-Mail-Adresse zum Beispiel nicht zum Zwecke der Direktwerbung mittels Newsletter basierend auf der Rechtsgrundlage aus Art. 6 Abs. 1 lit. f) DSGVO verwenden, da die Zwecke der ursprünglichen Datenverarbeitung dies nicht umfassen und nur so dem Grundsatz der Zweckbindung aus Art. 5 Abs. 1 lit. b) DSGVO ausreichend Rechnung getragen wird.

Speicherdauer

Weiterhin ist die Speicherung der Daten gemäß § 67e Abs. 2 AktG begrenzt. Wenn die Gesellschaft oder der Intermediär Kenntnis erlangen, dass ein Aktionär seine Beteiligung nicht mehr hält, so darf die Gesellschaft die erhobenen Daten noch für maximal zwölf Monate speichern.

Ausnahmen davon bestehen bei Vorliegen einer gesetzlichen Verarbeitungspflicht oder wenn die Speicherung der Daten für einen Rechtsstreit erforderlich ist.

Berichtigung

  • 67e Abs. 4 AktG sieht ein unverzügliches Berichtigungsrecht eines Aktionärs bei unvollständiger oder unrichtiger Datenerhebung vor. Dieser Anspruch besteht sowohl gegenüber der Aktiengesellschaft als auch gegenüber dem Intermediär. Damit soll vor allem die Integrität der Daten gewährleistet werden.

Verarbeitung im Auftrag ist möglich

Die Daten dürfen auch durch Dienstleister erhoben werden. Wichtig dabei ist, dass zwischen der Gesellschaft und dem Dienstleister ein Auftragsverarbeitungsvertrag geschlossen wird, um den Anforderungen des Art. 28 DSGVO gerecht zu werden. Dadurch wird bei der Erhebung der Daten durch einen Dienstleister ein angemessenes Schutzniveau der Daten gewährleistet.

Bei Nichtbeachtung dieses Erfordernisses kann die zuständige Aufsichtsbehörde nach Art. 83 Abs. 4 DSGVO ein Bußgeld in Höhe von 10 Millionen Euro oder bis zu 2 % des weltweit erzielten Jahresgesamtumsatzes des vorangegangenen Geschäftsjahrs verhängen.

Fazit

Eine Datenverarbeitung durch Aktiengesellschaften zum Zweck der Identifikation ihrer Aktionäre ist im aufgezeigten Umfang möglich. Jedoch dürfen die personenbezogenen Daten eines Aktionärs nicht weitergehend als zu den gesetzlich festgelegten Zwecken verarbeitet werden.

Aktiengesellschaften sollten daher darauf achten, personenbezogene Daten ihrer Aktionäre getrennt von anderen personenbezogenen Daten (z.B. im Bereich des Marketings) zu speichern. Dies ist insbesondere vor dem Hintergrund der festgelegten maximalen Speicherdauer wichtig.

Da in der Praxis oftmals Dienstleister eingesetzt werden, die für die Informationserhebung und Benachrichtigung der Aktionäre beauftragt werden, sollte mit diesen ein Rechtsinstrument nach Maßgabe des Art. 28 DSGVO geschlossen werden. Bestenfalls umfasst dieser Vertrag den regelmäßigen Abgleich der Datensätze mit den Intermediären, so dass eine rechtszeitige Löschung gewährleistet werden kann. Aktiengesellschaften sollten im Zuge einer etwaigen Regelkontrolle ihrer Auftragsverarbeiter explizit prüfen, ob diese Anforderung eingehalten wird.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

1,5 Mio. Euro Bußgeld wegen massiven Lecks bei Gesundheitsdaten

Die französische Datenschutz-Aufsichtsbehörde CNIL belegte das Software-Unternehmen Deadulus Biologie mit einem Bußgeld in Höhe von 1,5 Mio. Euro. Grund dafür war eine 2021 aufgetretene Sicherheitslücke, durch die Gesundheitsdaten von 500.000 Betroffenen ins Internet gelangten.

Hintergrund des Bußgeldes

Das italienische Unternehmen Deadulus Biologie vertreibt Softwarelösungen für medizinische Analyselabore und fungiert somit als Auftragsverarbeiter gemäß Art. 28 DSGVO, das heißt, es verarbeitet Gesundheitsdaten im Auftrag der Labore. Im Februar 2021 wurde der französischen Aufsichtsbehörde CNIL (Commission Nationale de l’Informatique et des Libertés) die Kompromittierung der unglaublichen Menge von einer halben Million Betroffener bekannt. Die Daten umfassten neben Namen, Vornamen, Sozialversicherungsnummer, behandelndem Arzt und Behandlungsdatum insbesondere auch Daten von genetischen Krankheiten, Schwangerschaften und Therapien. Die CNIL stellte bei der Auditierung des Unternehmens fest, dass bei der Migration auf eine andere Software zahlreiche technische und organisatorische Sicherheitsverstöße begangen wurden:

  • Fehlen eines spezifischen Verfahrens für Datenmigrationsvorgänge;
  • fehlende Verschlüsselung der auf dem problematischen Server gespeicherten personenbezogenen Daten;
  • keine automatische Löschung der Daten nach der Migration auf die andere Software;
  • keine Authentifizierung über das Internet für den Zugriff auf den öffentlichen Bereich des Servers;
  • Verwendung von Benutzerkonten, die von mehreren Mitarbeitern gemeinsam genutzt wurden, im privaten Bereich des Servers;
  • Fehlen eines Verfahrens zur Überwachung und Meldung von Sicherheitswarnungen auf dem Server.

Zusätzlich soll das Unternehmen die ihm anvertrauten Daten entgegen Art. 29 DSGVO über die Anweisungen des Verantwortlichen hinaus verarbeitet haben.

Tipp: Wir kommentieren regelmäßig verhängte DSGVO-Bußgelder und erläutern, was andere Unternehmen tun können, um solche Strafen zu vermeiden!

Datenschutzrechtliche Einschätzung des Bußgeldes

Bei der Verarbeitung sensibler Daten ist umso mehr auf die Einhaltung von technischen und organisatorischen Maßnahmen (TOM) gemäß Art. 32 DSGVO zu achten. Die Aufsichtsbehörden führen hierzu immer wieder anlasslose Überprüfungen in Unternehmen durch. Es ist daher essentiell, diese Maßnahmen zu implementieren und entsprechende Nachweise griffbereit zu haben.

Bei der Verarbeitung von Gesundheitsdaten empfiehlt sich neben einer Pseudonymisierung der Daten ein Berechtigungskonzept sowie eine ausreichende Verschlüsselungstechnik. Bei der Datenweitergabe sollte eine Ende-zu-Ende-Verschlüsselung eingerichtet sein, so dass ein Datenabfluss auf dem Transportweg und bei unbefugtem Zugriff ausgeschlossen ist. Damit sichergestellt werden kann, dass tatsächlich nur der im Berechtigungskonzept ausgewiesene Berechtigte Zugriff zu den Daten hat, sollte eine Zwei-Faktor-Authentifizierung implementiert werden.

