Wann dürfen Arbeitgeber von Mitarbeitern ein Führungszeugnis verlangen?

Wer als Unternehmen neue Mitarbeiter sucht, will den Bewerbern natürlich ordentlich „auf den Zahn zu fühlen“. Schließlich gehen mit jedem Mitarbeiter nicht unerhebliche Kosten einher. Neben Ausbildung, Berufserfahrung und Soft Skills könnten dabei auch die Gesetzestreue eines Bewerbers bzw. im Umkehrschluss etwaige Straftaten interessieren. Die Anforderung eines Führungszeugnisses liegt da nahe. Doch in welchen Fällen erlaubt der (Mitarbeiter-)Datenschutz dem Arbeitgeber überhaupt ein solches Führungszeugnis zu verlangen? Wann ist das Zeugnis sogar vorgeschrieben? Welche Version eines Bundeszentralregisterauszuges ist die richtige? Und wie darf mit den darin enthaltenen Daten des Bewerbers umgegangen werden?

Was ist ein Führungszeugnis?

Das Führungszeugnis, umgangssprachlich auch „polizeiliches Führungszeugnis“ genannt, ist ein Auszug aus dem Bundeszentralregister beim Bundesamt für Justiz. Dort werden strafrechtliche Verurteilungen durch deutsche Gerichte, Vermerke über Schuldunfähigkeit, bestimmte Verwaltungsentscheidungen und weitere besondere gerichtliche Feststellungen (Strafdaten) eingetragen. Auch ausländische Verurteilungen gegen deutsche Staatsbürger sowie gegen in Deutschland geborene oder wohnhafte Personen werden dort eingetragen.

An der Zulässigkeit dieses Registers hat sich durch die Einführung der Datenschutz-Grundverordnung (DSGVO) für den Betrieb des Bundeszentralregisters nicht viel geändert. Art. 10 S. 1 DSGVO erklärt nunmehr ausdrücklich, dass Strafdaten einerseits durch Behörden gespeichert werden dürfen. Andererseits ist die Sammlung der Daten danach auch erlaubt, soweit ein nationales Gesetz existiert, dass für den Schutz dieser Daten hinreichende datenschutzrechtliche Garantien enthält. Und das Bundeszentralregistergesetz (BZRG) enthält gleich mehrere Garantien, die diesen Schutz sicherstellen.

Welche Arten und Zwecke von Führungszeugnissen gibt es?

Das Führungszeugnis kann entweder für private Zwecke oder zur Vorlage bei einer Behörde beantragt werden. Man unterscheidet dabei folgende Arten:

  • Führungszeugnis für private Zwecke: enthält nur Verurteilungen, bei denen die Geldstrafe über 90 Tagessätze liegt bzw. eine Bewährungsstrafe von mehr als drei Monaten verhängt wurde (sofern keine weiteren Vorstrafen bestehen);
  • Führungszeugnis für eine Behörde: erhalten ausschließlich Behörden (auf Verlangen), enthält deutlich mehr Informationen vermerkt als das Führungszeugnis für private Zwecke, z. B. auch die gerichtlich angeordnete Unterbringung in einer psychiatrischen Anstalt;
  • Europäisches Führungszeugnis: ist vor allem dann wichtig, wenn der Bewerber Staatsangehöriger eines anderen EU-Mitgliedsstaates ist und enthält Nachweise über Verurteilungen, die im Herkunftsland stattgefunden haben;
  • Erweitertes Führungszeugnis: muss mit zusätzlichem Aufforderungsschreiben nachgewiesen werden und wird zur Prüfung der persönlichen Eignung von Menschen benötigt, die in ihrer beruflichen oder ehrenamtlichen Tätigkeit mit Minderjährigen in Kontakt kommen.

Wie kann der Arbeitgeber an das Führungszeugnis gelangen?

Als Arbeitgeber haben Sie nicht die Möglichkeit, das Führungszeugnis beim Bundesamt für Justiz selbst anzufordern. Beantragen kann das Führungszeugnis nur der Betroffene selbst. Es sollte daher vor der Jobzusage in aller Regel eine Klausel in den Arbeitsvertrag aufgenommen werden, wonach der Bewerber bzw. (zukünftige) Arbeitnehmer die Vorlage eines Führungszeugnisses bis zu einem bestimmten Zeitpunkt schuldet.

In welchen Fällen darf der Arbeitgeber ein Führungszeugnis einsehen bzw. kopieren?

§ 26  Abs. 1 S. 1 Bundesdatenschutzgesetz (BDSG) stellt klar, dass vom Arbeitgeber nur solche personenbezogenen Daten erhoben, verarbeitet und genutzt werden dürfen, die notwendig sind, um zu entscheiden, ob jemand eingestellt wird bzw. die für die Durchführung und später die Beendigung des Arbeitsverhältnisses gebraucht werden.

Sofern

  • der Arbeitgeber als freier Träger der Jugendhilfe anerkannt oder ein gemeinnütziger Verein ist oder
  • der Arbeitnehmer durch seine Tätigkeit in Kontakt mit Minderjährigen kommen kann bzw. die Tätigkeit in vergleichbarer Weise geeignet ist, Kontakt mit zu Minderjährigen aufzunehmen,

ist die Vorlage eines erweiterten Führungszeugnisses durch das Gesetz vorgeschrieben bzw. erlaubt (§ 72a SGB VIII, § 30a BZRG). Also müssen die Träger der Jugendhilfe bzw. dürfen die übrigen Arbeitgeber aus diesem Bereich das erweiterte Führungszeugnis verlangen. Um dieser gesetzlichen Pflicht nachzukommen, dürfen Arbeitgeber das Führungszeugnis in diesem Fall auch kopieren, um den Nachweis ihrer gesetzlichen Prüfpflicht dokumentieren zu können.

Was alle übrigen Fälle angeht, in denen der Bewerber nicht verpflichtet ist, ein Führungszeugnis vorzulegen, so gibt es bisher keine klare gerichtliche Entscheidung, ob Sie als Arbeitgeber ein solches verlangen dürfen. Allerdings geht wohl eine Mehrzahl der Juristen davon aus, dass dies nicht erlaubt ist, weil der Arbeitgeber dann auch Straftaten einsehen könnte, die keinen Arbeitsbezug haben. Das heißt aber nicht, dass der Arbeitgeber den Bewerber nicht nach Vorstrafen befragen darf. Die Anfertigung einer Kopie wird in diesen Fällen allein schon mit Blick auf den Grundsatz der Datenminimierung unzulässig sein.

Eine Ausnahme besteht nur dann, wenn für die zu besetzende Stelle jegliches strafrechtliche Vorverhalten relevant ist. Das wird zum Beispiel bei Datenschutzbeauftragten, Compliance-Verantwortlichen oder bei Kundenberatern bei einer Bank angenommen.

Was darf der Arbeitgeber mit Blick auf Vorstrafen fragen?

Ein Fragerecht des Arbeitgebers gegenüber dem Bewerber besteht nicht grenzenlos. Es gilt die Grundregel, dass die Fragen erlaubt sind, die in einem sachlichen Zusammenhang mit den (zukünftigen) Arbeitspflichten des Bewerbers stehen. Fragt der Personalleiter den Bewerber für den Job als Kranführer etwa danach, ob dieser schon mal für die Verunglimpfung des Bundespräsidenten (§ 90 Abs. 1 StGB) strafgerichtlich verurteilt wurde, so kann man davon ausgehen, dass kein sachlicher Zusammenhang zur zukünftigen Aufgabe besteht.

Soweit es für die konkrete Arbeitsstelle relevant ist, darf der Arbeitgeber Nachfragen mit Bezug zu folgenden Bereichen stellen:

  • fachliche Qualifikation für die (potenzielle) Tätigkeit
  • körperliche und gesundheitliche Verfassung
  • sonstige persönliche Eigenschaften (Vorstrafen, Vermögensverhältnisse, etc.)

Bestimmte Tatsachen unterliegen gesetzlichen (Diskriminierungs-)Verboten, z. B. nach § 1 Allgemeines Gleichbehandlungsgesetz (AGG). Macht der Arbeitgeber seine Auswahlentscheidung für eine Tätigkeit z. B. davon abhängig, ob die Bewerberin schwanger ist, so verstößt dies gegen das gesetzliche Diskriminierungsverbot aus § 1 AGG. Ein Bewerber bzw. eine Bewerberin muss eine solche Frage nicht beantworten. Und nicht nur das. Bei der Frage nach einer bestehenden Schwangerschaft darf die Bewerberin sogar lügen.

Welche Angaben aus dem Führungszeugnis darf der Arbeitgeber verarbeiten?

Da der (potenzielle) Arbeitgeber von etwaigen Einträgen im Führungszeugnis im Fall der Einsichtnahme Kenntnis erlangt, ist es erforderlich, den Kreis der Personen, die Zugriff auf das Führungszeugnis haben, auf das Notwendigste zu begrenzen. Gleichzeitig muss sichergestellt werden, dass auch „Zufallsfunde“ keine Auswirkungen auf das Arbeitsverhältnis haben.

Erhält der Steuerberater nach Beginn des Arbeitsverhältnisses durch Einblick in das Führungszeugnis Kenntnis davon, dass seine Office-Managerin wegen Herbeiführung einer nuklearen Explosion (§ 328 Abs. 2 Nr. 3 StGB) verurteilt wurde, kann er sie auf Basis dieses Eintrags nicht abmahnen bzw. kündigen, solange und soweit sich die Office-Managerin während ihrer Arbeit im Büro nichts zu Schulden hat kommen lassen.

Praxistipp: Prinzipien von Datensparsamkeit und Datenschutz anwenden

In denjenigen Fällen, in denen ein Arbeitgeber zu Recht ein Führungszeugnis oder erweitertes Führungszeugnis anfordert, sollte dafür Sorge getragen werden, dass nur diejenigen Informationen beim Arbeitgeber verbleiben, auf die der Arbeitgeber einen Anspruch hat. Dazu kann zunächst für die im Unternehmen vorkommenden Berufsbilder definiert werden, über welche möglichen Verurteilungen der Arbeitgeber Bescheid wissen sollte.

Dann wird eine zur Verschwiegenheit verpflichtete Person beauftragt, die eingehenden Führungszeugnisse dahingehend zu überprüfen, ob in diesen eine der vorher festgelegten Verurteilungen aufgeführt ist. Diese Person erstellt dann für die Personalakte eine Bestätigung, dass das Führungszeugnis vorgelegt wurde und dass es entweder keine relevanten Eintragungen enthält oder dass es solche enthält. Denkbar ist z. B., dass der Datenschutzbeauftragte diese Rolle übernimmt.

Enthält es keine relevanten Einträge, verbleibt das Führungszeugnis beim Arbeitnehmer und die Bestätigung wird in die Personalakte aufgenommen. Damit ist sichergestellt, dass niemand von etwaigen nicht-einschlägigen Verurteilungen Kenntnis erlangt.

Sollten dagegen im Führungszeugnis tatsächlich relevante Einträge enthalten sein, so geht diese Information an diejenigen Personen, die über die Einstellung entscheiden. Denn in diesem Fall gibt es ganz sicher Gesprächsbedarf mit dem Arbeitnehmer.

Dieser aktualisierte Artikel wurde zuerst am 23. Januar 2017 veröffentlicht.

Datenschutz von Bewerbern und Mitarbeitern kann eine ganz schön persönliche Sache werden. Mit einem unserer Experten als externen Datenschutzbeauftragten bleiben Sie auf der sicheren Seite!

Gerichtsurteile zur DSGVO

Die seit Mai 2018 geltende europäische Datenschutz-Grundverordnung (DSGVO) stellt zwar eine große Zahl von Datenschutzvorschriften auf, bleibt jedoch in vielen Punkten auslegungsfähig. Zudem ist die Vereinbarkeit mit nationalem Recht noch nicht überall vollständig geklärt. An dieser Stelle sammeln wir deswegen relevante Gerichtsurteile zur DSGVO, die Unternehmen dabei helfen, DSGVO-Compliance zu erzielen. Urteile zu vergleichbaren Fragestellungen fassen wir zusammen oder wägen sie miteinander ab. Derzeit kommentieren wir 10 aktuelle Urteile zur DSGVO.

Das Kunsturhebergesetz (KUG) und die Grundsätze der Rechtsprechung dazu bleiben auch unter der Datenschutz-Grundverordnung (DSGVO) weiter anwendbar. Das haben mittlerweile zwei Gerichte in unterschiedlichen Sachverhalten bestätigt.

OLG Köln

Das Kunsturhebergesetz (KunstUrhG) sieht in § 23 Ausnahmen vor, nach denen auch ohne die Einwilligung der betroffenen Personen beispielsweise „Bildnisse aus dem Bereiche der Zeitgeschichte“ und „Bilder, auf denen die Personen nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen“ veröffentlicht werden dürfen.

Mit Anwendbarkeit der der DSGVO (EU-Datenschutz-Grundverordnung) entstand die Unsicherheit, ob man sich bei der Veröffentlichung von Bildern zu solchen journalistischen Zwecken weiter auf diese Ausnahmeregeln berufen kann. Mit seinem Beschluss vom 18. Juni 2018 (AZ: 15 W 27/18) stellte das OLG Köln nun fest, dass sich das KunstUrhG in eine Öffnungsklausel der DSGVO einfügt und somit weiter anwendbar bleibt.

Bis zur DSGVO war Art. 9 der Richtlinie RL 95/46/EG das Einfallstor für nationale Gesetze, die zugunsten der Verarbeitung zu journalistischen Zwecken Abweichungen und Ausnahmen von den europäischen Vorgaben im Datenschutz aufstellten.

Diesen Bereich regelt nun Art. 85 DSGVO. Er regelt ihn aber wieder nicht inhaltlich – macht also keine materiell-rechtlichen Vorgaben – sondern ermächtigt (wie zuvor Art. 9 der Richtlinie RL 95/46/EG) als sog. Öffnungsklausel die Mitgliedstaaten, eigene Regelungen zu finden, den Datenschutz mit der Meinungs- und Informationsfreiheit in Einklang bringen.

Eine solche Regelung ist laut dem Beschluss des OLG Köln beispielsweise § 23 KunstUrhG. Das Gericht interpretiert Art. 85 DSGVO so, dass nicht nur neue, sondern auch bestehende Regelungen diese Öffnungsklausel füllen können.

Es geht sogar noch einen Schritt weiter und gibt künftigen Anwendern dieser Gesetze mit, dass im Rahmen der Abwägung innerhalb des KunstUrhG die unionsrechtlichen Grundrechtspositionen zu berücksichtigen sind. Das ist ein Verweis auf die Grundrechtecharta, die in Art. 8 den Schutz personenbezogener Daten und in Art. 11 die Freiheit der Meinungsäußerung und Informationsfreiheit festschreibt. Diese sind nun bei der Auslegung der Ausnahmeregelung in § 23 KunstUrhG zu berücksichtigen.

Wer mit den Entscheidungen des EuGH in Bezug auf Fortgeltung nationalen Rechts vertraut ist, der erkennt hier, wie geschickt das OLG Köln die Weitergeltung des KunstUrhG begründet: Der EuGH zieht eine „unionsrechtsfreundliche Auslegung“ nationaler Gesetze immer dem Widerspruch und der damit verbundenen Unanwendbarkeit nationaler Gesetze vor. Dadurch, dass sich das KunstUrhG laut OLG Köln als nationales Gesetz in der Öffnungsklausel des Art. 85 DSGVO einfügt und zusätzlich dazu nun mit Hinblick auf europäische Grundrechte ausgelegt werden muss, sind den europäischen Gerichten die Angriffspunkte genommen.

Die DSGVO verdrängt damit das KunstUrhG nicht – wie von manchen erwartet worden war – sondern bezieht das KunstUrhG in das Regelungsgeflecht mit ein. Für journalistische Fotografien gelten damit weiterhin die bekannten Regeln des KunstUrhG.

LG Frankfurt

Das Landgericht (LG) Frankfurt musste über die Frage entscheiden, ob die Veröffentlichung von Videoaufnahmen mangels Einwilligung untersagt werden kann. Im Fall hatte ein Friseurbetrieb zu Werbezwecken Videoaufnahmen von einer Haarverlängerung bei der Klägerin gemacht und diese auf Facebook veröffentlicht. Die Klägerin verlangte daraufhin Unterlassung der weiteren Veröffentlichung.

Die Streitfrage ist bei Foto- und Videoaufnahmen regelmäßig, ob das KUG als nationales Gesetz überhaupt Anwendung findet, wenn die DSGVO als EU-Verordnung eigene Regeln für solche Fälle aufstellt und daher also höheres Recht vorrangig anwendbar ist. Die DSGVO sieht in Art. 85 Abs. 1 aber vor, dass nationale Gesetzgeber eigene Rechtsvorschriften in bestimmten Bereichen erlassen können.

Das Gericht ist bei seiner Entscheidung zunächst zurückhaltend und hält fest, dass es offenbleiben könne, ob die §§ 22, 23 KUG als Rechtsvorschriften im Sinne von Art. 85 Abs. 1 DSGVO weiter Geltung entfalten könnten.  Das liegt daran, dass es in beiden Fällen zur Anwendung der Grundsätze von Art. 22, 23 KUG und damit zum gleichen Ergebnis gelangt:

Direkte Anwendung des KUG als spezielles Gesetz über Art. 85 Abs. 1 DSGVO

Einmal erfolgt dies durch die direkte Anwendung über Art. 85 Abs. 1 DSGVO, der den nationalen Gesetzgebern als sog. „Öffnungsklausel“ die Möglichkeit gibt, durch eigene Rechtsvorschriften die Meinungs- und Informationsfreiheit mit dem Datenschutz in Einklang zu bringen. Eine direkte Anwendung des KUG setzt voraus, dass in Art. 85 Abs. 1 DSGVO auch Rechtsvorschriften gemeint sind, die vor der DSGVO bestanden. Dies entspricht der oben diskutierten Ansicht des OLG Köln, das davon ausgeht, dass Art. 85 Abs. 1 DSGVO nicht nur neu geschaffene Gesetze umfasst.

Indirekte Anwendung des KUG im Rahmen der Abwägung beim „berechtigten Interesse“

Alternativ dazu prüft das LG Frankfurt auch, die Regeln der DSGVO zur Einwilligung und anderen Rechtsgrundlagen anzuwenden und das KUG zunächst außer Acht zu lassen. Art. 6 Abs. 1 lit. a) in Verbindung mit Art. 7 (Einwilligung als Rechtsgrundlage in der DSGVO) führen zu dem Ergebnis, dass die Verarbeitung nicht zulässig ist, weil keine Einwilligung vorliegt.

Im Anschluss wird geprüft, ob die Veröffentlichung möglicherweise durch Art. 6 Abs. 1 lit. f) (berechtigtes Interesse) gerechtfertigt werden kann. Hierbei kommt es nun doch zur Anwendung von 22, 23 KUG. Die Kammer „erachtet insoweit die Grundsätze der §§ 22, 23 KUG und die dazu ergangene Rechtsprechung – unter Berücksichtigung einer entsprechenden europarechtsautonomen Auslegung – als Gesichtspunkte, die im Rahmen von Art. 6 Abs. 1 lit. f) DSGVO und der Abwägung der Interessen und Grundrechte einzubeziehen sind“ und verweist dann auf das Ergebnis von oben, das unter der Anwendung der §§ 22, 23 KUG gefunden wurde. In dieser Variante ist also die Abwägung beim „berechtigten Interesse“ in Art. 6 Abs. 1 lit. f) DSGVO das Einfallstor für das KUG.

Beide Wege führen zu dem Ergebnis, dass eine weitere Veröffentlichung mangels Einwilligung unterlassen werden muss. Die gleichen Regeln dürften für Fotoaufnahmen gelten.

Es beweist sich ein weiteres Mal, dass die DSGVO nicht alles „auf den Kopf stellt“, sondern trotz des Anwendungsvorrangs des Europarechts Platz für die direkte und indirekte Wirkung nationaler Gesetze und dazugehöriger Rechtsprechung lässt.

Verantwortlicher Redakteur der activeMind AG: Michael Kohlhuber

In einem Teilurteil vom 24.10.2018 musste sich das Oberlandesgericht (OLG) München mit der Frage auseinandersetzen, ob die Bestimmungen der DSGVO einem Auskunftsanspruch entgegenstehen, von dem auch Kundendaten betroffen waren. Dabei macht das Gericht Ausführungen zur Auslegung der „berechtigten Interessen“ aus Art. 6 Abs. 1 lit. f DSGVO und verwendet bei der Argumentation den Begriff der „wirtschaftlichen Daten“.

Das Gerichtsverfahren

In der Sache hatten sich die Parteien darum gestritten, dass die eine Partei einen Schadenersatzanspruch geltend machen wollte, die andere Partei aber nicht die Informationen preisgeben wollte, die zur Geltendmachung dieses Anspruchs relevant waren. Bei einem Vertragshändlervertrag kann diese Auskunft unter gewissen Umständen aus Treu und Glauben (§242 BGB) geschuldet sein.

Wenn man die Entscheidung auf den datenschutzrechtlichen Inhalt beschränkt, lautet die Ausgangsfrage wie folgt: Steht der Datenschutz einem Auskunftsanspruch im Rahmen eines Vertragshändlervertrags entgegen, wenn in der geforderten Auskunft Kundendaten (Namen und Anschrift der Abnehmer) enthalten sind.

Berechtigtes Interesse ist weit auszulegen

In seiner Urteilsbegründung verweist das Gericht auf Art. 6 Abs. 1 lit. f DSGVO („Wahrung von berechtigten Interessen“) als Rechtsgrundlage der Verarbeitung. Sinn und Zweck dieser Rechtsgrundlage sei, „einen Ausgleich zwischen den Interessen des Betroffenen und jenen des Verantwortlichen (oder eines Dritten) zu schaffen“.

Die Richter gehen zunächst auf den Erwägungsgrund 47 DSGVO ein, der in Satz 2 das Kundenverhältnis ausdrücklich aus Beispiel für ein berechtigtes Interesse nennt. Das Gericht  argumentiert dem Gesetzestext entsprechend darüber hinaus auch mit den (Unions-)Grundrechten und stellt fest, dass im Hinblick auf diese eine weite Auslegung des berechtigten Interesses geboten ist.

Anders als es von vielen Verantwortlichen und Betroffenen derzeit empfunden wird, ist der Schutz personenbezogener Daten (Art. 8 EU-Grundrechtecharta) nämlich kein absolutes und unantastbares Recht, sondern muss immer auch mit anderen Grundrechten in Einklang gebracht werden. Dies ermöglicht beispielsweise Art. 6 Abs. lit. f) DSGVO. Im vorliegenden Fall nennt das Gericht die Berufsfreiheit (Art. 15 EU-Grundrechtecharta) als einschlägiges Grundrecht. Oftmals ist es auch die Freiheit der Meinungsäußerung und Informationsfreiheit (Art. 11 EU-Grundrechtecharta), die als berechtigtes Interesse mit dem Datenschutz in Einklang gebracht werden muss.

Die Art der Daten ist entscheidend

Wenn es darum geht, welche personenbezogenen Daten besonders schützenswert sind und welche weniger schützenswert sind, hat die DSGVO im Grunde eine einfache Einteilung: Für alle personenbezogenen Daten gelten die Verarbeitungsgrundsätze der DSGVO und für manche „besondere Kategorien“ personenbezogener Daten (Art. 9 Abs. 1 DSGVO) gelten bei der Verarbeitung strengere Regeln.

Warum spricht das OLG München im Rahmen der Interessenabwägung nun ausgerechnet von „wirtschaftlichen Daten“, wenn es ausführt, dass im Hinblick auf die Ermittlung eines möglichen Schadensersatzanspruches „der Gesichtspunkt des Schutzes der wirtschaftlichen Daten der jeweiligen Kunden der Klägerin nicht höhergestellt werden“ kann?

Der Begriff „wirtschaftliche“ Daten stellt die Erhebung und die Verarbeitung der Daten in den korrekten Kontext und bewertet die Schutzwürdigkeit der Daten innerhalb dieses Kontextes:

Es sei „besonders zu berücksichtigen, dass die Daten keinen höchst persönlichen Bereich oder ein besonderes Knowhow der Branche betreffen, sondern einen nach außen hin […] nicht verborgen bleibenden Kaufvorgang.“ Auch der Aspekt wirtschaftlicher Geheimhaltung falle nicht ins Gewicht, da die Auskunft nicht Daten wie Ratenzahlung, Kreditfinanzierung umfasse.

Das zeigt, dass bei der Einordnung der Schutzwürdigkeit von Daten nicht nur in „normale“ und „besondere Kategorien“ von Daten einzuteilen ist, sondern auch der Kontext (Kundenverhältnis, Behandlung als Patient beim Arzt, Bewerbung auf eine Arbeitsstelle) und die Einordnung der Daten innerhalb dieses Kontexts zu beachten sind.

Insgesamt kann man an diesem Urteil auch erkennen, dass sich datenschutzrechtliche Vorgaben aus dem Unionsrecht durchaus in nationale Rechtsordnungen einfügen: Es wurde ein vom BGH in ständiger Rechtsprechung entwickelter Auskunftsanspruch geprüft, der sich auf nationales Recht (§ 242 BGB) stützt und bei dessen Geltendmachung die Übermittlung der personenbezogenen Daten in durch eine von der Datenschutz-Grundverordnung vorgesehene Rechtsgrundlage (Art. 6 Abs. 1 lit. f DSGVO) ermöglicht wird.

Verantwortlicher Redakteur der activeMind AG: Michael Kohlhuber

In einem Eilverfahren setzte sich der Verwaltungsgerichtshof (VGH) Bayern mit der Anwendung des Marketingtools Facebook Custom Audiences auseinander. In ihrem Beschluss vom 26. September 2018 schränkten die Richter die Nutzung von FCA deutlich ein (Az.: 5 CS 18.1157).

Durch Facebook Custom Audiences können Kunden zielgerichtet mit Werbung versorgt werden. Hat das Unternehmen einen eigenen Facebook-Account, so kann es dort seine Kundendaten hochladen. Mittels der sog. kryptographischen Hash-Funktion SHA-256 (Umwandlung in eine feste Zeichenkette) wird aus jedem hochgeladenen Kundendatum ein Hash-Wert gebildet. Dieser Wert wird wiederrum mit denen von registrierten Facebook-Nutzern abgeglichen. Stimmen die Hash-Werte überein, erhalten die jeweiligen Nutzer zielgerichtete Werbung von jenem Unternehmen, das die FCA-Funktion nutzt. Um diese Genauigkeit noch zu steigern, reichert Facebook die Daten „gematchter“ Nutzer noch mit Informationen (IP-Adressen, Interaktion mit FCA nutzenden Unternehmen, Facebook-Profil des Nutzers, etc. pp.) aus anderen Quellen an.