Dass der Auftragsverarbeiter auftragsbezogene Daten über die Weisungen des Verantwortlichen hinaus verarbeitet bzw. diese nicht rechtmäßig löscht, ist rechtswidrig. Dem kann man durch klare Regelungen im Auftragsverarbeitungsvertrag vorbeugen und mit entsprechenden Haftungsregelungen und Vertragsstrafen für den Fall der Missachtung beikommen. Denn zu 100% kann man einen solchen Missbrauch nie. Umso wichtiger ist es, dass man den Auftragsverarbeiter im Vorfeld einer regelmäßigen und strengen Kontrolle unterzieht. Das kann zunächst durch eine Prüfung der Verträge und TOM-Beschreibungen erfolgen. Bei Widersprüchen oder Zweifeln zu den gemachten Angaben sollten Nachweise verlangt oder ein anderer Dienstleister eingesetzt werden. Denken Sie auch daran, diese Prüfung in regelmäßigen Abständen zu wiederholen.

Fazit

Je sensibler die verarbeiteten Daten sind, desto höhere Anforderungen stellt die DSGVO an die Sicherheit der Verarbeitung. Nicht nur als Auftragsverarbeiter sollten Sie auf die Einhaltung Ihrer Pflichten im Bereich der Auftragsverarbeitung und TOM achten. Auch als Verantwortlicher sollten Sie sicherstellen, dass die Dienstleister, die Sie als Auftragsverarbeiter einsetzen, ihre Pflichten erfüllen. Anderenfalls droht auch Ihnen ein Bußgeld.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Über 4 Mio. Euro DSGVO-Bußgeld wegen Missachtung der Datenschutz-Grundsätze

In den Niederlanden sollen das Außen- und das Finanzministerium laut der niederländischen Datenschutzbehörde AP im Zeitraum von 2013 bis 2020 mehrere schwerwiegende Datenschutzverstöße begangen haben. Grundlegende Prinzipien wie Rechtmäßigkeit, Zweckbindung, Richtigkeit, Speicherbegrenzung sowie eine sichere Verarbeitung sollen missachtet worden sein.

Hintergrund der Bußgelder

Die Datenschutzbehörde verhängte gegen das Außenministerium ein Bußgeld in Höhe von 565.000 Euro. Zur Begründung führte sie aus, dass Daten eines Visaverfahrens – wie Fingerabdrücke, Name, Adresse, Wohnort, Geburtsland, Reisezweck, Nationalität und Fotos – verarbeitet wurden und dass das Ministerium dabei gegen Art. 13 Abs. 1 lit. e und Art. 32 Abs. 1 DSGVO verstoßen habe. Konkret seien folgende Mängel festgestellt worden:

  • kein Sicherheitskonzept,
  • unzureichende Maßnahmen zum physischen Schutz personenbezogener Daten,
  • unzureichende Verfahren für die Kontrolle der Zugriffsrechte vorhanden,
  • Mängel bei den Protokolldateien und deren regelmäßiger Überprüfung,
  • unzureichendes Verfahren zur Meldung von Sicherheitsvorfällen,
  • unzureichende Information über die Weitergabe der Daten an Dritte.

Gegen das Finanzministerium verhängte die Datenschutzbehörde ihr bisher höchstes Bußgeld in Höhe von 3,7 Millionen Euro. Hier lag aus ihrer Sicht ein besonders schwerer und langwieriger Verstoß vor mit einer großen Zahl an Betroffenen. Die Daten von 270.000 Betroffenen seien unrechtmäßig verarbeitet worden, als sie zwischen 2013 und 2020 zu Unrecht auf einer sogenannten schwarzen Liste für Steuer- und Zollbetrüger mit Informationen über ihre Kreditunwürdigkeit geführt wurden. Konkret habe die Behörde folgende Mängel festgestellt:

  • Die dem Finanzministerium unterstehende Finanz- und Zollverwaltung hatte keine Rechtsgrundlage für diese Verarbeitung personenbezogener Daten.
  • Der Zweck der Liste wurde im Vorfeld nicht konkret definiert.
  • Es wurden falsche und nicht aktualisierte Daten verarbeitet.
  • Die Daten wurden zu lange aufbewahrt.
  • Die Datensicherheit war innerhalb der Liste nicht gewährleistet.
  • Der Datenschutzbeauftragte der Finanzbehörde wurde erst nach Jahren einbezogen.

Tipp: Wir kommentieren regelmäßig verhängte DSGVO-Bußgelder und erläutern, was andere Unternehmen tun können, um solche Strafen zu vermeiden!

Datenschutzrechtliche Einschätzung der Bußgelder

Offensichtlich wurden die grundlegenden Prinzipien der DSGVO missachtet: Rechtmäßigkeit und Transparenz der Verarbeitung (Art. 5 Abs. 1 lit. a DSGVO), festgelegte, eindeutige und legitime Zwecke (Art. 5 Abs. 1 lit. b DSGVO), sachlich richtig und auf dem neuesten Stand (Art. 5 Abs. 1 lit. d DSGVO) sowie Speicherung nur solange erforderlich (Art. 5 Abs. 1 lit. e DSGVO).

Bei der Verarbeitung personenbezogener Daten ist außerdem auf die Sicherheit der Verarbeitung, konkret auf die Einhaltung von technischen und organisatorischen Maßnahmen (TOM) gemäß Art. 32 DSGVO zu achten. Die Aufsichtsbehörden führen hierzu immer wieder anlasslose Überprüfungen in Unternehmen durch. Es ist daher essentiell entsprechende Maßnahmen zu implementieren und  Nachweise griffbereit zu haben.

Neben einem ordentlichen Zutrittsschutz muss bei der Verarbeitung der Daten unter anderem auch auf einen beschränkten und kontrollierten Zugriff geachtet werden. Die Zugriffsrechte sollten daher in einem Berechtigungskonzept definiert und nur danach auch verteilt werden. Zudem sollte als Teil eines umfassenden Datenschutz-Managementsystems auch ein Notfallkonzept für Sicherheits- und Datenschutznotfälle existieren. Alle Anforderungen an die Datensicherheit sollten schließlich in einem Datensicherungskonzept zusammengefasst werden.