Der Bayerische Verwaltungsgerichtshof beschloss nun, dass

  • Facebook gegenüber dem Unternehmen, das FCA einsetzt, kein Auftragsverarbeiter, sondern Dritter ist,
  • der Einsatz von FCA der vorherigen Einwilligung durch den betroffenen Nutzer bedarf und
  • auch wenn das Unternehmen ein berechtigtes Interesse (altes Recht: § 28 Abs. 3 S. 2 Nr. 1 BDSG a. F., neues Recht: Art. 6 Abs. 1 S. 1 lit. f DSGVO) an zielgerichteter Werbung hat, überwiegt in diesem Fall das Interesse des Betroffenen, der nicht damit rechnen muss, dass das Unternehmen seine E-Mail-Adresse an Facebook weitergibt.

Zur Begründung, dass keine Auftragsverarbeitung durch Facebook vorliege, führten die Richter an, dass der Social-Media-Konzern selbst festlegen kann, nach welchen Kriterien der Facebook-Nutzer beworben wird. Dies spricht gegen die Weisungsgebundenheit, die einen Auftragsverarbeiter stets auszeichnet.

Ob und wie Sie FCA weiterhin nutzen können, finden Sie in unserem Ratgeber zum DSGVO-konformen Einsatz von Facebook Custom Audiences.

Verantwortlicher Redakteur der activeMind AG: Johannes Zwerschke

Der Bundesgerichtshof (BGH) musste sich mit Art und Dauer einer Einwilligung in die Kontaktaufnahme zu Werbezwecken beschäftigen. Im Urteil vom 1. Februar 2018 (AZ: III ZR 196/17) schufen die Richter in beiden Fragen Klarheit.

Der Sachverhalt

Am Ende des Bestellprozesses bot ein Telefondienstleister seinen Kunden an, ein Kästchen auszuwählen, mit dem in die nachfolgende Erklärung zur Zusendung neuer Angebote über E-Mail, Telefon, SMS oder MMS eingewilligt werden sollte. Der Kläger hielt diese Vorgehensweise für unwirksam und trug den Rechtsstreit über das Landgericht und das Oberlandesgericht Köln bis vor den BGH, um eine Unterlassung der Verwendung dieser Klausel in den Allgemeinen Geschäftsbedingungen (AGB) zu erreichen.

Der BGH hält die Klausel jedoch für wirksam und stellt in seiner Urteilsbegründung gleich zwei Punkte klar:

  1. Eine Einwilligung kann für mehrere Kanäle (der Kontaktaufnahme bzw. Werbung) auf einmal eingeholt werden.
  2. Die Wirksamkeit einer Einwilligung erlischt nicht allein durch Zeitablauf.

Mehrere Kanäle – eine Einwilligung

Da in § 7 UWG (Gesetz gegen den unlauteren Wettbewerb) bei den verschiedenen Kontaktmöglichkeiten (E-Mail, Telefon, Fax, SMS) die gleichen Voraussetzungen an die Einwilligung gestellt werden, ist laut BGH die Einholung einer umfassenden Einwilligung möglich und auch ausreichend:

„Die gesetzlichen Voraussetzungen in § 7 Abs. 2 Nr. 2 und 3 UWG für die Einwilligung eines Verbrauchers in eine Werbung über die dort genannten Kanäle stimmen überein, so dass sich hieraus kein Grund für getrennte Einwilligungserklärungen ergibt. Unter Schutzzweckgesichtspunkten ist eine gesonderte Einwilligung für jeden Werbekanal ebenfalls nicht erforderlich.“

Diese Einwilligung kann wie im vorliegenden Fall auch im Rahmen von AGB durch Einsatz eines Auswahlkästchens eingeholt werden.

Die Einwilligung hat kein Verfallsdatum

Darüber hinaus verfällt eine einmal eingeholte Einwilligung nicht durch reinen Zeitablauf:

„Eine zeitliche Begrenzung einer einmal erteilten Einwilligung sieht weder die Richtlinie 2002/58/EG noch § 7 UWG vor. Hieraus ergibt sich, dass diese – ebenso wie eine Einwilligung nach § 183 BGB – grundsätzlich nicht allein durch Zeitablauf erlischt.“

Dass eine einmal erteilte Einwilligung auch nach mehreren Jahren als Grundlage für Direktmarketing dienen kann, klingt auf den ersten Blick wenig verbraucher- und betroffenenfreundlich. Das LG Berlin hatte dies vor wenigen Jahren noch anders entschieden und ließ Einwilligungen „infolge Aktualitätsverlusts“ durch bloßen Zeitablauf erlöschen (LG Berlin, Urteil vom 6. April 2016, AZ: 15 O 515/15). Diese Sichtweise wird sich aber spätestens mit dem aktuellen BGH-Urteil nicht mehr durchsetzen können, denn auch die DSGVO sieht an keiner Stelle ein „Verfallsdatum“ für Einwilligungen vor.

Stattdessen gibt die DSGVO dem Betroffenen ein anderes Mittel zur Hand: das Widerrufrecht, auf das er vom Verantwortlichen ausdrücklich hingewiesen werden muss. Als Korrektiv enthält die DSGVO außerdem noch die Grundsätze von Treu und Glauben und Transparenz: Personenbezogene Daten müssen in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Der BGH hält in der vorliegenden Sache fest, dass hinsichtlich der Geltungsdauer der Einwilligung keine Bedenken bestünden, da diese auf die Laufzeit des Vertrages (zwei Jahre) begrenzt ist und dies für den Verbraucher einen überschaubaren Zeitraum darstelle. Indem der BGH dies ausdrücklich berücksichtigt, hält er sich offen, dies in Zukunft bei einer längeren Laufzeit auch anders zu entscheiden.

Datenschutzrechtliche Einschätzung

Der BGH traut dem Verbraucher als betroffene Person einen verständigen Umgang mit seiner Einwilligungserklärung zu. Er kann eine Einwilligung für mehrere Kontaktkanäle erteilen, die zunächst zeitlich unbegrenzt wirksam bleibt. Das erleichtert den Unternehmen als Verantwortlichen die Arbeit, ohne dem betroffenen Kunden die Kontrolle über seine Einwilligung zu nehmen.

Durch die Entscheidung hat der Verantwortliche jetzt nicht mehr die Rechtsunsicherheit, dass er trotz einer Einwilligung nach einer gewissen Zeit nicht mehr genau wissen kann, ob diese denn noch gültig ist. Das ist nur konsequent, denn die DSGVO legt die Kontrolle über die Rechtmäßigkeit der Verarbeitung in die Hände des Betroffenen: Mit der Erteilung der Einwilligung beginnt der rechtmäßige Zustand, mit der Erklärung des Widerrufs endet er.

Man muss sich als Verarbeiter daher nicht fragen, nach wie vielen Monaten oder Jahren genau eine wirksam erteilte Einwilligung erlischt. Man sollte sich als Überprüfung der Fortgeltung der Einwilligung aber folgende Fragen stellen: Ist sich der Betroffene immer noch über die Verarbeitung der Daten und im Klaren (Treu und Glauben, Transparenz) und würde er diese Einwilligung auch heute noch erteilen (Widerrufsrecht)?

Die Artikel-29 Datenschutzgruppe empfiehlt als Best Practice, eine erteilte Einwilligung „nach einer Weile“ von Untätigkeit (also keine Bewerbung) nochmals zu überprüfen, indem man die betroffene Person über ihre Einwilligung informiert.

Verantwortlicher Redakteur der activeMind AG: Michael Kohlhuber

Sie vermissen ein wichtiges Urteil zur DSGVO? Dann lassen Sie es uns bitte wissen! Schreiben Sie uns einfach eine E-Mail, dann prüfen wir den Richterspruch und veröffentlichen ggfs. unsere datenschutzrechtliche Einschätzung zum Gerichtsurteil.

Übrigens berichten wir auch regelmäßig zu den Prüfungen von Datenschutzaufsichtsbehörden, so dass Sie stets wissen, worauf die Behörden gerade ein besonderes Augenmerk richten.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Datenschutzrichtlinie von Apple aus dem Jahr 2011 ist teilweise rechtwidrig

Eine von Apple im Jahr 2011 verwendete „Datenschutzrichtlinie“ ist in weiten Teilen rechtswidrig. Die Darstellung der Verarbeitungen ersetzt nicht die tatsächliche Einholung von Einwilligungen für Nutzungen, die über die Zwecke der Vertragserfüllung hinausgehen.

Der Verbraucherzentrale Bundesverband e.V. (vzbv) hatte gegen eine Datenschutzrichtlinie von 2011 der Apple Sales International geklagt. Dort war festgehalten, dass man die personenbezogenen Daten für „Werbung, Verbesserung von Produkten und interne Zwecke“ nutzen würde. Auf dieser Grundlage wurden neben Kontaktdaten auch präzise Standortdaten an „strategische Partner“ weitergegeben.

Das Kammergericht (KG) Berlin hat in seinem Urteil vom 27. Dezember 2018 (AZ: 23 U 196/13) sieben von acht beanstandeten Klauseln für unzulässig erklärt. Die dort dargestellten Verarbeitungen entbehren einer Rechtsgrundlage und sind nicht mehr zur Vertragserfüllung notwendig.

Die entsprechenden Klauseln seien auch deswegen rechtswidrig, weil sie den Eindruck vermitteln würden, es komme auf die Einwilligung der Kunden gar nicht an. Das Gericht stellt in diesem Zusammenhang klar, dass die Erfüllung der Informationspflichten, die ein Betroffener ungefragt hinnehmen muss, nicht die Einholung der Einwilligung ersetzt.

Tipp: Wir kommentieren regelmäßig Urteile zur DSGVO bzw. zum Datenschutzrecht sowie deren Bedeutung für Praxis im Unternehmen!

Datenschutzrechtliche Relevanz des Urteils

Man beobachtet derzeit bei vielen Unternehmen, deren Geschäftsmodell der Weiterverkauf von personenbezogenen Daten zu Werbezwecken ist, dass man im Rahmen der Datenschutzerklärung zwar die Datenverarbeitung umfassend und transparent darstellt, dass die dargestellten Datenverarbeitungen aber nicht – oder zumindest so nicht – zulässig sind.

Hier genügt beispielsweise ein Blick in die Datenrichtlinien bekannter sozialer Netzwerke, mit denen die Informationspflichten nach Art. 13 f. DSGVO erfüllt werden sollen. Es reicht dabei nicht, nur die Datenverarbeitungen darzustellen. Diese müssen auch rechtmäßig sein, also vor allem eine rechtliche Grundlage haben (Art. 6 DSGVO) und die Grundsätze der Datenverarbeitung nach der DSGVO beachten (Art. 5 DSGVO).

Dabei werden drei Punkte oft außer Acht gelassen:

  1. Der Zweckbindungsgrundsatz (Art. 5 Abs. 1 lit. b) besagt, dass personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben und nicht über diese Zwecke hinaus verarbeitet werden dürfen. Oft stützt man sich auf die Vertragserfüllung als Zweck, obwohl viele der dargestellten Verarbeitungen nicht für die Vertragserfüllung notwendig sind. Ferner werden „harmlose“ Zwecke kommuniziert und die Weitergabe und der Verkauf von Daten zu Werbezwecken verheimlicht.
  2. Wer sich auf die Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit . f DSGVO) stützt, muss diese bei Erhebung begründen (Art. 13 Abs. 1 lit. d DSGVO). Ferner muss dieses berechtigte Interesse des Verantwortlichen den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person auch wirklich überwiegen.
  3. Wer sich auf die Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, Art. 7 DSGVO) der betroffenen Person beruft, muss diese tatsächlich und in rechtmäßiger Weise einholen und die Konsequenzen eines Widerrufs der Einwilligung umsetzen können.

Transparenz ist daher nur der erste Schritt. Es reicht nicht aus, offen zu kommunizieren, was man mit den Daten macht – die Verarbeitungen müssen an sich auch rechtmäßig sein.

Im besagten Fall stellt das Kammergericht ferner fest, dass die DSGVO auch für früher verwendete Klauseln maßgeblich sei, da diese für die Verarbeitung personenbezogener Daten uneingeschränkt gilt und die Unterlassungsklage des vzbv auf das künftige Verhalten des Unternehmens gerichtet war.

Es bleibt zu beobachten, ob die Gerichte auch weitere Datenschutzrichtlinien und Datenschutzerklärungen von verantwortlichen Unternehmen für rechtswidrig erklären, die auch heute noch mit ähnlichen Klauseln wie denen in der Apple-Datenschutzrichtlinie von 2011 arbeiten.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Facebook Custom Audiences: datenschutzkonform einsetzbar?

Seit der Einführung des Facebook-Marketingtools „Facebook Custom Audiences“ im Jahr 2012 war unklar, ob ein datenschutzkonformer Einsatz für werbetreibende Unternehmen möglich ist. Von den deutschen Datenschutzaufsichtsbehörden hat sich mehrfach das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) dazu zu Wort gemeldet. Mittlerweile liegen einige Gerichtsurteile vor, die etwas Klarheit bringen.

UPDATE: Der Verwaltungsgerichtshof (VGH) München hat in seinem Beschluss vom 26. September 2018 (Az.: 5 CS 18.1157) das Urteil des Verwaltungsgerichts (VG) Bayreuth und so eine Anordnung des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) bestätigt. Er stellt damit klar, dass die Aufsichtsbehörde den Betreiber eines Onlineshops zurecht zur Löschung einer Kundenliste (“Custom Audience“) verpflichtet hat. Er hält ferner fest, dass es sich beim Einsatz von Facebook Custom Audience nicht um einen Fall der Auftragsverarbeitung handelt, weil Facebook einen eigenen Bewertungs- und Ermessensspielraum bei der Ermittlung des zu bewerbenden Kundenkreises hat.