Fazit

Der vorliegende Fall zeigt ein mangelndes Verständnis selbst der DSGVO-Grundsätze. Es ist auch für eine Behörde unabdingbar, den Datenschutz mithilfe eines funktionierenden Datenschutz-Managementsystems in allen Fachbereichen zu implementieren und zu kontrollieren. Anderenfalls droht schnell der Kontrollverlust, wie diese beiden Fälle anschaulich belegen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Abmahnwelle: 10% der eingesetzten Cookie-Banner sind rechtswidrig

Die Verbraucherzentrale Bundesverband e.V. (VZVB) überprüfte knapp 1.000 Websites auf Datenschutz-Konformität. Das Ergebnis: 10% der eingesetzten Cookie-Banner verstoßen offensichtlich gegen die Bestimmungen der DSGVO. Fast 100 Firmen erhielten daraufhin eine Abmahnung.

DSGVO-konforme Cookie-Banner

Bereits im Jahr 2013 erhob der VZVB Klage gegen das Unternehmen Planet49, das Online-Gewinnspiele anbietet. 2020 entschied der Bundesgerichtshof (BGH) in einem Urteil, dass es für Tracking mittels Cookies einer aktiven und ausdrücklichen Einwilligung des Betroffenen bedarf. Diese wird für gewöhnlich mit Hilfe eines Cookie-Consent-Banners eingeholt. Dem Urteil des BGH vorangegangen war bereits die Entscheidung des Europäischen Gerichtshofs (EuGH) darüber, dass eine vorher angekreuzte Einwilligung nicht ausreichend ist.

Dieses Urteil macht deutlich, dass die DSGVO primär dem Schutz von Betroffenenrechten dient. Dies gilt insbesondere bei Verstößen gegen die in Art. 12-14 DSGVO normierten Informationspflichten, um eine transparente Datenverarbeitung für Betroffene sicherzustellen.

Damit eine Einwilligung wirksam ist, muss der Betreiber die Nutzerinnen und Nutzer transparent und vollständig informieren, zum Beispiel darüber, welche Daten beim Surfen zu welchem Zweck erhoben werden und an welche Empfänger sie gehen.

Tipp: So kommen Sie Ihren Transparenz-Verpflichtungen DSGVO-konform nach. Außerdem erklären wir Ihnen, wie Sie ein Cookie-Consent-Banner rechtskonform ausgestalten.

Begründung der Abmahnungen

Trotz der bekannten Urteile und Bußgelder, missachten immer noch viele Websitebetreiber die Vorgaben der DSGVO. Die Überprüfung der Websites, die im April 2021 begann, umfasste laut VZVB verschiedene Branchen wie etwa: Reise, Lebensmittel-Lieferdienste, Versicherungen, Online-Shops, Fitness-Studios, Energie, Partnervermittlung, Sharing, E-Mail-Dienste, Vergleichsportale, Lernplattformen, Streaming-Dienste, Telekommunikation, Treppenlifte und Sanitätshäuser.

Vereinzelt fand der VZVB sogar Websites, die gar keine Cookie-Banner hatten. Andere wiederum hatten zwar ein Banner, setzten Cookies aber bereits vor Auswahl durch den Nutzer. Zudem gab es viele Banner, bei denen Analyse-Cookies bereits im Vorfeld angeklickt waren.

Besonders beliebt sind laut VZVB Cookie-Banner, bei denen es dem Nutzer äußerst schwer gemacht wird, Cookies abzulehnen, z.B. dadurch, dass die Zustimmen-Option im Cookie-Banner im Vergleich zur Ablehnen-Option farblich auffälliger ist oder dass erst durch längere Klickwege eine Ablehnung ermöglicht wird.

Eigentlich muss die Ablehnung dem Nutzer mindestens so einfach gemacht werden, wie die Zustimmung. Dann es muss eine echte Wahlfreiheit bestehen, damit die Einwilligung auch rechtswirksam ist.

Fazit und Ausblick

Inwieweit der VZVB weitere Websites untersuchen und Abmahnungen verschicken wird, ist noch nicht klar. Aber auch andere Akteure sind hier aktiv. So hat die NGO noyb mehr als 400 formelle DSGVO-Beschwerden bei Aufsichtsbehörden gegen Cookie-Banner eingereicht und plant europaweit bis zu 10.000 Websites auf DSGVO-Konformität zu scannen. Es dürften also weitere Abmahnwellen folgen. Das kürzlich durch ein EuGH-Urteil gestärkte Verbandsklagerecht wird solchen Entwicklungen zusätzlich Aufwind verleihen.

Cookie-Banner und Websites werden zunehmend zur Zielscheibe für Verbraucherzentralen, NGOs und Aufsichtsbehörden. Denn diese öffentlich sichtbaren Datenverarbeitungen sind ein leicht zugängliches Einfallstor für weitergehende Datenschutz-Kontrollen von Behörden. Die Verhängung von Bußgeldern schmerzt nicht nur finanziell, sondern führt auch zu einen erheblichen Reputations-Verlust.

Lassen Sie es erst gar nicht so weit kommen und machen Sie Ihr Unternehmen bereits jetzt datenschutzsicher! Wir prüfen gerne Ihr Cookie-Banner für Sie.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Anlasslose Prüfungen durch die Datenschutzaufsicht in Bayern

Die neu gegründete Stabstelle Prüfverfahren des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA), deren Aufgabe die Durchführung von anlasslosen fokussierten Kontrollen ist, setzt auf maximale Transparenz und veröffentlicht ihre relevanten Unterlagen. Nach dem Start mit einer Prüfung zum Thema Ransomware geht es nun mit dem Thema Selbstauskünfte Mietinteressenten weiter.

Kontrollen sollen Aufmerksamkeit schaffen

Neben anlassbezogenen Kontrollen, zum Beispiel nach Betroffenenbeschwerden, führen Aufsichtsbehörden auch stichprobenartig anlasslose Kontrollen durch. Das BayLDA hat dafür nun eine eigene Stabstelle gegründet. Selbsterklärtes Ziel der regelmäßigen fokussierten Prüfungen soll aber nicht nur eine Ausweitung der datenschutzrechtlichen Kontrollen sein. Durch die begleitende Zurverfügungstellung von Informationen soll vor allem auch die Aufmerksamkeit auf die Prüfbereiche gelenkt werden.

Erste Prüfung: Ransomware

Die erste Überprüfung, welche laut Webseite des BayLDA momentan noch andauert, befasste sich mit dem Thema Ransomware. Abgefragt wurden technische und organisatorische Maßnahmen gem. Art. 32 Datenschutz-Grundverordnung (DSGVO), mit denen Unternehmen grundlegende Maßnahmen zum Schutz vor Ransomware-Angriffen getroffen haben sollten.

Vor allem kleinere Unternehmen stehen trotz der enormen Gefahr, die heutzutage flächendeckend von Ransomware ausgeht, oft nur unzureichend geschützt da. Nicht nur des Datenschutzes wegen, sondern vor allem auch aus eigenen wirtschaftlichen Interessen, sollte sich jedes Unternehmen ausreichend schützen.

Wir empfehlen allen Unternehmen sich den Fragebogen des BayLDA vorzunehmen und zumindest eine grobe Selbsteinschätzung vorzunehmen. Es handelt sich dabei nicht nur um ein Compliance-Thema, sondern vor allem auch um Selbstschutz vor Angriffen.

Hinweis: Wie gut implementierte technische und organisatorische Maßnahmen aussehen, finden Sie in unserem umfangreichen Artikel zum Thema.

Zweite Prüfung: Selbstauskünfte von Mietinteressenten

Die jüngst gestartete zweite Prüfung der Stabstelle Prüfverfahren des BayLDA befasst sich mit Selbstauskünften von Mietinteressenten. Anders als beim Thema Ransomware, handelt es sich dabei mehr um ein Compliance- als ein Selbstschutz-Thema. Hier steht klar der Schutz betroffener Personen im Vordergrund.

Auch hier empfehlen wir relevanten Stellen, anhand des Fragebogens des BayLDA eine Selbsteinschätzung vorzunehmen. Das BayLDA nennt als Zielgruppe Immobilien- und Hausverwaltungen. Dennoch sollten auch private Vermieter das Datenschutzrecht im Blick haben. Der Anwendungsbereich der DSGVO ist regelmäßig auch für sie eröffnet.

Da es beim Thema Mietinteressenten-Selbstauskunft regelmäßig um besonders sensible Daten geht, fallen etwaige Bußgelder bei Verstößen voraussichtlich eher höher aus. Zumal Vermieter schon bisher klare Vorgaben der Aufsichtsbehörden haben, an die sie sich halten sollten. Die Datenschutzkonferenz der unabhängigen Aufsichtsbehörden in Deutschland (DSK) hat zu dem Thema bereits 2018 eine umfangreiche Orientierungshilfe veröffentlicht. Diese Orientierungshilfe bietet für die Selbsteinschätzung einen guten Maßstab, der aufgrund der sehr offenen Fragen auch notwendig ist.

Transparentes Vorgehen der Behörde stärkt den Datenschutz

Durch die transparente Veröffentlichung der Fragebögen und zusätzlicher Hinweise, geht die Wirkung der Kontrollen über die kontrollierten Unternehmen hinaus. Damit meinen wir nicht einmal die Drohwirkung der Kontrollen, sondern vor allem, dass relevanten Unternehmen die Chance zu einer Selbsteinschätzung und Verbesserung des eigenen Datenschutzniveaus angeboten wird.

Wir empfehlen allen Unternehmen diese Chance zu nutzen und die Fragebögen zusammen mit ihrem Datenschutzbeauftragten oder einem spezialisierten Anwalt durchzugehen. Das schafft Klarheit über den eigenen Stand im Datenschutzmanagement und bietet die Chance zur Verbesserung – und damit einhergehend natürlich auch zur Vermeidung von möglichen Sanktionen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Das Datenschutz-Gesetz für Telekommunikation und Telemedien (TTDSG)

Seit dem 1. Dezember 2021 gilt in Deutschland das Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien – kurz TTDSG. Ein neues Gesetz bringt in aller Regel Veränderungen mit sich – eine neue Norm bedeutet neue Spielregeln, die fortan gelten. Wer mit dieser Erwartungshaltung an das TTDSG herangeht, wird jedoch enttäuscht werden. Denn für die meisten Unternehmen ändert sich in der Praxis nur wenig bis gar nichts.

Mit dem TTDSG werden Telekommunikationsgesetz (TKG) und Telemediengesetz (TMG) zusammengeführt und überarbeitet. Dabei schafft der Gesetzgeber nur wenig Neues.

Vielmehr setzt er vor allem die europäische ePrivacy-Richtlinie 2002/58/EG, 2009, ergänzt um die Regelungen zu Cookies durch die Richtlinie 2009/136/EG, welche Mindestvorgaben für den Datenschutz in der elektronischen Kommunikation trifft, in nationales Recht um. Ziel war es laut Bundesministerium für Wirtschaft und Energie (BMWI) „mehr Rechtssicherheit und Rechtsklarheit zum Schutz der Privatsphäre in der digitalen Welt“ zu schaffen.

Für alle die sich jetzt berechtigterweise fragen „Warum erst jetzt?“ – ein kleiner Exkurs:

Anders als Verordnungen (wie z.B. die DSGVO), entfalten Richtlinien keine unmittelbare Regelungswirkung. Richtlinien müssen von den Mitgliedsstaaten erst in nationales Recht umgesetzt werden.

In Deutschland war jedoch die Umsetzung der ePrivacy-Richtlinie nicht wie vorgeschrieben erfolgt. Ein formeller Umsetzungsakt der ePrivacy-Richtlinie in der Fassung der Änderung durch die Richtlinie 2009/136/EG ist im 4. Abschnitt des – nun alten – Telemediengesetzes (TMG) nicht inkludiert. Insbesondere fehlte es bisher an einem Umsetzungsakt für Art. 5 Abs. 3 der ePrivacy-Richtlinie (darin geht es um Cookies) im deutschen Recht insgesamt. Der bisherige Streit, ob eine richtlinienkonforme Auslegung des TMG möglich sei oder nicht, wurde vom BGH mit einer sehr kreativen Auslegung (Widerspruchslösung meint Einwilligungserfordernis) für beendet erklärt. Befriedigend war diese Lösung aber nicht. Diese Situation wurde vom Gesetzgeber nun mit dem TTDSG aufgegriffen.

Gerade was die relevanten Regelungen zum Einsatz von Cookies oder ähnlichen Technologien angeht, ergibt sich daher nichts Neues. Wer solche Technologien bisher nach alter Rechtslage (wichtig: Das schließt die Berücksichtigung der BGH- und EuGH-Rechtsprechung mit ein!) einsetzt, wird nichts ändern müssen.

Die wenigen wirklichen Neuerungen sind vor allem:

  • Die Modernisierung des TKG. Erfasst wird nun auch sogenannter „over-the-top content“ (OTT). Das wohl bekannteste Beispiel für einen solchen Dienst ist der Streaming Service Netflix.
  • Die Aufnahme einer Regelung über Dienste zur Einwilligungsverwaltung für Cookies und ähnliche Technologien. Bekannter unter dem Begriff „Personal Information Management-Systems“ (PIMS). Warum es sich dabei aber noch um Zukunftsmusik handelt, wird weiter unten im Text erläutert.

Inhalt des TTDSG

Aufgrund der höheren Relevanz für einen Großteil der Unternehmen, beschränken wir uns hier auf eine Betrachtung des Telemediendatenschutzes und der Regelungen zu Endeinrichtungen aus Teil 3 des Gesetzes und klammern den Datenschutz in der Telekommunikation in diesem Beitrag aus.