Was sind Facebook Custom Audiences?

Facebook ist eine Goldgrube für Marketers: eine scheinbar unendlich große Zahl potentieller Werbeadressaten, die raffiniertesten Technologien zur Zielgruppendefinition und eine sehr einfache Bedienung. Eines der beliebtesten Werbeverfahren ist Facebook Custom Audiences. Ein werbetreibendes Unternehmen – z. B. ein Shopbetreiber – kann durch Definition sogenannter „Custom Audiences“ in seinem Facebook-Account über das Netzwerk gezielt Personen bewerben lassen, die entweder seine Website besucht haben und/ oder zu denen ihm E-Mailadressen oder Telefonnummern vorliegen.

Facebook Custom Audiences gibt es in verschiedenen Varianten, die datenschutzrechtlich unterschiedlich zu bewerten sind. Die zwei bekanntesten Varianten sind die Upload- und die Website-Variante.

Custom Audiences Upload

Gehashte E-Mailadressen und Telefonnummern zur Identifikation von Facebook-Nutzern

Die elektronische Bewerbung eigener Kunden unterliegt in Europa strengen Regeln. Oft kommt man um eine Werbeeinwilligung nicht herum, möchte man keine Abmahnungen oder Bußgelder riskieren. Nicht alle Kunden sind jedoch bereit, in Werbung einzuwilligen. Da ist es praktisch, einen Partner wie Facebook zu haben, dem gegenüber der Kunde bereitwillig (wenn auch nicht unbedingt rechtswirksam) in die Nutzung seines veröffentlichten Profils für Werbezwecke eingewilligt hat. Bleibt da nur noch, Facebook darüber zu informieren, welche der eigenen Kunden denn über Facebook beworben werden sollen. Außerdem muss Facebook wissen, ob der Kunde überhaupt bei Facebook registriert ist – und entsprechend beworben werden kann. Hierzu benötigt Facebook Daten des werbenden Unternehmens.

Der Abgleich verfügbarer Facebook-Profile mit den Kunden, die ein Unternehmen bewerben möchte, erfolgt in der Upload-Variante über E-Mailadressen oder Telefonnummern, die das werbende Unternehmen auf Facebook hochlädt. Bei E-Mailadressen und/ oder Telefonnummern handelt es sich aus datenschutzrechtlicher Sicht meist um personenbezogene Daten, für deren Weitergabe nicht Facebook, sondern das werbende Unternehmen verantwortlich ist. Die Weitergabe bedarf grundsätzlich einer Einwilligung des Kunden, die dem werbenden Unternehmen jedoch oft nicht vorliegt.

Facebook: „Datenweitergabe dank Hashings unproblematisch.“

Aus Sicht von Facebook ist es möglich, den Personenbezug der Daten aufzuheben, indem die E-Mailadressen und die Telefonnummern vor dem Upload auf Facebook gehasht werden. Beim Hashing wird aus einem Datum ein Wert erzeugt, der einzig und allein aus diesem einen Datum erzeugt werden kann. Der Hashwert ist sozusagen der einzigartige Fingerabdruck eines Datums. Je nach angewandtem Hashing-Verfahren kann dieser Fingerabdruck unterschiedlich komplex sein.

Datenschutzbehörde: „Hashing hebt Personenbezug nicht auf.“

Die bayerische Datenschutzaufsichtsbehörde bezeichnete in ihrem Tätigkeitsbericht für die Jahre 2013/2014 die von Facebook gewählte Hashing-Methode MD5 als unsicher, was technisch in der Tat zutrifft. Demzufolge führe das angewandte Hashing bei Facebook nicht dazu, dass ein Personenbezug der Daten aufgehoben werde. Dies läge vor allem daran, dass die Hashwerte der E-Mailadressen und der Telefonnummern sehr leicht auf die Ursprungswerte zurückzurechnen seien. Die Weitergabe der E-Mailadressen oder der Telefonnummern ohne Einwilligung des Betroffenen stelle daher eine Ordnungswidrigkeit dar, die mit einem Bußgeld bestraft werden könne.

Ende 2015 führte die Behörde führte das BayLDA deswegen stichprobenartige Prüfungen bei bayrischen Unternehmen durch. Das Ergebnis:

„Durch die Gespräche mit den verantwortlichen Stellen im Rahmen der Prüfung haben wir festgestellt, dass das Verfahren Facebook Custom Audience in der Praxis durchaus Verbreitung findet. Die Unternehmen waren sich aber in keinem Fall bewusst, dass dabei eine datenschutzrechtliche Problematik besteht. Erst auf unser Schreiben hin wurden sie auf die datenschutzrechtlichen Hintergründe und Fragestellungen aufmerksam.“

Weitergabe personenbezogener Daten möglich?

Umstritten war, ob nicht auch eine Weitergabe personenbezogener Daten an Facebook im Rahmen einer Auftragsverarbeitung ohne Einwilligung des Betroffenen rechtskonform sein könnte. In diesem Fall wäre Facebook nicht als Dritter, sondern als weisungsgebundener Auftragsverarbeiter anzusehen gewesen.

Das Bayerische Verwaltungsgericht Bayreuth ist im Mai 2018 – noch vor dem Hintergrund des alten deutschen Datenschutzrechts – zu dem Ergebnis gekommen, dass es sich nicht um einen Fall der Auftragsverarbeitung handelt, sondern um eine Übermittlung an einen Dritten und dass es damit es stets der vorausgehenden Einwilligung des Nutzers sowohl in die Datennutzung als auch in die Datenweitergabe an Facebook bedarf. Diese Bewertung hat nun der VGH München bestätigt und ausführlich begründet, warum es sich nicht um einen Fall der Auftragsverarbeitung handelt.

Er trifft dabei drei Kernaussagen zur Auftragsverarbeitung, die voraussichtlich auch im Rahmen der DSGVO Fortgeltung haben werden:

  1. Maßgebend für die Einordnung eines Vorgangs als Auftragsverarbeitung ist eine objektive Qualifikation der auf Grundlage der vertraglichen Vereinbarung stattfindenden tatsächlichen Abläufe – das schließen eines Auftragsverarbeitungsvertrages macht den Dritten nicht zum Auftragsverarbeiter.
  2. Zur Bewertung, ob faktisch ein Auftragsverarbeitungsverhältnis vorliegt, kommt es darauf an, ob das beauftragte Unternehmen ob ein eigener Entscheidungs- und Ermessensspielraum durch den Auftraggeber ausgeschlossen wird (beispielsweise durch Vorgabe ausdifferenzierter Bewertungskriterien) oder ob das beauftragte Unternehmen ohne Vorgaben über die Datenverarbeitung entscheidet.
  3. Nur die vollständige Unterordnung bei der Erhebung, Verarbeitung und Nutzung der Daten unter die Vorgaben des Auftraggebers hinsichtlich Mittel und Zweck der Datenverarbeitung berechtigt dazu, die Datenübertragung an einen Auftragsverarbeiter von den gesetzlichen Rechtfertigungsanforderungen an die Weitergabe von personenbezogenen Daten auszunehmen. (Stichwort „Weisungsgebundenheit“)

Custom Audiences Website

Retargeting mit datenschutzrechtlich riskanten Identifikationspotentialen

E-Mailadressen und Telefonnummern liegen Websitebetreibern meist nur von Kunden und Newsletter-Abonnenten vor, nicht jedoch von unbekannten Besuchern der eigenen Website. Mit der Custom-Audiences-Website-Variante können auch Besucher der eigenen Website auf Facebook beworben werden. Hierzu wird ein unternehmensspezifischer Pixel in die Website des Unternehmens eingebunden. Besucht ein Facebook-Nutzer die Website, übermittelt das Pixel technische Daten zum Besuch der Website und zum Besucher zusammen mit einer gehashten Version der Facebook-ID des Besuchers an Facebook. Über einen Abgleich der übermittelten ID mit Hashwerten der bei Facebook gespeicherten IDs kann Facebook feststellen, welche Websitebesucher bei Facebook registriert sind und beworben werden können.

Personenbezug von Daten bei Websitebetreibern wohl nicht gegeben.

Wie bei der Upload-Variante ist auch bei der Website-Variante zunächst entscheidend, ob personenbezogene Daten verarbeitet werden. Im Unterschied zur Upload-Variante ist jedoch nicht nur die Weitergabe der Daten, sondern auch deren Erhebung durch den Website-Betreiber mithilfe des Retargeting-Pixels in die Prüfung einzubeziehen. Auch für diese Erhebung ist der Websitebetreiber (mit-)verantwortlich und zwar auch dann, wenn er nicht auf die erhobenen Daten zugreifen kann (siehe unser Ratgeber zu Facebook-Fanpages).

Die Erhebung von Daten über die Nutzung einer Website für Werbezwecke ist als Ergebnis einer Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO erlaubt, wenn die Daten in einem Besucherprofil nicht mit Daten vermischt werden, die eine Identifizierung des Besuchers ermöglichen würden. Eine Identifizierung könnten bestimmte Datenkategorien ermöglichen (z.B. Name, Standortdaten), aber auch eine große Zahl an verschiedenen an sich nicht personenbezogenen Daten, wenn diese das Trackingprofil des Nutzers einzigartig machen.

Vor diesem Hintergrund sollten Unternehmen in einer Custom Audience nach Möglichkeit nicht Daten verschiedener Unternehmenswebsites zusammenführen, sondern für jede Website ein eigenes Retargeting-Pixel verwenden.

Nicht zulässig wäre es ferner, die Nutzer-ID mit den Nutzungsdaten zusammenzuführen, da diese unzweifelhaft eine Identifizierung des Nutzers ermöglichen würde. Der Websitebetreiber hat jedoch allenfalls Zugriff auf den Hashwert der Nutzer-ID. Unter der Voraussetzung, dass Facebook inzwischen ein sicheres Hashing-Verfahren anwendet, lägen für den Websitebesucher zu keinem Zeitpunkt personenbezogene Daten vor. Im Oktober 2017 wurde allerdings laut BayLDA noch immer auf ein unsicheres Hashverfahren zurückgegriffen.

Sofern kein personenbezogenes Tracking erfolgt, wäre wohl auch die Stellungnahme der deutschen Datenschutzkonferenz zur Fortgeltung des TMG belanglos, wonach jedes Tracking einer vorausgehenden Einwilligung bedürfe. Die Behörden haben Ihre Stellungnahme in einer neueren Stellungnahme nämlich inzwischen soweit präzisiert, dass es sich um ein personenbezogenes Tracking handeln müsse.

Personenbeziehbarkeit für Facebook kann nicht ausgeschlossen werden.

Fraglich ist, ob auch hinsichtlich Facebook eine Personenbezogenheit der Daten verneint werden kann. Im Abgleich der Hashwerte durch Facebook könnte eine Zusammenführung des Website-Besucherprofils mit identifizierenden Daten des Facebook-Nutzers gesehen werden.

Eine echte Trennung der Daten würde voraussetzen, dass die Nutzungsprofile in den Custom Audiences unter keinen Umständen in die sonstigen Daten der betroffenen Facebook-Nutzer einfließen können (z.B. Daten, die über die Graph Search erreichbar sind). Facebook sichert in den Nutzungsbedingungen zu Facebook Custom Audiences folgendes zu:

„Facebook gewährt Dritten oder anderen Werbetreibenden keinen Zugriff auf die Custom Audience(s) und lässt ihnen auch keine Informationen darüber zukommen. Außerdem verwenden wir deine Custom Audience(s) auch nicht, um sie zu denjenigen Informationen hinzuzufügen, die wir über unsere Nutzer/innen haben, oder um interessenbasierte Profile zu erstellen oder für andere Zwecke, außer um dir Dienste bereitzustellen, es sei denn, wir haben deine Erlaubnis oder sind von Rechts wegen dazu verpflichtet.“

Fraglich ist allerdings, ob diese Zusicherung überhaupt praktisch realisierbar ist. Denn Ziel des Abgleichs ist es ja gerade, die Custom Audiences (mittels der Hashwerte) mit dem Facebook-Nutzer zu verbinden. Mag eine Zusammenführung des Custom-Audiences-Nutzungsprofils mit identifizierenden Daten zum Facebook-Nutzer von Facebook zwar nicht gewünscht sein, so ließe er sich doch durch Facebook problemlos durchführen, indem die Abgleichfunktion der Hashwerte nicht nur für die technisch gesteuerte Auswahl von Facebook-Nutzern, sondern auch zu deren (geheimer) Profilbildung genutzt würde.

Fazit: Risiken abwägen, Informationspflichten beachten.

Von einem Einsatz der Upload-Variante ohne vorausgehende Einwilligung des Nutzers sollten Unternehmen mit Hinblick auf die Stellungnahme der bayrischen Datenschutzaufsicht, des Urteils des VG Bayreuth und des VGH München in jedem Fall absehen. Die DSGVO stuft werbliche Zwecke zwar als berechtigtes Interesse ein (Erwägungsgrund 47 zur DSGVO), solange hierzu aber keine Aussage der Aufsichtsbehörden oder eine gerichtliche Entscheidung vorliegt, sollte man sich an der bisherigen Bewertung orientieren. Es würde ein nicht unerhebliches Risiko darstellen, die Weitergabe der Daten mit einem überwiegenden berechtigten Interesse des Unternehmens zu begründen.

Die Pixel-Variante ohne sogenannten erweiterten Abgleich kann unter den von der bayrischen Datenschutzaufsicht skizzierten Voraussetzungen mit etwas Risiko eingesetzt werden. Wichtig ist dabei eine ausreichende Information in den Datenschutzhinweisen und die Installation eines echten Widerspruchskripts, das bei Aktivierung jeglichen Datentransfer zu Facebook unterbindet.