Im Folgenden erläutern wir kurz die wichtigsten Normen. Wer sich nur für das Thema Cookies und ähnliche Technologien interessiert, kann direkt zum Kapitel Schutz der Privatsphäre bei Endeinrichtungen (§ 25 TTDSG) springen.

Hinweis: Sie finden das TTDSG, wie von der DSGVO und dem BDSG bereits gewohnt, auf der Website der activeMind.legal im Volltext übersichtlich dargestellt.

Telemediendatenschutz (§§ 19 – 24 TTDSG)

  • § 19 TTDSG: Dieser Paragraph enthält nicht auf den Datenschutz bezogene technische und organisatorische Maßnahmen (im TTDSG Vorkehrungen genannt) für Telemedienanbieter. Diese haben unter anderem sicherzustellen, dass
    • der Nutzer von Telemedien die Nutzung des Dienstes jederzeit beenden und er Telemedien gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann,
    • die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym möglich ist, soweit dies technisch möglich und zumutbar ist und
    • kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und diese gegen Störungen gesichert sind, auch soweit solche durch äußere Angriffe bedingt sind.
  • § 20 TTDSG: Daten, die zum Zweck des Jugendschutzes erhoben werden, dürfen nicht für andere, kommerzielle Zwecke, verarbeitet werden. In dieser Regelung besteht kein Mehrwert zur Zweckbindung nach DSGVO, womit sie im Grunde obsolet ist.
  • § 21-24 TTDSG: Herausgabepflichten bei Bestands- und Nutzungsdaten an Behörden oder nach gerichtlicher Anordnung (z.B., wenn es um Rechte des geistigen Eigentums oder um rechtswidrige Inhalte geht).

Schutz der Privatsphäre bei Endeinrichtungen (§ 25 TTDSG)

  • § 25 TTDSG ist die wohl wichtigste Norm des neuen TTDSG, da hier das Einwilligungserfordernis für Cookies und ähnliche Technologien geregelt wird. Wie weiter oben schon geschrieben, ergibt sich im Grunde nichts Neues zur bisherigen Rechtslage, die sich auf höchstrichterliche Rechtsprechung gestützt hat. Die nachstehenden Ausführungen sind daher im Kern eine Wiederholung der vor dem Inkrafttreten des TTDSG schon geltenden Rechtslage.

Die Norm ist technologieneutral formuliert („Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind“). Das heißt, dass nicht nur Cookies erfasst sind, sondern zum Beispiel auch Fingerprint-Tracking. Es kommt auch nicht auf einen Personenbezug an. Erfasst sind alle Informationen, auch wenn sie nicht der Identifizierung einer Person dienlich sind. Anknüpfungspunkt der Norm ist die Endeinrichtung. Dabei ist Endeinrichtung ein sehr weiter Begriff, unter den nicht nur der klassische Computer, sondern auch Smartphones und andere smarte Geräte fallen. Letzteres kann vom mit dem Internet verbundenen Auto, über den smarten Kühlschrank und die Uhr bis zum Toaster reichen (Stichwort: Internet of Things).

  • § 25 TTDSG statuiert in diesem Anwendungsbereich ein explizites Einwilligungserfordernis, erlaubt aber zwei Ausnahmen. Vor allem die zweite Ausnahme ist dabei von hoher Relevanz. Nach dieser besteht kein Einwilligungserfordernis, „wenn die Speicherung […] oder der Zugriff […] unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.“

Erforderlich heißt in diesem Kontext technisch erforderlich. Für eine Nützlichkeits- oder Bequemlichkeitsabwägung bleibt kein Raum. Ein klassisches Beispiel für eine Fehlannahme wäre hier der Google Tag Manager. Dieser ist technisch nicht erforderlich, wird aus Bequemlichkeit aber gerne verwendet und von Websitebetreibern dann kurzerhand als essenziell eingestuft. Hier drohen Bußgelder – und das nicht erst seit Inkrafttreten des TTDSG.

Etwas offener – und wohl nicht immer trennscharf – zu beantworten ist die Frage nach der ausdrücklichen Erwünschtheit eines Dienstes vom Nutzer. Man wird sich dabei aber auf die bisherige behördliche und gerichtliche Einschätzung stützen dürfen. Demnach wären zum Beispiel der Warenkorb eines Onlineshops oder der Login auf einer Website oder in einer App gewünschte Funktionen, für die folglich Cookies auch ohne Einwilligung verwendet werden dürfen. Auch das Cookie für einen auf einer Website eingebundenen Videoplayer kann darunterfallen, wenn der Nutzer mit dem Player interagiert hat. Jedoch nicht davor. Hier ist eine Zwei-Klick-Lösung essentiell.

Nicht unter gewünschte Dienste fallen ganz klar und unstrittig jegliche Tracking- und Marketingtools. Sei es über Cookies oder über andere Technologien wie Fingerprinting. Dass solche Funktionen ausdrücklich vom Nutzer gewünscht werden, darf nicht angenommen werden. Es bedarf daher in solchen Fällen immer einer ausdrücklich erteilten Einwilligung.

Dienste zur Einwilligungsverarbeitung (§ 26 TTDSG)

In seinem § 26 regelt das TTDSG die sog. Personal Information Management Systems (PIMS). Die oben unter § 25 TTDSG beschriebene Einwilligung in das Speichern oder Auslesen von Informationen, z.B. zu Marketingzwecken, soll gegenüber bestimmten Diensten (Datentreuhändern) erteilt werden können, die diese dann für den Nutzer verwaltet. Vereinfacht kann man sich darunter ein alle oder zumindest sehr viele Websits umfassendes Cookie-Consent-Banner vorstellen.

Der Grundgedanke hinter der Regelung ist einleuchtend und das Vorgeben eines solchen Systems erscheint an sich sinnvoll. Die Umsetzung im TTDSG ist jedoch kritikwürdig. Zum einen wäre da der Umstand, dass es zunächst einer Rechtsverordnung bedarf, die die genaueren Umstände regelt. Zum anderen die Unklarheit bezüglich der technischen und damit praktischen Umsetzung eines solchen Systems. Wir haben es hier daher mit Zukunftsmusik zu tun. Momentan und in absehbarer Zeit ist die Regelung noch nicht von Relevanz. Was angesichts dessen, dass hier eine Lösung für die allseits ungeliebten Cookie-Consent-Banner, die einem auf fast jeder Website begegnen, geboten wäre, schade ist.

Kein großer Wurf und ein Gesetz mit Ablaufdatum

Das TTDSG bringt, wie aufgezeigt, wenig Neues. Wer in Bezug auf den Einsatz von Cookies oder ähnlichen Technologien, wie z.B. dem Fingerprint-Tracking, bisher schon konform war, wird das auch nach Inkrafttreten des TTDSG sein und hat keinen Handlungsbedarf. Für alle anderen sollte das TTDSG ein Weckruf sein. Spätestens jetzt ist damit zu rechnen, dass die Aufsichtsbehörden den mit dem TTDSG erweiterten Bußgeldrahmen ausschöpfen werden.

Schade ist, dass der Gesetzgeber die Chance vertan hat, neue sinnvolle Regelungen von Relevanz zu schaffen. Der Ankündigung von mehr Rechtssicherheit und Rechtsklarheit durch das TTDSG wurde der Gesetzgeber in unseren Augen nicht gerecht. Klarheit bestand in vielen Punkten schon durch die verbindlichen Vorgaben der höchstrichterlichen Rechtsprechung. Vor allem aber bleibt das, was vorher unklar war, immer noch unklar. Normadressaten müssen sich nach wie vor auf eine Konkretisierung durch Rechtsprechung und Aufsichtsbehörden verlassen.

Bei aller Kritik muss man aber fairerweise berücksichtigen, dass das neue Gesetz nur eine Übergangslösung sein wird. Wenn die sich seit längerem in Brüssel im Entwurf befindliche ePrivacy Verordnung in absehbarer Zeit finalisiert wird, kann es gut sein, dass ein Großteil der Regelungen des TTDSG, insbesondere in Bezug auf Cookies und ähnliche Technologien, überholt sein wird. Vermutlich wird das jetzt bestehende Schutzniveau des TTDSG dann sogar unterlaufen werden. Darauf deuten die momentan verfügbaren Informationen zur Entwicklung der Verordnung hin. Vor diesem Hintergrund erscheint der pragmatische Ansatz des Gesetzgebers wiederum sehr verständlich.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

 

Geschrieben am:

EuGH entscheidet über zahlreiche Datenschutzthemen

Der Europäische Gerichtshof (EuGH) muss in absehbarer Zeit über mehrere Fragen entscheiden, deren Gewichtigkeit für den Datenschutz gar nicht überschätzt werden kann. Es gilt wichtige Weichen für sehr relevante Bereiche zu stellen und Vorgaben zu treffen, wie es im Datenschutzrecht in der gerichtlichen, der aufsichtsbehördlichen aber auch der unternehmerischen Praxis weiter geht. Unternehmen sind gut beraten, zu den erwarteten Entscheidungen auf dem Laufenden zu bleiben (etwa mit unserem kostenlosen Newsletter).

Zu verhandelnde Datenschutzthemen

Der Österreichische Oberste Gerichtshof (OGH) hat dem EuGH mehrere Fragen vorgelegt, die mögliche Verstöße der DSGVO durch Facebook betreffen. Auch deutsche Gerichte, darunter das Bundesarbeitsgericht (BAG) nutzen das sogenannte Vorabentscheidungsverfahren und lassen den EuGH über Streitfragen der DSGVO (Datenschutz-Grundverordnung), etwa zur Bestimmung der Höhe des immateriellen Schadensersatzes und der Rechtsgrundlage bei der Verarbeitung von Gesundheitsdaten entscheiden.

Insbesondere zu folgenden Streitfragen werden Entscheidungen mit Hochspannung erwartet:

  • Erfolgt personalisierte Werbung bei Facebook ohne Rechtsgrundlage?
  • Verstößt Facebook gegen den Grundsatz der Datenminimierung?
  • Muss ein immaterieller Schaden nach Art. 82 Abs. 1 DSGVO erheblich sein?
  • Muss neben Art. 9 Abs. 2 lit. h DSGVO zusätzlich die Rechtsgrundlage Art. 6 Abs. 1 DSGVO vorliegen?
  • Kann beim Schadensersatz gemäß Art. 82 Abs. 3 DSGVO fehlendes Verschulden zu Gunsten des Auftragsverarbeiters berücksichtigt werden?
  • Muss die Höhe des zu ersetzenden immateriellen Schadens auch unter generalpräventiven Gesichtspunkten bemessen werden?

Streitfrage zur Rechtsgrundlage bei Facebook

Die Kläger rund um Max Schrems werfen Facebook vor, keine Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten zu haben. Das wäre kein Kavaliersdelikt, sondern ein eklatanter bußgeldbewehrter Verstoß gegen die DSGVO. Zudem könnten betroffene Personen Schadensersatz fordern – und betroffene Personen gäbe es in diesem Fall sehr viele.

Konkret geht es darum, dass Facebook die Daten, die es über seine Nutzer sammelt, dazu verwendet, um ihnen maßgeschneiderte Werbung anzuzeigen. Diese Werbung basiert auf den Vorlieben und Interessen, die sich aus dem Profil bzw. dem Klickverhalten der Nutzer ableiten lassen. Facebook lockt dadurch zahlende Werbetreibende auf die Plattform, die ein Interesse daran haben, personalisierte Werbung auszuspielen.

Facebook argumentiert, dass die Werbung Vertragsbestandteil der Facebook-Mitgliedschaft sei. Im Gegenzug sei die Nutzung kostenlos. Die personalisierte Werbung sei somit ein wesentlicher Bestandteil des Vertrags und zu dessen Erfüllung notwendig. Der Nutzer habe die Mitgliedschaft in Kenntnis dieses Inhalts abgeschlossen. Der mit diesem Inhalt geschlossene Vertrag bestehe solange, wie ein Nutzer sein Konto nicht löscht.

Gemäß Art. 6 Abs. 1 DSGVO benötigt jede Datenverarbeitung eine Rechtsgrundlage. Eine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) hinsichtlich personalisierter Werbung liegt von Seiten des Nutzers nicht vor. Dies sieht auch Facebook inzwischen so, nachdem mit Einführung der DSGVO die Anforderungen an eine freie informierte Einwilligung erhöht wurden.

Die Rechtsgrundlage Vertragserfüllung (Art. 6 Abs. 1 lit b DSGVO), auf die sich Facebook nun stützt, setzt voraus, dass die Verarbeitung für das Ausspielen von personalisierter Werbung für den Nutzungsvertrag mit Facebook erforderlich ist. Der OGH möchte vom EuGH konkret wissen, ob die Datenverarbeitung durch Facebook zum Bestandteil der vertraglichen Willenserklärung gemacht und damit der deutlich höhere Schutz der Einwilligung ausgehebelt werden kann.

Zweifel dahingehend lässt die Stellungnahme des Europäischen Datenschutzausschusses (EDSA) zu. Die Erforderlichkeit sei am objektiven Vertragszweck zu messen und dürfe keine einseitig auferlegte Leistung sein, so der EDSA. Der Zweck des Vertrags müsse im sachlichen Zusammenhang zu der beabsichtigten Datenverarbeitung stehen. Der Fakt, dass die Verarbeitungszwecke in den AGB vorformuliert sind, mache sie noch nicht per se erforderlich für die Vertragserfüllung.