Dieser aktualisierte Artikel wurde zuerst am 17. März 2016 veröffentlicht.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Anonymisierung, Pseudonymisierung und Verschlüsselung von Daten

Die Verarbeitung von personenbezogenen Daten unterliegt zahlreichen Beschränkungen durch die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG). Für Unternehmen ist deshalb die Beseitigung des Personenbezugs von Daten (Anonymisierung) oder aber ein erhöhter Schutz durch Unkenntlichmachung der Daten (Pseudonymisierung oder Verschlüsselung) ein interessanter Weg. Doch wie sind diese Methoden aus datenschutzrechtlicher Sicht einzuordnen?

Was sind personenbezogene Daten?

Um die Bedeutung von Anonymisierung, Pseudonymisierung und Verschlüsselung verstehen zu können, ist es zunächst wichtig, sich mit dem Personenbezug von Daten auseinanderzusetzen. Die DSGVO hat hierzu in Art. 4 eine Legaldefinition parat. Demnach sind personenbezogene Daten

„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“

Identifizierbarkeit im Sinne der DSGVO

Wenn also etwa im Rahmen einer vermeintlich anonymen Erfassung von Daten in einem Betrieb bekannt ist, dass es sich beispielsweise um eine weibliche Person handelt, die seit zehn Jahren im Betrieb beschäftigt und aktuell in der Personalabteilung angestellt ist, werden vermutlich keine weiteren Informationen notwendig sein, um darauf zu schließen, wer tatsächlich gemeint ist. Mit der Kombination bereits weniger Informationen kann die betroffene Person identifiziert werden. Die Daten sind damit personenbezogen.

Erschwerend kommt hinzu, dass es laut DSGVO nicht notwendig ist, die Person namentlich zu bestimmen. Es genügt, wenn diese anhand der Information zuverlässig als Individuum aus einer Gruppe heraus wiedererkannt werden kann. Außerdem ist nach der Rechtsprechung des Europäischen Gerichtshofes (EuGH) der Begriff der personenbezogenen Daten weit auszulegen („alle Informationen“).

Anonymisierung – Beseitigung des Personenbezugs von Daten

Handelt es sich hingegen nicht oder nicht mehr um personenbezogene Daten, so findet die DSGVO keine Anwendung und die Informationen können (zumindest aus Sicht des Datenschutzrechts) frei verarbeitet werden. Vorschriften wie beispielsweise die Zweckbindung der Datenverarbeitung oder die Einhaltung von Löschpflichten entfallen. Für Unternehmen ist deshalb die Beseitigung des Personenbezugs von Daten ein interessanter Weg.

Der vollständige Entfall des Personenbezugs kann durch Anonymisierung der Daten bewirkt werden. Anonymisierung bedeutet das Verändern der Daten in solch einer Art und Weise, dass ein Rückschluss auf die Person gar nicht oder zumindest nur noch mit unverhältnismäßig hohem Aufwand möglich ist. Was einen unverhältnismäßigen Aufwand darstellt, ist jeweils im Einzelfall zu beurteilen.

Gemäß Erwägungsgrund 26 DSGVO sind alle Mittel zu berücksichtigen, die vom Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren. Daher sollte im Zweifel immer die wirkungsvollste Anonymisierungsmethodik angewendet werden. Eine Anonymisierung ist beispielsweise das unwiederbringliche Löschen des letzten Oktetts einer IP-Adresse (beim Einsatz von Google Analytics geschieht dies durch die Einbindung von anonymizeIP). Es ist jedoch darauf zu achten, dass in den übrigen zu der jeweiligen IP-Adresse gespeicherten Daten keine eindeutigen Merkmale enthalten sind, die eine Identifikation ermöglichen.

Die Anonymisierung eines Datensatzes erfordert daher stets eine gründliche Analyse aller in einem zu anonymisierenden Datensatz enthaltenen Daten auf mögliche Alleinstellungsmerkmale eines Betroffenen; auch solcher, die erst durch Kombination zu einer Bestimmbarkeit führen. Zudem ist zu berücksichtigen, dass ein eingesetztes Anonymisierungsverfahren im Laufe der Zeit an Wirkung verliert, beispielsweise durch die Erlangung neuen Hintergrundwissens oder der Weiterentwicklung der technischen Analyseverfahren.

Mit einer wirksamen Anonymisierung geht außerdem oft ein nicht unwesentlicher Verlust von Informationen im Ergebnisdatensatz einher.

Pseudonymisierung – erhöhter Schutz von Daten

Pseudonymisierung ist gemäß Art. 4 Nr. 5 DSGVO „die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können“.

Unter Pseudonymisierung versteht man also einfacher gesagt das Ersetzen des Namens und anderer direkter Identifikationsmerkmale durch ein eindeutiges Kennzeichen. Dies dient dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. Statt des Betroffenen wird nunmehr der Datensatz eindeutig erkennbar gemacht. Das bedeutet, es gibt im Falle der Pseudonymisierung einen „Schlüssel“, um das Pseudonym den Originaldaten zuordnen zu können.

In dieser Form unterliegen die Informationen als personenbezogene Daten allerdings weiterhin dem Datenschutzrecht. Denn mit Hilfe des Schlüssels ist der Personenbezug wiederherstellbar. Die Anwendung der Pseudonymisierung auf personenbezogene Daten kann die Risiken für die betroffenen Personen nur senken und die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten unterstützen (Erwägungsgrund 28 DSGVO). In den Art. 6, 25 und 32 DSGVO wird ausdrücklich auf die Pseudonymisierung verwiesen.

Verschlüsselung – stark erhöhter Schutz von Daten

Einen Mittelweg zwischen Anonymisierung und Pseudonymisierung bildet die Verschlüsselung von Daten, da hier zwar ein Schlüssel zur Wiederherstellung der Originaldaten besteht, jedoch keine Pseudonyme verwendet werden. Im Unterschied zur Pseudonymisierung wird bei der Verschlüsselung der gesamte Datensatz verschlüsselt und es werden nicht lediglich einzelne Identifikationsmerkmale durch Pseudonyme ersetzt.

Während pseudonymisierte Daten weiterhin Aussagekraft haben, ohne den Schlüssel aber keine Identifikation ermöglichen, so haben verschlüsselte Daten ohne den Schlüssel keine Aussagekraft mehr, da der „Klartext“ in unleserliche Zeichenfolgen umgewandelt wird.

Auch verschlüsselte Daten unterliegen jedoch weiterhin dem Anwendungsbereich der DSGVO. Die Information und damit der Personenbezug wird durch die Entschlüsselung wiederhergestellt. Es wird lediglich verhindert, dass ein Dritter – mangels Schlüssel – Missbrauch mit den Daten begehen kann. Wie auch die Pseudonymisierung stellt die Verschlüsselung damit (lediglich) eine Maßnahme dar, um die Sicherheit der Verarbeitung zu erhöhen. In den Art. 6, 32 und 34 DSGVO wird ausdrücklich auf die Verschlüsselung verwiesen.

Fazit: Wahl der Methoden hängt von der geplanten Nutzung der Daten ab

Während die Anonymisierung der Daten also den Personenbezug ganz beseitigt und damit die Verarbeitung dem Anwendungsbereich der DSGVO entzieht, stellen die Pseudonymisierung und die Verschlüsselung in der DSGVO vorgesehene Methoden dar, personenbezogene Daten vor Missbrauch zu schützen.

Will man also Daten außerhalb der Regeln der DSGVO verarbeiten, so muss man sie anonymisieren. Dies geschieht beispielsweise bei anonymen Umfragen zur Kundenzufriedenheit und zum Kundenverhalten. Eine so gewonnene Statistik behält Ihre Aussagekraft auch ohne den Personenbezug.

Will man besonders schützenswerte Daten nach den Regeln der DSGVO verarbeiten, so können Pseudonymisierung und Verschlüsselung Methoden zur sicheren Verarbeitung darstellen.

Eine Maßnahme bei der Speicherung von personenbezogenen Daten wäre etwa, Datensätze mit besonderen Arten personenbezogener Daten wie Gesundheitsdaten nur in pseudonymisierter Form aufzubewahren. Sollte nun unbefugt auf diese zugegriffen werden, bleibt eine Missbrauchsgefahr gering, da ohne den Schlüssel kein Personenbezug herstellbar ist.

Bei der Versendung oder dem Empfang von sensiblen Daten wie Bewerbungsunterlagen, ist als Maßnahme die Verschlüsselung zu empfehlen, so dass nur der vorgesehene Empfänger mit Hilfe des Schlüssels die Informationen wiederherstellen kann.

Je nachdem welche Verwendung für die Daten vorgesehen ist, können also eine dauerhafte Beseitigung des Personenbezugs durch Anonymisierung, oder ein erhöhter Schutz vor Missbrauch durch Pseudonymisierung oder Verschlüsselung die sinnvollste Methode sein.

Dieser aktualisierte Artikel wurde zuerst am 27. Oktober 2015 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Sie wollen ausführliche Informationen zum Datenschutz bei E-Mailmarketing und Newsletter? Dann laden Sie sich jetzt unser kostenloses Whitepaper herunter!

Datenschutzanforderungen an E-Mails und deren Verschlüsselung

Datenpannen, Hacks und Datendiebstahl verursachen der Wirtschaft zunehmend empfindliche Schäden – ganz zu schweigen vom entstehenden Imageschaden. Eine ausreichende Verschlüsselung von E-Mails ist eine der wichtigsten Vorbeugungsmaßnahmen für einen solchen Datenschutznotfall. Laut Datenschutz-Grundverordnung (DSGVO) sind Verantwortliche sogar verpflichtet, ausreichende Schutzmaßnahmen zu ergreifen. Doch wie funktioniert das ganz praktisch?

Unterschiedliche Verschlüsselungsarten für E-Mails

Grundsätzlich lassen sich zwei Formen der E-Mail-Verschlüsselung unterscheiden, die Transport- und die Inhaltsverschlüsselung (auch Ende-zu-Ende-Verschlüsselung genannt).

Bei der Transportverschlüsselung ist „nur“ die Verbindung zwischen den beiden kommunizierenden E-Mail-Servern verschlüsselt. Der Inhalt bleibt jedoch weiterhin lesbar. Bildlich gesprochen, könnte man sich einen Tunnel vorstellen, durch den die Datenpakete geschickt werden. Unbefugte Dritte können nicht in den Tunnel hineinschauen, da dieser entsprechend gesichert ist. Würden Dritte sich jedoch ein Loch zum Tunnel bohren, könnten sie die Datenpakete im Klartext mitlesen. Seit der Einführung am 13. August 2018 wird im Rahmen der Transportverschlüsselung typischerweise das sog. TLS (Transport Layer Security)-Protokoll in der Version 1.3 verwendet.

Bei der Inhaltsverschlüsselung wird hingegen der versandte Inhalt als solcher codiert. In diesem Fall stellt es sich also eher so dar, dass selbst wenn der Dritte in den zuvor beschriebenen Tunnel blicken könnte, er die Datenpakete dennoch nicht mitlesen könnte, da jedes einzelne separat verschlüsselt ist. Hierbei tauschen der Sender und Empfänger zuvor verschiedene Schlüssel (einen öffentlich einsehbaren und dann einen privaten) aus, mit denen sich die Datenpakete wieder öffnen lassen. Deshalb können auch nur die Schlüssel-austauschenden-Beteiligten den versandten Inhalt wieder im Klartext lesen. Aus dem Bereich der Inhaltsverschlüsselung ist das Datenverschlüsselungsformat S/MIME ein besonders populärer Vertreter. Ein weiterer bekannter Vertreter der Inhaltsverschlüsselung ist auch noch PGP (pretty good privacy).

Rechtliche Anforderungen an die E-Mail-Verschlüsselung

Fragt man sich nun, welche Anforderungen die DSGVO aufstellt, so wird man schnell ernüchtert. Gemäß Art. 32 Abs. 1 lit. a) DSGVO heißt es da, dass der Verantwortliche unter Berücksichtigung (u. a.) des Stands der Technik und der Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen hat, um ein angemessenes Schutzniveau zu gewährleisten. Hinter dieser etwas langatmigen Erklärung verbergen sich insbesondere zwei entscheidende Aussagen:

Einerseits orientiert sich die Frage, ob eine Verschlüsselung als sicher anzusehen ist, am Stand der Technik. Eine handfeste Definition dieses Begriffs gibt es bisher nicht. Im weiteren Sinne versteht man darunter diejenigen Technologien, die auf gesicherten Erkenntnissen beruhen und in der Praxis jeweils in bereits ausreichendem Maß zur Verfügung stehen, um angemessen umgesetzt zu werden. Eine gute Erklärung des Begriffs liefert dieser Artikel des Webhostinganbieters 1&1 Ionos.

Andererseits hängt der Einsatz der Verschlüsselung davon ab, welche Risiken für eine natürliche Person daraus erwachsen, wenn ein Dritter die versandten Daten mitlesen könnte. Mit anderen Worten: Je brisanter der Inhalt (datenschutzrechtlich) ist, desto höher sind auch die technischen Anforderungen an die Verschlüsselung der E-Mail (Stand der Technik). Soll also z. B. der Befund im Rahmen einer ärztlichen Untersuchung (besonders sensible personenbezogene Daten) per E-Mail verschickt werden, müssen stärkere technische Anstrengungen unternommen werden, als wenn nur eine normale Rechnung („einfache“ personenbezogene Daten) verschickt werden soll.

Die DSGVO verschweigt auch, was denn nun (gerade) dem gegenwärtigen Stand der Technik entspricht. Eine Antwort hierauf geben aber die Datenschutzaufsichtsbehörden der deutschen Bundesländer. So ergibt sich aus einer öffentlichen Stellungnahme der Datenschutzbehörde des Bundeslandes NRW sowie aus verschiedenen Antworten der Datenschutzbehörden anderer Länder auf Anfrage der activeMind AG, dass der Stand der Technik beim Versand personenbezogener Daten mindestens eine Transportverschlüsselung ist. Bestellt jemand in einem Onlineshop z. B. ein Buch und erhält vom Verkäufer eine Bestellbestätigung per E-Mail, die typischerweise die Versandadresse und Rechnungsdaten des Empfängers enthält, so muss die Verbindung im Regelfall mindestens über TLS 1.3 gesichert sein.

Enthält die E-Mail besonders sensible Daten (Art. 9 Abs. 1 DSGVO), liegt die Messlatte höher. Als Stand der Technik wird dann eine Inhaltsverschlüsselung gefordert. Möchte der Arzt also bspw. seinem Patienten die Ergebnisse einer Blutanalyse zusenden, so müsste der Inhalt der E-Mail zur Gewährleistung der Datenschutzkonformität per S/MIME oder mit einer vergleichbaren Inhaltsverschlüsselung codiert werden. Dies erklärt sich wiederum mit dem oben erwähnten Risiko für die Rechte und Freiheiten natürlicher Personen. Denn bei sensibleren Daten drohen für das betroffene Individuum besonders schmerzhafte Risiken (z. B. Rufschädigung, breiteres Spektrum an Missbrauchsmöglichkeiten, etc.). Bekommt ein Dritter lediglich die zuvor erwähnten Rechnungsdaten in die Finger, sind die Risiken dementgegen geringer, wenn auch dennoch vorhanden.

Handlungsvorschläge für Ihre E-Mail-Verschlüsselung

Ein besonderes Problem der E-Mail-Verschlüsselung zum gegenwärtigen Zeitpunkt ist, dass sowohl Sender als auch Empfänger die notwendigen Voraussetzungen zum Ver- und Entschlüsseln der Nachrichten eingerichtet haben müssen. Allerdings haben noch nicht alle Nutzer die Bedeutsamkeit des Themas erkannt. Dabei ist die Verwendung einer Transportverschlüsselung kein Hexenwerk. Mittels dieser Anleitung lässt sich eine solche mit nur wenigen Klicks einrichten. Auch im Fall der Inhaltsverschlüsselung gibt es Hoffnung. So ist z. B. in den bekannten E-Mail-Client Microsoft Outlook von Hause aus auch eine Lösung für den Einsatz von S/MIME integriert. Unter Zuhilfenahme dieser Anleitung, lassen sich sowohl S/MIME als auch PGP auf den unterschiedlichsten E-Mail-Clients recht leicht installieren. Das Beste daran ist, dass die vorgeschlagenen Lösungen kostenlos sind.

Verfügt der Empfänger nicht über die erforderliche Verschlüsselungstechnik, so können ihm Daten zumindest komprimiert (z. B. mit 7-zip, WinRar oder WinZip) und mit einem Passwort versehen übersandt werden. Damit der Empfänger die Datei auch öffnen kann, wird das Passwort hierzu (vorzugsweise) über einen anderen Kommunikationskanal, wie z. B. SMS oder per Telefon, versandt. Aber auch in diesem Zusammenhang sollte geprüft werden, welche Komprimierungssoftware man benutzt. Unterschiede ergeben sich bei den einzelnen Anbietern insbesondere hinsichtlich der eingesetzten Verschlüsselungsstärke (z. B. 256 Bit), aber auch beim Verschlüsselungsalgorithmus (AES).

Abgesehen davon gibt es aber auch weitaus einfachere Möglichkeiten, den Schutz zu versendender E-Mails zu erhöhen. So empfiehlt die Datenschutzaufsichtsbehörde NRW, im Betreff einer Nachricht keine personenbezogenen Daten (Negativbeispiel: „Syphilisuntersuchung von Erwin Meier am 9.3.2018“), sondern neutrale Schlagwörter (z. B. „Rückmeldung zu Ihrem letzten Termin“) zu verwenden.

Um die Daten vor Veränderung auf dem Transportweg zu erschweren, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) u. a. den Einsatz einer digitalen Unterschrift. Dadurch wird auch stärker sichergestellt, dass die E-Mail tatsächlich vom angegebenen Versender stammt. Hilfreiche Hinweise zur Einführung einer solchen Unterschrift, die bei S/MIME bereits integriert ist, finden sich hier.

Arbeiten Unternehmer dauerhaft dauerhaft zusammen und versenden sie sensible Daten, sollten sich beide überlegen, ob auch mit Blick auf Haftungsfragen der Einrichtungsaufwand in Kauf genommen wird.

Datenschutzrechtliche Haftungsrisiken bei unverschlüsselten E-Mails

Werden per E-Mail versandte Daten von Dritten abgefangen oder diesen bspw. offengelegt, so steht es dem Betroffenen frei, vom Versender Schadensersatz zu verlangen. In diesem Zusammenhang sei nochmals besonders darauf verwiesen, dass es nach der DSGVO nunmehr möglich ist, auch immaterielle Schäden ersetzt zu verlangen. Denkt man z. B. an die zuvor erwähnte Syphilisuntersuchung, so könnte eine nicht wohlgesonnene Person bei Kenntnisnahme diese Informationen ohne größere Probleme in einem sozialen Netzwerk veröffentlichen. Ist der Ruf der betroffenen Person dann erst einmal durch ehrkränkende Äußerungen verletzt, so kann dieser den entstandenen Schaden vom Arzt, der seine E-Mails nicht entsprechend verschlüsselt hat, ersetzt verlangen (vgl. Erwägungsgrund 75 DSGVO). Nicht unerwähnt sollen auch die Bußgelder bleiben, die von der Datenschutzaufsichtsbehörde in diesem Zusammenhang verhängt werden können.

Fazit: E-Mail-Verschlüsselung sollte Standard sein

Den technischen Datenschutz durch E-Mail-Verschlüsselung oder wenigstens passwortgeschützten Versand personenbezogener Daten zu gewährleisten, ist kein Hexenwerk (mehr). Es kann gar nicht oft genug an Verantwortliche und insbesondere Unternehmen appelliert werden, sich mit diesem Thema intensiver zu befassen. Die wirtschaftlichen Schäden, die durch Hacking, Industriespionage, etc. entstehen, steigen von Jahr zu Jahr. Wenn man bedenkt, dass ein Unternehmer herkömmliche Briefe mit Kundendaten ja auch zuklebt, um den Inhalt vor den neugierigen Blicken Dritter zu schützen, leuchtet es nur umso mehr ein, dass dieser die Kommunikation per E-Mail ebenso schützen sollte und muss.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Rechenschaftspflichten bei der Datenverarbeitung

Viele Unternehmen erlassen seit Inkrafttreten der Europäischen Datenschutz-Grundverordnung (DSGVO) munter zahllose interne Regelungen zum Umgang mit personenbezogenen Daten. So will man den neuen datenschutzrechtlichen Anforderungen nachkommen und auf Kontrollen der Aufsichtsbehörden vorbereitet sein. Doch über welche Datenverarbeitungen und deren Schutz müssen Unternehmen überhaupt Rechenschaft ablegen?

Die Rechenschaftspflicht in der DSGVO

Die Rechenschaftspflicht ist in Art. 5 Abs. 2 DSGVO verankert. Hiernach ist der Verantwortliche für die Einhaltung der in Art. 5 Abs. 1 DSGVO aufgezählten Grundsätze (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit) verantwortlich und muss deren Einhaltung nachweisen können. Was aber steckt nun hinter dieser verantwortungsschweren Aussage?

Umfang der Rechenschaftspflicht

Die Rechenschaftspflicht lässt sich in zwei einzelne Pflichten gliedern: Einerseits folgt hieraus die Verantwortlichkeit. Diese findet sich im sog. risikobasierten Ansatz wieder (Art. 24 Abs. 1 DSGVO). Er besagt, dass sich Art und Umfang der vom Verantwortlichen zu ergreifenden datenschutzrechtlichen Maßnahmen nach dem Ergebnis einer Risikoanalyse richten sollen. Produziert eine Fabrik also lediglich Gewürzgurken, ist das Risiko eines Datenschutzvorfalls wesentlich geringer als in einem Krankenversicherungsunternehmen, in dem viel mehr und sensiblere Daten verarbeitet werden. Die erforderlichen Maßnahmen sind fortlaufend zu überprüfen und zu aktualisieren. Wird der Gewürzgurkenproduzent also international tätig oder und wird aus der o.g. Fabrik fortan die gesamte Mitarbeiterverwaltung gesteuert und bewertet, so müssen der Standort und die Datenverarbeitung in Zukunft auch stärker geschützt werden.

Andererseits folgt aus der Rechenschaftspflicht die sog. Nachweispflicht, die vor allem auf die Erbringung von Nachweisen gegenüber der Aufsichtsbehörde abzielt (Art. 58 Abs. 1 lit. a) DSGVO). Kontaktiert die Aufsichtsbehörde also ein Unternehmen und verlangt Auskunft darüber, ob dieses denn auch die Daten seiner Kunden datenschutzkonform aufbewahrt, so muss das Unternehmen in irgendeiner Form diese Frage beantworten können. Das Gesetz legt dabei keine bestimmte Form des Nachweises fest, sondern überlasst es dem Verantwortlichen, wie er dieser Pflicht nachkommt.

Praktische Umsetzung der Rechenschaftspflicht

Die Umsetzung der Rechenschaftspflicht sollte entsprechend der o.g. Verantwortlichkeit und Nachweispflicht in zwei Schritten erfolgen. Es sollte also zunächst eine Risikoanalyse vorgenommen werden, die dann den Umfang der zu dokumentierende Nachweise festlegt.

Wenn die Risikoanalyse ergeben hat, dass ein relativ hohes datenschutzrechtliches Risiko besteht, weil die Firma z. B. als soziales Netzwerk die Daten von Mitgliedern verschiedener Parteien verarbeitet, kann sich zunächst die Einführung eines Datenschutzmanagementsystems (DSMS) anbieten. Ein solches DSMS bietet den Vorteil, dass bspw. im Kontaktfall durch die Aufsichtsbehörde, schnell und effizient auf deren Nachfragen reagiert werden kann. Beim Aufbau eines solchen kann man sich an vorhandenen Compliance-Managementsystemen wie z. B. einem Qualitäts-Service-Management-System (QSMS) orientieren. Denkbar ist es auch, das DSMS in bestehende Compliancesysteme zu integrieren.

Im Einzelnen tragen u.a. die folgenden Maßnahmen zur Erfüllung der Rechenschaftspflicht bei:

  • Aufbau einer internen Datenschutzrichtlinie (Inhalt: Anwendungsumfang der Richtlinie, Verantwortlichkeiten des Mitarbeiters/Managements, Datenschutzvorfallmeldung, Konsequenzen der Nichteinhaltung der Richtlinie, etc.)
  • verbindliche interne Datenschutzvorschriften (Binding Corporate Rules – BCR) gem. Art. 47 Abs. 1, 2 DSGVO (Beispiel.: Der o.g. Gewürzgurkenkonzern unterhält weltweit mehrere Standorte. Damit die Standorte in und außerhalb der EU miteinander z. B. ihre Personaldaten austauschen dürfen, müssen für die Dependancen außerhalb der EU verbindliche, interne Datenschutzvorschriften erstellt und angewendet werden. Diese werden von der zuständigen Aufsichtsbehörde genehmigt.)
  • Technikgestaltung, Art. 25 Abs. 1 DSGVO/datenschutzfreundliche Voreinstellungen, Art. 25 Abs. 2 DSGVO
    • zur Technikgestaltung: Das im Gewürzgurkenkonzern verwendete Mitarbeiterverwaltungsprogramm pseudonymisiert die Daten der Mitarbeiter direkt nach der Erfassung (Erwägungsgrund 78 DSGVO).
    • zu datenschutzfreundlichen Voreinstellungen: Das Social-Media-Profil des Gewürzgurkenkonzerns enthält schon bei seiner Erstellung die datenschutzfreundlichsten Voreinstellungen der jeweiligen Plattform.
  • Erstellung eines Verarbeitungsverzeichnisses ( 30 Abs. 1 und 2 DSGVO)
  • Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 Abs. 1 und 3 DSGVO)
  • Bestellung eines Datenschutzbeauftragten (Art. 37 DSGVO)
  • Dokumentation von Datenschutzverletzungen ( 33 Abs. 5 DSGVO)
  • Einhaltung genehmigter Verhaltensregeln/Zertifizierungsverfahren ( 24 Abs. 3 DSGVO)
    • zu Verhaltensregeln: Der Verband europäischer Gewürzgurkenhersteller erlässt eine Verhaltensregel, nach welchen Datenschutzstandards mit Daten in den Mitgliedsunternehmen zu verfahren ist, (Art 40 DSGVO).
    • zu Zertifizierungsverfahren: Das Gewürzgurkenunternehmen erhält nach entsprechender Überprüfung seiner Datenschutzcompliance das Zertifikat EuroPriSe (European Privacy Seal) (Art. 42 Abs. 1 DSGVO). Das Unternehmen kann dieses Zertifikat bei einer Überprüfung durch die Aufsichtsbehörde vorweisen.

Weitere Beispiele, wie man seiner Nachweispflicht nachkommen kann, hält auch die Artikel-29-Datenschutzgruppe in ihrem Arbeitspapier Nr. 173 vor.

Wenn sich der Unternehmer nun selbst fragt, ob er der Nachweispflicht in genügender Weise entsprochen hat, so sollte er sich die Frage stellen, ob er alle Prozesse, bei denen personenbezogene Daten erhoben und verarbeitet werden, hinreichend dokumentiert hat.

Haftungsrisiken hinsichtlich der Rechenschaftspflicht

Wer angesichts dieses doch recht herausfordernden Pensums der Rechenschaftspflicht den Kopf in den Sand steckt oder die Verantwortung von sich weisen will, ist schlecht beraten. Es sollte jedem Verantwortlichen klar sein, dass er auch dann haftet, wenn die Verarbeitung der personenbezogenen Daten nicht durch ihn selbst, sondern durch einen Dienstleister erfolgt (Erwägungsgrund 74 DSGVO). Sprich: Nur weil die Datenschutzverletzung nicht im eigenen Unternehmen, sondern z. B. bei einem Subunternehmer erfolgt, heißt das noch nicht, dass das Unternehmen von der Haftung befreit ist. Im Übrigen kann sich der Unternehmer auch nicht dadurch der Haftung entziehen, dass er einen Datenschutzbeauftragten bestellt.

Im Übrigen kommt eine Haftung durch eine Beschwerde einer betroffenen Person bei der zuständigen Aufsichtsbehörde nach Art. 77 DSGVO in Betracht. Ist eine Person mit dem Ergebnis des Beschwerdeverfahrens nicht einverstanden, so kann sie das Untersuchungsergebnis auch gerichtlich angreifen (Art. 78 Abs. 1 und 2 DSGVO).

Natürlich findet bei nicht ausreichender Dokumentation im Ernstfall auch eine Sanktionierung durch die Aufsichtsbehörde statt. Bußgelder können bis zu 20 Mio. Euro oder 4 % des weltweiten Umsatzes des Unternehmens betragen, je nachdem welcher Betrag höher ist (Art. 83 Abs. 5 DSGVO).

Die spannendste Diskussion in diesem Bereich unter Datenschutzrechtlern ist derzeit, ob die in Art. 5 Abs. 1 DSGVO genannten Grundsätze ebenso wie die Rechenschaftspflicht auch gerichtlich einklagbar sind. Stellt ein Betroffener also fest, dass ein Unternehmen ihm keine Auskunft zu seinen Daten geben kann, weil einfach keine entsprechenden Dokumentations- bzw. Auskunftsmöglichkeiten vorliegen, so könnte er auf die Idee kommen, den Unternehmer für die Verletzung seiner Nachweispflicht gerichtlich zu verklagen. Ob das möglich ist und wenn ja, wie, wird in Zukunft wohl letztlich der Europäische Gerichtshof beantworten müssen.

Dieser aktualisierte Artikel wurde zuerst am 24. März 2017 veröffentlicht.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Was bedeutet der Brexit für den Datenschutz in der EU?

Nach Angaben der britischen Regierung soll der Brexit, also der Austritt Großbritanniens aus der Europäischen Union (EU) am 29. März 2019 um 23 Uhr britischer Zeit rechtskräftig werden. Derzeit ist noch nicht abzusehen, wie sich das künftige Verhältnis zur Union gestalten wird. Für viele Firmen in der EU stellt sich daher die Frage, unter welchen Bedingungen zukünftig überhaupt noch personenbezogene Daten an britische Unternehmen übertragen werden dürfen.

Aktuelle Rechtslage

Derzeit ist Großbritannien noch Mitglied der EU. Damit gilt dort seit 25. Mai 2018 die EU-Datenschutz-Grundverordnung (DSGVO). Darüber hinaus gilt dort der am 23. Mai 2018 erlassene Data Protection Act 2018, das britische Datenschutzgesetz. Dieses regelt wie das Bundesdatenschutzgesetz die sog. Öffnungsklauseln der DSGVO.

Die Datenübermittlung nach Großbritannien ist unproblematisch, solange es noch Teil der EU ist.

Voraussichtliche Rechtslage nach dem Brexit

Das britische Parlament hat im Juni 2018 nach langen Verhandlungen den European Union Withdrawal Act 2018 verabschiedet. Es handelt sich dabei um ein Austrittsgesetz, das das britische Beitrittsgesetz zur Europäischen Gemeinschaft von 1972 aufhebt. Durch die Aufhebung dieses Beitrittsgesetzes zur damaligen Europäischen Gemeinschaft gelten die Verordnungen, Richtlinien und Beschlüsse der EU für Großbritannien nicht mehr. Damit keine Rechtsunsicherheit entsteht, regelt das Austrittsgesetz, dass mit dem Austrittsdatum spätestens am 30. März 2019 die bisherigen EU-Verordnungen und Richtlinien in nationales britisches Recht überführt werden sollen.

Sofern dies alles wie geplant abläuft, würden die Regelungen der DSGVO künftig in nationales britisches Recht umgewandelt. Für die Rechtslage innerhalb Großbritanniens würde sich insofern keine große Änderung ergeben.

Das Problem: die Datenübermittlung in ein Drittland

Sollte Großbritannien aus der EU ausscheiden, ohne dass in der Zwischenzeit durch die EU-Kommission ein Angemessenheitsbeschluss über das in Großbritannien vorherrschende Datenschutzniveau gefasst wird, würde Großbritannien aber automatisch zu einem sogenannten Drittland, in das nicht ohne Weiteres personenbezogene Daten übertragen werden dürfen.

Unternehmen in der Europäischen Union müssten deswegen alle Verhältnisse überprüfen und ggfs. neu regeln, bei denen sie personenbezogene Daten an britische Unternehmen oder Konzerne mit Standorten in Großbritannien übermitteln oder diese Daten zugänglich machen.

Hinzu käme: Für eine solche Datenübermittlung wäre ein einfacher Vertrag zur Auftragsverarbeitung künftig nicht mehr ausreichend. Stattdessen müssten Unternehmen hierzulande bzw. in der EU zusätzlich von allen betroffenen britischen Unternehmen individuelle Datenschutzgarantien einfordern. Hier entstünden demzufolge vergleichbare Probleme, wie derzeit beim internationalen Datentransfer in andere Nicht-EU-Länder. Das durch den Europäischen Gerichtshof (EuGH) herbeigeführte Ende des Safe-Harbor-Abkommens mit den USA und die aktuelle Diskussion um das EU-U.S. Privacy Shield veranschaulicht zudem, auf welch wackligen Beinen derartige Konstrukte stehen können.

Anders als bei den USA erscheint ein Angemessenheitsbeschluss jedoch wahrscheinlicher. Zum einen wird Großbritannien die Regelungen der DSGVO übernehmen und  Austritt auch einhalten (siehe unsere Einschätzung zur Wirksamkeit der DSGVO im Großbritannien nach dem Brexit). Es sollte somit ein angemessenes Datenschutzniveau garantieren können.

Zum anderen befinden sich die EU-Kommission und die britische Regierung wegen des Brexits ohnehin in Verhandlungen. Ein Angemessenheitsbeschluss nach Art. 45 DSGVO wird wohl Teil dieser Verhandlungen werden.

Dieser aktualisierte Artikel erschien zuerst am 21. Juni 2016.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Datenschutz-Verpflichtung von Beschäftigten in der Praxis

Beschäftigte bzw. Mitarbeiter sind zur Einhaltung der Datenschutzgesetze bzw. auf Vertraulichkeit zu verpflichten – zumindest sobald sie Umgang mit personenbezogenen Daten haben. Die EU-Datenschutz-Grundverordnung (DSGVO) lässt diesbezüglich keinen Spielraum. Wie diese Verpflichtung von Mitarbeitern auf Vertraulichkeit in der Praxis am besten funktioniert und wie Sie etwaige Hindernisse überwinden, erläutern wir Ihnen in dieser Anleitung (inkl. kostenlosem Muster).

Gesetzliche Grundlagen der Verpflichtung von Mitarbeitern

Die Verpflichtung von Beschäftigten auf Vertraulichkeit ergibt sich aus mehreren Normen der DSGVO:

  1. Nach 29 DSGVO dürfen Beschäftigte eines Verantwortlichen personenbezogene Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten.
  2. 32 Abs. 4 DSGVO schreibt ferner vor, dass der Verantwortliche Schritte unternehmen muss, um sicherzustellen, dass ihm unterstellte Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten.
  3. Der Begriff der Verpflichtung findet sich ausdrücklich in 28 Abs. 3 Satz 2 lit. b DSGVO, der bestimmt, dass der Auftragsverarbeiter die zur Verarbeitung der Daten befugten Personen zur Vertraulichkeit verpflichten muss.
  4. Die Rechenschaftspflicht des Verantwortlichen, also die Pflicht diese „verpflichtende Unterrichtung“ nachweisen zu können, ergibt sich aus Art. 24 DSGVO und Art. 5 Abs. 2 DSGVO.

Die Datenschutzkonferenz (DSK) der unabhängigen Datenschutzbehörden des Bundes und der Länder hält in ihrem Kurzpapier Nr. 19 vom 29. Mai 2018 zudem fest, dass diese „verpflichtende Unterrichtung“ nicht nur die Beschäftigten von Auftragsverarbeitern sondern natürlich auch die Verantwortlichen und deren Beschäftigte trifft.

Praktische Umsetzung der Verpflichtung von Mitarbeitern mit den 3 W-Fragen

Wer sollte verpflichtet werden?

Die DSGVO spricht von der Verpflichtung der „unterstellten natürlichen Personen“, was im Hinblick auf die Wichtigkeit der Regelung weit auszulegen ist. Die DSK empfiehlt ergänzend zum regulären Mitarbeiterstamm auch Auszubildende, Praktikanten, Leiharbeiter und ehrenamtlich Tätige miteinzubeziehen.

Wann muss verpflichtet werden?

Für Neubeschäftigte muss die Verpflichtung vor Aufnahme der Tätigkeit erfolgen. Genauer: Sie muss erfolgen, bevor die verpflichtete Person zum ersten Mal mit personenbezogenen Daten in Kontakt kommt. Es bietet sich damit an, die Unterschrift zur Kenntnisnahme der Vertraulichkeitsvereinbarung zusammen mit der Unterschrift des Arbeitsvertrages einzuholen.

Idealerweise werden Arbeitsvertrag, IT-Nutzungsrichtlinie und Verpflichtungserklärung nach der DSGVO als drei getrennte Dokumente vor dem Arbeitsantritt unterschrieben. Mit der Verpflichtung nach DSGVO können aber auch andere Geheimhaltungsvereinbarungen kombiniert werden, z. B. zum Betriebs-, Telekommunikations- oder Steuergeheimnis.

Für bereits beschäftigte Mitarbeiter bietet es sich an, im Zuge der Umsetzung der DSGVO eine Neuverpflichtung vorzunehmen. Dies kann sowohl im Anschluss an eine Schulung zum Datenschutz oder auch ohne einen besonderen Anlass geschehen. Denn die Umsetzung gesetzlicher Vorgaben ist immer ein ausreichender Anlass. In diesem Zusammenhang empfiehlt die DSK sogar ab und zu im Rahmen von Schulungen oder schriftlichen Hinweisen (z. B. in der Betriebszeitung) als „Auffrischung der Unterrichtung“ daran zu erinnern, dass die Beschäftigten verpflichtet worden sind und welche Bedeutung dieser Verpflichtung zukommt.

Wie wird verpflichtet?

Die DSGVO schreibt keine bestimmte Form der Verpflichtung vor. Damit die Unternehmensleitung als verantwortliche Stelle jedoch ihrer Rechenschaftspflicht gegenüber der Aufsichtsbehörde nachkommen kann, sollte aus Gründen der Nachweisbarkeit zumindest beim ersten Mal ein entsprechendes Dokument verwendet werden (siehe unsere kostenlose Vorlage zur Verpflichtung auf Vertraulichkeit). Auf diesem sollten neben dem eigentlichen Inhalt der Verpflichtung auch Ort, Datum und die Unterschriften der verantwortlichen Stelle und des zu Verpflichtenden festgehalten werden.

Beachten Sie, dass die reine Verpflichtung zur Einhaltung der datenschutzrechtlichen Vorgaben keine entsprechende Schulung ersetzen kann, bei der die Umsetzung dieser Pflicht in der Praxis anhand typischer Fälle erläutert wird.

Müssen Beschäftigte die Verpflichtung unterschreiben?

Zunächst ist festzuhalten, dass die gesetzlichen Verpflichtungen der DSGVO von den Mitarbeitern einzuhalten sind, ob sie eine Verpflichtungserklärung unterschreiben oder nicht. Anders als beispielsweise bei einer Einwilligung zur Nutzung von Fotos eines Mitarbeiters fragt der Verantwortliche bei der Datenschutzverpflichtung nicht um Erlaubnis, sondern setzt ihn lediglich in Kenntnis von den – unabhängig von einer Unterschrift – bestehenden Pflichten. So gelten beispielsweise auch die Strafgesetze oder die Betriebsvereinbarung für alle Mitarbeiter, ohne dass diese ihre explizite Zustimmung erklären müssen.

Bei der Verpflichtung auf das Datengeheimnis handelt es sich daher nicht um eine Verlagerung von Verantwortung, eine Erweiterung der Pflichten des Beschäftigten oder eine Streitfrage, bei der sich Arbeitnehmer und Arbeitgeber gegenüberstehen. Der Arbeitgeber kommt bei der Unterrichtung lediglich seiner gesetzlichen Pflicht nach, den Arbeitnehmer auf seine gesetzlichen Pflichten beim Umgang mit personenbezogenen Daten hinzuweisen. Die Unterschrift stellt damit keine Erweiterung der Aufgaben des Beschäftigten oder eine Einwilligung dar, sie quittiert lediglich die Kenntnisnahme der bestehenden Aufgaben im Rahmen des Datenschutzes.