Ob der EuGH im Falle des Facebook-Nutzungsvertrags diese Zweifel an dem Vertragserfordernis teilt, bleibt abzuwarten. Personalisierte Werbung als vertragliche Gegenleistung für die kostenlose Nutzung eines sozialen Mediums erscheint jedenfalls konstruiert.

Weitere Streitfragen im Zusammenhang mit Facebook

Der EuGH hat darüber hinaus über die Frage zu entscheiden, ob Facebook neben dem Grundsatz der Rechtmäßigkeit der Verarbeitung auch den Grundsatz der Datenminimierung (Art. 5 DSGVO) verletzt. Facebook sammelt auch sensible Informationen aller Art (z.B. politische und sexuelle Präferenzen) von seinen Nutzern. Die Informationen stammen aus den Angaben im Profil, aber auch aus Klick- und Like-Verhalten der Nutzer. Von Facebook eingesetzte Dienstleister können die Daten z.B. mithilfe von künstlicher Intelligenz so auswerten, dass den Nutzern personalisierte Werbung zugespielt wird. Das kann dann unter anderem auch Wahlwerbung sein.

Um den Detailgrad des Targetings zu verdeutlichen, sei hier auf einen (englischsprachigen) Blogeintrag der non-profit Organisation Signal Technology Foundation verwiesen.

Das Gebot der Datenminimierung könnte Facebook dazu veranlassen, bei der Verarbeitung einen Filter für solche sensiblen Daten einzubauen. Hinzu kommt, dass besonders sensible Daten gemäß Art. 9 Abs. 2 lit. e DSGVO nur dann verarbeitet werden dürfen, wenn sie vom Betroffenen offensichtlich öffentlich gemacht wurden, so der OGH. Ob entsprechende Äußerungen der Facebook-Nutzer, z.B. durch eigene Angabe im Profil, darunterfallen, ist aber höchst zweifelhaft.

Tipp: Unsere Kollegen von der Kanzlei activeMind.legal kommentieren regelmäßig Urteile zur DSGVO bzw. zum Datenschutzrecht sowie deren Bedeutung für Praxis im Unternehmen!

Streitfrage zum immateriellen Schadensersatz

Ein Amtsgericht hatte einem Kläger immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO verwehrt, da es an der Erheblichkeit des Schadens gefehlt habe. Der Kläger hatte eine widerrechtlich verschickte Werbe-E-Mail erhalten. Die DSGVO sieht jedoch das Kriterium der Erheblichkeit eines Schadens nicht vor. Das wird von kleineren Gerichten auch bereits so gesehen. Die Zielsetzung der DSGVO spreche für einen weiten Schadensbegriff. Die Bagatellschwelle wird aber häufig aus allgemeinen Rechtsgrundsätzen abgeleitet und auch im Anwendungsbereich der DSGVO gefordert.

Die Frage danach, wie ein immaterieller Schaden nach der DSGVO zu bemessen ist, ist daher seit ihrem Bestehen Gegenstand zahlreicher Entscheidungen und Diskussionen. Auch wir hatten diesen Streit schon andernorts aufgeworfen und diskutiert.

Der EuGH wird sich in diesem Fall nun endlich dazu bekennen müssen, ob die Erheblichkeit als Kriterium für das Bestehen eines Schadensersatzanspruchs herangezogen werden kann oder nicht. Dies wird erheblichen Einfluss darauf haben, ob und wie viele Schadensersatzklagen nach der DSGVO gestellt werden.

Streitfrage nach der Bedeutung des Verschuldungsgrads beim Schadensersatz

Der EuGH hat die Vorlagefrage des BAG zu entscheiden, ob geringes oder fehlendes Verschulden auf Seiten des Verantwortlichen oder des Auftragsverarbeiters bei der Bemessung der Höhe zu seinen Gunsten berücksichtigt werden kann.

Art. 82 Abs. 3 DSGVO sieht vor, dass der Verantwortliche bzw. Auftragsverarbeiter von der Haftung nur dann befreit wird, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Wenn der EuGH die Frage positiv beantwortet, wird das in Zukunft die Höhe manches zugesprochenen Schadensersatzes verringern.

Streitfrage, ob auch generalpräventive Gesichtspunkte bei der Schadensersatzhöhe zu berücksichtigen sind

Eine weitere Frage, die das BAG dem EuGH zur Entscheidung vorgelegt hat, befasst sich mit dem spezial- oder generalpräventiven Charakter des Schadensersatz nach Art. 82 Abs. 1 DSGVO.

Wie der Begriff des Schadens in der DSGVO auszulegen ist, erläutert Erwägungsgrund 146 DSGVO. Demnach soll der Begriff des Schadens weit auf eine Art und Weise ausgelegt werden, die den Zielen der DSGVO in vollem Umfang entspricht.

Eine Ansicht vertritt, dass damit gemeint sei, dass anders als zum Beispiel im deutschen Zivilrecht, Schadensersatzforderungen nicht nur entstandene Nachteile ausgleichen, sondern darüber hinaus abschrecken und weitere Verstöße unattraktiv machen sollen. Der Schadensersatz bekäme dann einen strafenden Charakter.

In der aktuellen Rechtsprechungspraxis wird diese Frage momentan noch unterschiedlich gehandhabt. Während manche Gerichte der genannten Ansicht folgen und deshalb zu höheren Schadensersatzzahlungen verurteilen, gehen manche den Weg des klassischen Schadensersatzes und ersetzen nur den tatsächlich entstandenen Schaden.

Auch diese Frage wird enorme Auswirkungen auf die Höhe möglicher Schadensersatzansprüche haben, da die Unterschiede zum Teil enorm sind.

Streitfrage der Rechtsgrundlage bei Gesundheitsdaten

Die Frage nach der richtigen Rechtsgrundlage der Verarbeitung von Gesundheitsdaten und anderen besonders personenbezogenen Daten ist immer wieder umstritten.

Der BAG hat das nun dem EuGH mit der Frage vorgelegt, ob neben Art. 9 Abs. 2 lit. h DSGVO zusätzlich die Rechtsgrundlage Art. 6 Abs. 1 DSGVO vorliegen muss, wie es die deutschen Aufsichtsbehörden in ihrem Kurzpapier Nr. 17 aktuell verlangen.

In der Praxis ist das durchaus eine relevante Frage, da je nach Antwort des EuGHs die Findung einer Rechtsgrundlage in einigen Fällen erleichtert werden könnte.