Es besteht folglich kein Grund eine Erklärung zur Kenntnisnahme nicht zu unterschreiben. Wenn sich ein Beschäftigter dennoch weigert, die Erklärung zur Kenntnisnahme zu unterschreiben, empfiehlt es sich, ihm oder ihr diesen Zusammenhang in einem persönlichen Gespräch – idealweise unter Miteinbeziehung des Datenschutzbeauftragten oder -koordinators – zu erläutern. Ein entsprechend datierter Vermerk, dass ein aufklärendes Gespräch geführt wurde und der Beschäftigte darin auf seine Pflichten hingewiesen wurde, sollte als Nachweis gegenüber der Aufsichtsbehörde ausreichend sein.

Arbeitsrechtliche Konsequenzen sind möglich, da die Einhaltung des Datenschutzes eine wesentliche Pflicht des Arbeitnehmers gegenüber dem Arbeitgeber darstellt. Sie sollten entsprechende Maßnahmen allerdings erst dann einleiten, wenn der Beschäftigte nicht nur die Unterschrift der Kenntnisnahme verweigert, sondern auch die Einhaltung der rechtlichen Pflichten verweigert, auf die er dort hingewiesen wird.

Die Rolle des Betriebsrats bei der Verpflichtung

Der Betriebsrat hat gemäß § 80 I Nr. 1 BetrVG die Aufgabe, darüber zu wachen, dass die zugunsten der Arbeitnehmer geltenden Gesetze durchgeführt werden. Ihm sollte es infolgedessen auch daran gelegen sein, dass die Beschäftigten eine Verpflichtungserklärung unterschreiben. Dies ist einfach der Tatsache geschuldet, dass der Schutz personenbezogener Daten nach der DSGVO sich nicht auf Kundendatenschutz beschränkt, sondern auch dem Beschäftigtendatenschutz größte Relevanz beimisst. Beispielsweise mag einem Beschäftigten im Vertrieb oder Marketing eine Verpflichtung zum Datenschutz auf den ersten Blick lästig erscheinen. Nichtsdestotrotz sorgt dieselbe Verpflichtung dafür, dass die Kollegen z. B. aus der Personal- oder IT-Abteilung vertraulich mit seinen Daten umgehen.

Fazit: Machen Sie die Verpflichtung von Mitarbeitern zum Standard

Die Verpflichtung auf Vertraulichkeit von Mitarbeitern und ggfs. anderen Beschäftigten ist in der Praxis sehr effizient umzusetzen. Da sich die Pflicht zur Vertraulichkeit direkt aus dem Gesetz ergibt, sollte es wenig Widerstand bei den Verpflichteten geben. Letztlich profitieren von einer sauber dokumentierten Verpflichtung alle Beteiligten.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Rechtskonformes E-Mailmarketing nach DSGVO (Kurzanleitung)

Beim E-Mailmarketing sind neben datenschutzrechtlichen auch lauterkeitsrechtliche Anforderungen zu berücksichtigen. Wer nicht nur E-Mails versenden, sondern auch die E-Mailnutzung durch den Empfänger analysieren möchte, braucht auch hierfür eine Rechtsgrundlage. Die wichtigsten Punkte zum datenschutzkonformen E-Mailmarketing finden Sie in unserer Kurzanleitung.

E-Mail-Versand (1): Werbung als berechtigtes Interesse

Das starre und gleichzeitig oft schwammige sogenannte Listenprivileg, das bei Werbung unter dem alten Bundesdatenschutzgesetz zu berücksichtigen war, sorgte in der Praxis immer wieder für Rechtsunsicherheit und in der datenschutzrechtlichen Literatur für Unmut.

Die EU-Datenschutz-Grundverordnung (DSGVO) enthält keine dem Listenprivileg vergleichbare komplizierte Regelung mehr. Nach ihr ist die Verwendung von Daten für Direktwerbungszwecke nicht mehr nur ausnahmsweise und im „schwammigem Rahmen“ zulässig, sondern vielmehr grundsätzlich erlaubt. Dies folgt aus dem letzten Satz von Erwägungsgrund 47 DSGVO, in dem das Interesse des Unternehmens an Direktwerbung ausdrücklich als ein berechtigtes Interesse des Unternehmens anerkannt wird.

Die berechtigten Interessen sind grundsätzlich mit den schutzwürdigen Interessen des Betroffenen abzuwägen. Allerdings überwiegt das berechtigte Interesse des Unternehmens gemäß Erwägungsgrund 47 DSGVO regelmäßig bereits dann, wenn der Betroffene „vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung [für Werbezwecke] erfolgen wird“. Eine solche Erwartungshaltung sollte zu bejahen sein, wenn der Betroffene gemäß Art. 13 Abs. 1 lit. c DSGVO bei der Datenerhebung über die Zwecke, für die die Daten verarbeitet werden sollen, sowie über die einschlägige Rechtsgrundlage (in diesem Fall Art. 6 Abs. 1 lit. f DSGVO) sowie über das berechtigte Interesse informiert wurde.

Neben den – gelockerten – datenschutzrechtlichen Anforderungen an eine Nutzung von Daten für Werbezwecke müssen allerdings auch weiterhin die – unverändert strengen – lauterkeitsrechtlichen Anforderungen berücksichtigt werden. Dieses lässt E-Mailwerbung ohne vorherige ausdrückliche Einwilligung nur zu, wenn mit ihr ausschließlich eigene Produkte beworben werden, die dem ursprünglich vom Kunden gekauften Produkt ähnlich sind. Bei der Erhebung der Adresse muss zudem über die beabsichtigte Bewerbung informiert werden. Damit ist der Anwendungsbereich für E-Mailwerbung ohne Einwilligung eng und auch etwas schwammig (Wann ist ein Produkt noch ähnlich?), weshalb die meisten Unternehmen in der Praxis bereits aus Gründen der Rechtssicherheit eine Einwilligung des Betroffenen einholen.

E-Mail-Versand (2): Werbung mit Einwilligung

Eine Einwilligung ist nur rechtswirksam, wenn der Gegenstandsbereich der Einwilligung konkret und abschließend beschrieben ist. So machen zu weit gefasste und nur vage beschriebene Werbezwecke, wie sie u. a. bei Facebook & Co. zu finden sind, die Einwilligung unwirksam. Transparenz bedeutet auch, dass die Person die Einwilligungserklärung nicht „überlesen“ kann, weil sie zwischen anderen Erklärungstexten versteckt ist. Darüber hinaus muss die Einwilligung freiwillig erfolgen. Das Freiwilligkeitsgebot ist dann missachtet, wenn der Erhalt einer Leistung in rechtswidriger Weise von der Einwilligung in die Datenverarbeitung abhängig gemacht wird. Ob eine rechtswidrige „Kopplung“ vorliegt, kann wiederum nur im Einzelfall gesagt werden (siehe unser Ratgeber zum Kopplungsprüfungsgebot).

Lauterkeits- und Datenschutzrecht verlangen zudem eine ausdrückliche Einwilligung – also eine Einwilligung, die auf der aktiven Handlung des Betroffenen beruht. Vorangekreuzte Checkboxen scheiden daher aus. Das werbende Unternehmen muss schließlich im Zweifel belegen können, dass es eine Einwilligung in die E-Mailwerbung auch wirklich von der beworbenen Person – und nicht von einer anderen Person – erhalten hat (Art. 7 Abs. 1 DSGVO). Dies lässt sich rechtskonform mithilfe des Double-Opt-in-Verfahrens bewerkstelligen, d. h. die Person erhält erst dann eine Werbe-E-Mail, wenn sie in einer werbefreien E-Mail einen Bestätigungslink angeklickt hat. Zum anderen muss die Einwilligung, sofern sie elektronisch erteilt wird, protokolliert werden und für den Betroffenen jederzeit abrufbar sein.

E-Mail-Auswertung: anonymisiertes, pseudonymisiertes und direkt identifizierendes Tracking

Die Auswertung der Nutzung ausgesandter Werbe-E-Mails ist z. B. durch individualisierte Ein-Pixel-Bilder möglich, die beim Empfang der E-Mail vom Server des werbenden Unternehmens nachgeladen werden. Beim Abruf des Bildes kann u. a. die IP-Adresse, der E-Mailclient und der Abrufzeitpunkt festgehalten werden. Auch ist es möglich, in der E-Mail enthaltene Links auf Angebote des werbenden Unternehmens zu individualisieren, sodass nachvollziehbar wird, wer einen bestimmten Link angeklickt und sich für das verlinkte Produkt interessiert hat.

Da jedenfalls solche E-Mailadressen, die den Vor- und Nachnamen der Person enthalten als personenbezogen anzusehen sind, kann das werbende Unternehmen mithilfe des Pixels bzw. der Links personenbezogene Daten erheben. Möglich ist jedoch auch eine anonymisierte Analyse der E-Mailnutzung. Diese ist datenschutzrechtlich unproblematisch. Wird dagegen eine individualisierte Nutzungsauswertung angestrebt, muss zwischen einer pseudonymisierten und einer direkt identifizierenden Auswertung unterschieden werden.

Eine direkt identifizierende Auswertung darf nur mit Einwilligung der Person erfolgen. Die Einwilligung muss, um wirksam zu sein, die oben beschriebenen Kriterien erfüllen. Wichtig ist insbesondere, dass der Nutzer genau darüber aufgeklärt wird, welche konkreten Daten erhoben werden oder für welchen konkreten Zweck sie genutzt werden sollen.  Die Einwilligung muss ferner bewusst erfolgen – z. B. durch Setzen eines Häkchens – und jederzeit abrufbar sein, dem Nutzer also zur Verfügung gestellt werden können.

Eine pseudonymisierte Auswertung erfolgt dann, wenn Daten, die den E-Mailempfänger unmittelbar identifizieren würden – hierzu gehört die IP-Adresse und meist auch die E-Mailadresse – getrennt von den Daten zur E-Mailnutzung gespeichert werden. Es muss organisatorisch und technisch sichergestellt sein, dass die Daten über die Nutzung der Werbe-E-Mail – z. B. wann ein bestimmter E-Mailadressat die Werbe-E-Mail geöffnet hat – nicht mit identifizierenden Merkmalen wie der E-Mailadresse zusammengeführt werden können.

Die für sich genommen anonymen Daten zur Nutzung der E-Mail durch einen bestimmten E-Mailadressaten dürfen jedoch einer bestimmten ID zugeordnet werden – dem Pseudonym. Das Pseudonym ermöglicht es somit, trotz fehlender identifizierender Daten wie der E-Mailadresse oder der IP-Adresse, die Nutzungsdaten einem bestimmten Nutzer zuzuordnen. Bei ausreichender Pseudonymisierung kann die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden; es bedarf also keiner Einwilligung des Betroffenen.

Ob pseudonymisierte Nutzungsprofile aus datenschutzrechtlicher Sicht trotz fehlender „Klardaten“ überhaupt personenbezogen sind – und damit dem Datenschutzrecht unterfallen – oder aber als anonymisiert anzusehen sind, war bis zur Verabschiedung der Datenschutz-Grundverordnung umstritten. Die DSGVO schafft nun Klarheit über die Personenbezogenheit von pseudonymisierten Nutzungsprofilen: Art. 4 Nr. 1 DSGVO sieht die namentliche Identifizierung nur noch als eine von vielen möglichen Identifizierungsformen an. So gilt eine natürliche Person auch dann als identifizierbar, wenn sie direkt oder indirekt einer Kennnummer oder einer Online-Kennung zugeordnet werden kann. Gerade dies ist Absicht pseudonymisierter Nutzungsprofile.

Widerspruch macht Verarbeitung unzulässig

Sowohl der Versand von Werbe-E-Mails als auch das Tracking der E-Mailnutzung ist unzulässig, wenn der Betroffene der Werbung bzw. dem Tracking widersprochen hat. Der Widerspruch gegen Direktwerbung ist in Art. 21 Abs. 2, 3 DSGVO ausdrücklich geregelt.

Der E-Mail-Empfänger muss dem E-Mailempfang jederzeit widersprechen können und muss darüber bei der Erhebung der E-Mailadresse informiert werden. Informiert werden muss bei der Erhebung der Adresse auch darüber, dass diese für Werbezwecke genutzt werden soll.

Darüber hinaus beinhaltet die DSGVO in Artikel 13 deutlich umfangreichere Informationspflichten als das frühere deutsche Datenschutzrecht. Zur rechtkonformen Umsetzung (z. B. durch entsprechende Ausgestaltung der Website-Datenschutzerklärung) sollte unbedingt ein Datenschutzexperte hinzugezogen werden.

Hohe Bußgelder bei rechtswidrigem E-Mailmarketing drohen

Die vielleicht wichtigste Neuerung im Datenschutzrecht für Unternehmen ist die krasse Anhebung der Bußgeld-Maximalgrenzen.

Eine rechtswidrige Verarbeitung der E-Mailadresse nach DSGVO kann mit bis zu 20 Mio. Euro oder im Falle eines Unternehmens mit bis zu 4 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden. Eine rechtswidrige Verarbeitung liegt z. B. schon dann vor, wenn der Beworbene der E-Mailwerbung widersprochen hat.

Dieser aktualisierte Artikel wurde zuerst am 26. Juli 2016 veröffentlicht.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!