Streitfrage des Schufa-Scorings

Schließlich liegt dem EuGH nun auch die Frage vor, ob das Schufa-Scoring gegen Art. 22 DSGVO und damit den Schutz vor automatischer Entscheidungsfindung verstößt. Durch das Scoring entsteht ein Wahrscheinlichkeitswert, der die Kreditwürdigkeit der betroffenen Person bestimmt. Es werden allgemeine statistische Informationen zu Grunde gelegt. Händler greifen auf die bei den Auskunfteien gespeicherten Daten zurück (z.B. von Banken, Versicherungen, Energieversorgern oder Immobiliengesellschaften). So glaubt die Auskunftei die Wahrscheinlichkeit eines Zahlungsausfalls anhand von Daten wie Alter, Geschlecht, Wohnort oder der Anzahl an Girokonten – unabhängig von deren Deckung – errechnen zu können, den sogenannten Score-Wert.

Das Scoring ermittelt einen Wert, der für sich genommen bereits zur Entscheidung über eine Kreditvergabe oder einen Online-Kauf führen kann. Gerade diese menschenlose Entscheidungsfindung wollte der Verordnungsgeber durch Art. 22 DSGVO verhindern. Außerdem hat der EuGH zu entscheiden, ob alternativ der § 31 BDSG als Rechtsgrundlage herangezogen werden kann oder europarechtswidrig ist. In § 31 BDSG sind weitergehende Zulässigkeitsvoraussetzungen von Scoring benannt als in der DSGVO.

Lesen Sie dazu auch unseren Ratgeber zu Profiling und automatisierter Entscheidungsfindung sowie zu Bonitätsprüfungen im Onlinehandel!

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

750.000 Euro Bußgeld wegen mangelhafter Information minderjähriger Betroffener

Die niederländische Datenschutzbehörde (DPA) verhängte am 22. Juli 2021 gegen den Bertreiber der beliebten App TikTok eine Geldstrafe in Höhe von 750.000 Euro. Nach Ansicht der DPA hatte das Unternehmen seine zum Teil sehr jungen Nutzer nicht richtig informiert.

Hintergrund und Begründung der DSGVO-Geldbuße

Die Informationen, die TikTok den niederländischen Nutzern, darunter viele Minderjährige, bei der Installation und Nutzung der App zur Verfügung stellte, waren nur auf Englisch und daher nach Ansicht der zuständigen Aufsichtsbehörde nicht ohne Weiteres für alle Betroffenen verständlich. Indem TikTok seine Datenschutzerklärung nicht auf Niederländisch anbot, versäumte es das Unternehmen, angemessen zu erklären, wie die App personenbezogene Daten sammelt, verarbeitet und nutzt. Dies sei, so die niederländische Aufsichtsbehörde, ein Verstoß gegen die Informationspflichten der DSGVO.

Das soziale Netzwerk ist vor allem bei Kindern und Jugendlichen beliebt, die besonders schutzbedürftig sind. TikTok legte Einspruch gegen die Geldstrafe ein. In einer Stellungnahme erklärte TikTok, dass die Datenschutzerklärung speziell auch für jüngere Nutzer bereits seit Juli 2020 auf Niederländisch zur Verfügung gestanden hätte. Die Datenschutzbehörde habe dies als Lösung des Problems akzeptiert.

Weitere Datenschutzverstöße wurden von der Behörde nicht geahndet. Jedoch nicht, weil sie sonst nichts gefunden hätte. Das für seine Datenschutzpraktiken häufig kritisierte Unternehmen (siehe etwa der 92-Millionen-Dollar-Sammelklage-Vergleich wegen des Scannens von Gesichtern Minderjähriger in den USA) gründete während der laufenden Ermittlungen eine Niederlassung in Irland, weswegen die niederländische Aufsichtsbehörde ab diesem Tag die Zuständigkeit verlor und nur gegen den in der Vergangenheit liegenden Verstoß vorgehen konnte, für den sie dann auch das Bußgeld aussprach.

Die Ergebnisse der weiteren Untersuchung wurden jedoch an die irische Behörde übermittelt, damit diese die Untersuchungen fortsetzen kann. Man darf daher gespannt sein, ob dem Unternehmen weitere Maßnahmen drohen.

Tipp: Wir kommentieren regelmäßig verhängte DSGVO-Bußgelder und erläutern, was andere Unternehmen tun können, um solche Strafen zu vermeiden!

Datenschutzrechtliche Einschätzung der Geldbuße

Gemäß Art. 13 DSGVO müssen Betroffene über die Verarbeitung ihrer personenbezogenen Daten ausführlich informiert werden, um immer eine klare Vorstellung davon zu haben. Den Maßstab für eine solche transparente Information gibt Art. 12 Abs. 1 S. 1 DSGVO vor. Danach muss der Verantwortliche die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder bzw. Minderjährige richten.

In welcher Sprache konkret die Datenschutzerklärung verfasst sein soll, ist in der DSGVO nicht geregelt. Die Vorgaben des Art. 12 DSGVO lassen jedoch erkennen, dass der Betroffene in der Lage sein soll, die Informationen zu verstehen. Die Artikel 29 Datenschutzgruppe  (heute der Europäische Datenschutzausschuss) stellte in ihren Guidelines on transparency under Regulation 2016/679 2017 bereits 2017 klar, dass aus Transparenzgründen eine Übersetzung in eine oder mehrere andere Sprachen bereitgestellt werden soll, wenn der für die Verarbeitung Verantwortliche sich an Personen richtet, die diese Sprachen sprechen.

Bei der Entscheidung über die Sprache der Datenschutzerklärung sollte also vorrangig auf den Empfängerkreis abgestellt werden. In der Regel wird die Datenschutzerklärung also in der Sprache des Landes zu verfassen sein, in dem die Webseite oder die App betrieben wird. Im vorliegenden Fall wäre das für niederländische Nutzer, insbesondere wenn die Zielgruppe Kinder sind, bei denen davon ausgegangen werden muss, dass keine Fremdsprachkenntnisse vorliegen, Niederländisch.

Anforderung an eine transparente Information

Um sich nicht einer ähnlichen Bußgeldgefahr wie TikTok auszusetzen, sollten Sie sich immer versuchen in die betroffene Gruppe hineinzuversetzen und überlegen, was die durchschnittliche Person dieser Gruppe mit der gegebenen Information anfangen könnte.

Ein anderer Indikator können zum Beispiel Berufsgruppen sein. So darf ein Informationsschreiben für eine Veranstaltung für Rechtsanwälte sicher juristischer formuliert sein und Gesetzesverweise enthalten, während das für Nichtjuristen regelmäßig nicht verständlich sein könnte. Ähnliches wäre bei der Beschreibung von technischen Abläufen für Informatiker und Nichtinformatiker zu sagen.

Im Zweifel sollten Sie einen Betroffenen fragen, ob er die Information versteht, oder Sie ziehen professionellen Rat hinzu. Nutzen Sie auch gerne unseren kostenlosen Generator zur Erstellung einer datenschutzkonformen Datenschutzerklärung, damit Sie bei der Erfüllung Ihrer Transparenzpflichten keine kostspieligen Fehler begehen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am: