Datenschutzanforderungen an E-Mails und deren Verschlüsselung

Datenpannen, Hacks und Datendiebstahl verursachen der Wirtschaft zunehmend empfindliche Schäden – ganz zu schweigen vom entstehenden Imageschaden. Eine ausreichende Verschlüsselung von E-Mails ist eine der wichtigsten Vorbeugungsmaßnahmen für einen solchen Datenschutznotfall. Laut Datenschutz-Grundverordnung (DSGVO) sind Verantwortliche sogar verpflichtet, ausreichende Schutzmaßnahmen zu ergreifen. Doch wie funktioniert das ganz praktisch?

Unterschiedliche Verschlüsselungsarten für E-Mails

Grundsätzlich lassen sich zwei Formen der E-Mail-Verschlüsselung unterscheiden, die Transport- und die Inhaltsverschlüsselung (auch Ende-zu-Ende-Verschlüsselung genannt).

Bei der Transportverschlüsselung ist „nur“ die Verbindung zwischen den beiden kommunizierenden E-Mail-Servern verschlüsselt. Der Inhalt bleibt jedoch weiterhin lesbar. Bildlich gesprochen, könnte man sich einen Tunnel vorstellen, durch den die Datenpakete geschickt werden. Unbefugte Dritte können nicht in den Tunnel hineinschauen, da dieser entsprechend gesichert ist. Würden Dritte sich jedoch ein Loch zum Tunnel bohren, könnten sie die Datenpakete im Klartext mitlesen. Seit der Einführung am 13. August 2018 wird im Rahmen der Transportverschlüsselung typischerweise das sog. TLS (Transport Layer Security)-Protokoll in der Version 1.3 verwendet.

Bei der Inhaltsverschlüsselung wird hingegen der versandte Inhalt als solcher codiert. In diesem Fall stellt es sich also eher so dar, dass selbst wenn der Dritte in den zuvor beschriebenen Tunnel blicken könnte, er die Datenpakete dennoch nicht mitlesen könnte, da jedes einzelne separat verschlüsselt ist. Hierbei tauschen der Sender und Empfänger zuvor verschiedene Schlüssel (einen öffentlich einsehbaren und dann einen privaten) aus, mit denen sich die Datenpakete wieder öffnen lassen. Deshalb können auch nur die Schlüssel-austauschenden-Beteiligten den versandten Inhalt wieder im Klartext lesen. Aus dem Bereich der Inhaltsverschlüsselung ist das Datenverschlüsselungsformat S/MIME ein besonders populärer Vertreter. Ein weiterer bekannter Vertreter der Inhaltsverschlüsselung ist auch noch PGP (pretty good privacy).

Rechtliche Anforderungen an die E-Mail-Verschlüsselung

Fragt man sich nun, welche Anforderungen die DSGVO aufstellt, so wird man schnell ernüchtert. Gemäß Art. 32 Abs. 1 lit. a) DSGVO heißt es da, dass der Verantwortliche unter Berücksichtigung (u. a.) des Stands der Technik und der Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen hat, um ein angemessenes Schutzniveau zu gewährleisten. Hinter dieser etwas langatmigen Erklärung verbergen sich insbesondere zwei entscheidende Aussagen:

Einerseits orientiert sich die Frage, ob eine Verschlüsselung als sicher anzusehen ist, am Stand der Technik. Eine handfeste Definition dieses Begriffs gibt es bisher nicht. Im weiteren Sinne versteht man darunter diejenigen Technologien, die auf gesicherten Erkenntnissen beruhen und in der Praxis jeweils in bereits ausreichendem Maß zur Verfügung stehen, um angemessen umgesetzt zu werden. Eine gute Erklärung des Begriffs liefert dieser Artikel des Webhostinganbieters 1&1 Ionos.

Andererseits hängt der Einsatz der Verschlüsselung davon ab, welche Risiken für eine natürliche Person daraus erwachsen, wenn ein Dritter die versandten Daten mitlesen könnte. Mit anderen Worten: Je brisanter der Inhalt (datenschutzrechtlich) ist, desto höher sind auch die technischen Anforderungen an die Verschlüsselung der E-Mail (Stand der Technik). Soll also z. B. der Befund im Rahmen einer ärztlichen Untersuchung (besonders sensible personenbezogene Daten) per E-Mail verschickt werden, müssen stärkere technische Anstrengungen unternommen werden, als wenn nur eine normale Rechnung („einfache“ personenbezogene Daten) verschickt werden soll.

Die DSGVO verschweigt auch, was denn nun (gerade) dem gegenwärtigen Stand der Technik entspricht. Eine Antwort hierauf geben aber die Datenschutzaufsichtsbehörden der deutschen Bundesländer. So ergibt sich aus einer öffentlichen Stellungnahme der Datenschutzbehörde des Bundeslandes NRW sowie aus verschiedenen Antworten der Datenschutzbehörden anderer Länder auf Anfrage der activeMind AG, dass der Stand der Technik beim Versand personenbezogener Daten mindestens eine Transportverschlüsselung ist. Bestellt jemand in einem Onlineshop z. B. ein Buch und erhält vom Verkäufer eine Bestellbestätigung per E-Mail, die typischerweise die Versandadresse und Rechnungsdaten des Empfängers enthält, so muss die Verbindung im Regelfall mindestens über TLS 1.3 gesichert sein.

Enthält die E-Mail besonders sensible Daten (Art. 9 Abs. 1 DSGVO), liegt die Messlatte höher. Als Stand der Technik wird dann eine Inhaltsverschlüsselung gefordert. Möchte der Arzt also bspw. seinem Patienten die Ergebnisse einer Blutanalyse zusenden, so müsste der Inhalt der E-Mail zur Gewährleistung der Datenschutzkonformität per S/MIME oder mit einer vergleichbaren Inhaltsverschlüsselung codiert werden. Dies erklärt sich wiederum mit dem oben erwähnten Risiko für die Rechte und Freiheiten natürlicher Personen. Denn bei sensibleren Daten drohen für das betroffene Individuum besonders schmerzhafte Risiken (z. B. Rufschädigung, breiteres Spektrum an Missbrauchsmöglichkeiten, etc.). Bekommt ein Dritter lediglich die zuvor erwähnten Rechnungsdaten in die Finger, sind die Risiken dementgegen geringer, wenn auch dennoch vorhanden.

Handlungsvorschläge für Ihre E-Mail-Verschlüsselung

Ein besonderes Problem der E-Mail-Verschlüsselung zum gegenwärtigen Zeitpunkt ist, dass sowohl Sender als auch Empfänger die notwendigen Voraussetzungen zum Ver- und Entschlüsseln der Nachrichten eingerichtet haben müssen. Allerdings haben noch nicht alle Nutzer die Bedeutsamkeit des Themas erkannt. Dabei ist die Verwendung einer Transportverschlüsselung kein Hexenwerk. Mittels dieser Anleitung lässt sich eine solche mit nur wenigen Klicks einrichten. Auch im Fall der Inhaltsverschlüsselung gibt es Hoffnung. So ist z. B. in den bekannten E-Mail-Client Microsoft Outlook von Hause aus auch eine Lösung für den Einsatz von S/MIME integriert. Unter Zuhilfenahme dieser Anleitung, lassen sich sowohl S/MIME als auch PGP auf den unterschiedlichsten E-Mail-Clients recht leicht installieren. Das Beste daran ist, dass die vorgeschlagenen Lösungen kostenlos sind.

Verfügt der Empfänger nicht über die erforderliche Verschlüsselungstechnik, so können ihm Daten zumindest komprimiert (z. B. mit 7-zip, WinRar oder WinZip) und mit einem Passwort versehen übersandt werden. Damit der Empfänger die Datei auch öffnen kann, wird das Passwort hierzu (vorzugsweise) über einen anderen Kommunikationskanal, wie z. B. SMS oder per Telefon, versandt. Aber auch in diesem Zusammenhang sollte geprüft werden, welche Komprimierungssoftware man benutzt. Unterschiede ergeben sich bei den einzelnen Anbietern insbesondere hinsichtlich der eingesetzten Verschlüsselungsstärke (z. B. 256 Bit), aber auch beim Verschlüsselungsalgorithmus (AES).

Abgesehen davon gibt es aber auch weitaus einfachere Möglichkeiten, den Schutz zu versendender E-Mails zu erhöhen. So empfiehlt die Datenschutzaufsichtsbehörde NRW, im Betreff einer Nachricht keine personenbezogenen Daten (Negativbeispiel: „Syphilisuntersuchung von Erwin Meier am 9.3.2018“), sondern neutrale Schlagwörter (z. B. „Rückmeldung zu Ihrem letzten Termin“) zu verwenden.

Um die Daten vor Veränderung auf dem Transportweg zu erschweren, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) u. a. den Einsatz einer digitalen Unterschrift. Dadurch wird auch stärker sichergestellt, dass die E-Mail tatsächlich vom angegebenen Versender stammt. Hilfreiche Hinweise zur Einführung einer solchen Unterschrift, die bei S/MIME bereits integriert ist, finden sich hier.

Arbeiten Unternehmer dauerhaft dauerhaft zusammen und versenden sie sensible Daten, sollten sich beide überlegen, ob auch mit Blick auf Haftungsfragen der Einrichtungsaufwand in Kauf genommen wird.

Datenschutzrechtliche Haftungsrisiken bei unverschlüsselten E-Mails

Werden per E-Mail versandte Daten von Dritten abgefangen oder diesen bspw. offengelegt, so steht es dem Betroffenen frei, vom Versender Schadensersatz zu verlangen. In diesem Zusammenhang sei nochmals besonders darauf verwiesen, dass es nach der DSGVO nunmehr möglich ist, auch immaterielle Schäden ersetzt zu verlangen. Denkt man z. B. an die zuvor erwähnte Syphilisuntersuchung, so könnte eine nicht wohlgesonnene Person bei Kenntnisnahme diese Informationen ohne größere Probleme in einem sozialen Netzwerk veröffentlichen. Ist der Ruf der betroffenen Person dann erst einmal durch ehrkränkende Äußerungen verletzt, so kann dieser den entstandenen Schaden vom Arzt, der seine E-Mails nicht entsprechend verschlüsselt hat, ersetzt verlangen (vgl. Erwägungsgrund 75 DSGVO). Nicht unerwähnt sollen auch die Bußgelder bleiben, die von der Datenschutzaufsichtsbehörde in diesem Zusammenhang verhängt werden können.

Fazit: E-Mail-Verschlüsselung sollte Standard sein

Den technischen Datenschutz durch E-Mail-Verschlüsselung oder wenigstens passwortgeschützten Versand personenbezogener Daten zu gewährleisten, ist kein Hexenwerk (mehr). Es kann gar nicht oft genug an Verantwortliche und insbesondere Unternehmen appelliert werden, sich mit diesem Thema intensiver zu befassen. Die wirtschaftlichen Schäden, die durch Hacking, Industriespionage, etc. entstehen, steigen von Jahr zu Jahr. Wenn man bedenkt, dass ein Unternehmer herkömmliche Briefe mit Kundendaten ja auch zuklebt, um den Inhalt vor den neugierigen Blicken Dritter zu schützen, leuchtet es nur umso mehr ein, dass dieser die Kommunikation per E-Mail ebenso schützen sollte und muss.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Rechenschaftspflichten bei der Datenverarbeitung

Viele Unternehmen erlassen seit Inkrafttreten der Europäischen Datenschutz-Grundverordnung (DSGVO) munter zahllose interne Regelungen zum Umgang mit personenbezogenen Daten. So will man den neuen datenschutzrechtlichen Anforderungen nachkommen und auf Kontrollen der Aufsichtsbehörden vorbereitet sein. Doch über welche Datenverarbeitungen und deren Schutz müssen Unternehmen überhaupt Rechenschaft ablegen?

Die Rechenschaftspflicht in der DSGVO

Die Rechenschaftspflicht ist in Art. 5 Abs. 2 DSGVO verankert. Hiernach ist der Verantwortliche für die Einhaltung der in Art. 5 Abs. 1 DSGVO aufgezählten Grundsätze (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit) verantwortlich und muss deren Einhaltung nachweisen können. Was aber steckt nun hinter dieser verantwortungsschweren Aussage?

Umfang der Rechenschaftspflicht

Die Rechenschaftspflicht lässt sich in zwei einzelne Pflichten gliedern: Einerseits folgt hieraus die Verantwortlichkeit. Diese findet sich im sog. risikobasierten Ansatz wieder (Art. 24 Abs. 1 DSGVO). Er besagt, dass sich Art und Umfang der vom Verantwortlichen zu ergreifenden datenschutzrechtlichen Maßnahmen nach dem Ergebnis einer Risikoanalyse richten sollen. Produziert eine Fabrik also lediglich Gewürzgurken, ist das Risiko eines Datenschutzvorfalls wesentlich geringer als in einem Krankenversicherungsunternehmen, in dem viel mehr und sensiblere Daten verarbeitet werden. Die erforderlichen Maßnahmen sind fortlaufend zu überprüfen und zu aktualisieren. Wird der Gewürzgurkenproduzent also international tätig oder und wird aus der o.g. Fabrik fortan die gesamte Mitarbeiterverwaltung gesteuert und bewertet, so müssen der Standort und die Datenverarbeitung in Zukunft auch stärker geschützt werden.

Andererseits folgt aus der Rechenschaftspflicht die sog. Nachweispflicht, die vor allem auf die Erbringung von Nachweisen gegenüber der Aufsichtsbehörde abzielt (Art. 58 Abs. 1 lit. a) DSGVO). Kontaktiert die Aufsichtsbehörde also ein Unternehmen und verlangt Auskunft darüber, ob dieses denn auch die Daten seiner Kunden datenschutzkonform aufbewahrt, so muss das Unternehmen in irgendeiner Form diese Frage beantworten können. Das Gesetz legt dabei keine bestimmte Form des Nachweises fest, sondern überlasst es dem Verantwortlichen, wie er dieser Pflicht nachkommt.

Praktische Umsetzung der Rechenschaftspflicht

Die Umsetzung der Rechenschaftspflicht sollte entsprechend der o.g. Verantwortlichkeit und Nachweispflicht in zwei Schritten erfolgen. Es sollte also zunächst eine Risikoanalyse vorgenommen werden, die dann den Umfang der zu dokumentierende Nachweise festlegt.

Wenn die Risikoanalyse ergeben hat, dass ein relativ hohes datenschutzrechtliches Risiko besteht, weil die Firma z. B. als soziales Netzwerk die Daten von Mitgliedern verschiedener Parteien verarbeitet, kann sich zunächst die Einführung eines Datenschutzmanagementsystems (DSMS) anbieten. Ein solches DSMS bietet den Vorteil, dass bspw. im Kontaktfall durch die Aufsichtsbehörde, schnell und effizient auf deren Nachfragen reagiert werden kann. Beim Aufbau eines solchen kann man sich an vorhandenen Compliance-Managementsystemen wie z. B. einem Qualitäts-Service-Management-System (QSMS) orientieren. Denkbar ist es auch, das DSMS in bestehende Compliancesysteme zu integrieren.

Im Einzelnen tragen u.a. die folgenden Maßnahmen zur Erfüllung der Rechenschaftspflicht bei:

  • Aufbau einer internen Datenschutzrichtlinie (Inhalt: Anwendungsumfang der Richtlinie, Verantwortlichkeiten des Mitarbeiters/Managements, Datenschutzvorfallmeldung, Konsequenzen der Nichteinhaltung der Richtlinie, etc.)
  • verbindliche interne Datenschutzvorschriften (Binding Corporate Rules – BCR) gem. Art. 47 Abs. 1, 2 DSGVO (Beispiel.: Der o.g. Gewürzgurkenkonzern unterhält weltweit mehrere Standorte. Damit die Standorte in und außerhalb der EU miteinander z. B. ihre Personaldaten austauschen dürfen, müssen für die Dependancen außerhalb der EU verbindliche, interne Datenschutzvorschriften erstellt und angewendet werden. Diese werden von der zuständigen Aufsichtsbehörde genehmigt.)
  • Technikgestaltung, Art. 25 Abs. 1 DSGVO/datenschutzfreundliche Voreinstellungen, Art. 25 Abs. 2 DSGVO
    • zur Technikgestaltung: Das im Gewürzgurkenkonzern verwendete Mitarbeiterverwaltungsprogramm pseudonymisiert die Daten der Mitarbeiter direkt nach der Erfassung (Erwägungsgrund 78 DSGVO).
    • zu datenschutzfreundlichen Voreinstellungen: Das Social-Media-Profil des Gewürzgurkenkonzerns enthält schon bei seiner Erstellung die datenschutzfreundlichsten Voreinstellungen der jeweiligen Plattform.
  • Erstellung eines Verarbeitungsverzeichnisses ( 30 Abs. 1 und 2 DSGVO)
  • Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 Abs. 1 und 3 DSGVO)
  • Bestellung eines Datenschutzbeauftragten (Art. 37 DSGVO)
  • Dokumentation von Datenschutzverletzungen ( 33 Abs. 5 DSGVO)
  • Einhaltung genehmigter Verhaltensregeln/Zertifizierungsverfahren ( 24 Abs. 3 DSGVO)
    • zu Verhaltensregeln: Der Verband europäischer Gewürzgurkenhersteller erlässt eine Verhaltensregel, nach welchen Datenschutzstandards mit Daten in den Mitgliedsunternehmen zu verfahren ist, (Art 40 DSGVO).
    • zu Zertifizierungsverfahren: Das Gewürzgurkenunternehmen erhält nach entsprechender Überprüfung seiner Datenschutzcompliance das Zertifikat EuroPriSe (European Privacy Seal) (Art. 42 Abs. 1 DSGVO). Das Unternehmen kann dieses Zertifikat bei einer Überprüfung durch die Aufsichtsbehörde vorweisen.

Weitere Beispiele, wie man seiner Nachweispflicht nachkommen kann, hält auch die Artikel-29-Datenschutzgruppe in ihrem Arbeitspapier Nr. 173 vor.

Wenn sich der Unternehmer nun selbst fragt, ob er der Nachweispflicht in genügender Weise entsprochen hat, so sollte er sich die Frage stellen, ob er alle Prozesse, bei denen personenbezogene Daten erhoben und verarbeitet werden, hinreichend dokumentiert hat.

Haftungsrisiken hinsichtlich der Rechenschaftspflicht

Wer angesichts dieses doch recht herausfordernden Pensums der Rechenschaftspflicht den Kopf in den Sand steckt oder die Verantwortung von sich weisen will, ist schlecht beraten. Es sollte jedem Verantwortlichen klar sein, dass er auch dann haftet, wenn die Verarbeitung der personenbezogenen Daten nicht durch ihn selbst, sondern durch einen Dienstleister erfolgt (Erwägungsgrund 74 DSGVO). Sprich: Nur weil die Datenschutzverletzung nicht im eigenen Unternehmen, sondern z. B. bei einem Subunternehmer erfolgt, heißt das noch nicht, dass das Unternehmen von der Haftung befreit ist. Im Übrigen kann sich der Unternehmer auch nicht dadurch der Haftung entziehen, dass er einen Datenschutzbeauftragten bestellt.

Im Übrigen kommt eine Haftung durch eine Beschwerde einer betroffenen Person bei der zuständigen Aufsichtsbehörde nach Art. 77 DSGVO in Betracht. Ist eine Person mit dem Ergebnis des Beschwerdeverfahrens nicht einverstanden, so kann sie das Untersuchungsergebnis auch gerichtlich angreifen (Art. 78 Abs. 1 und 2 DSGVO).

Natürlich findet bei nicht ausreichender Dokumentation im Ernstfall auch eine Sanktionierung durch die Aufsichtsbehörde statt. Bußgelder können bis zu 20 Mio. Euro oder 4 % des weltweiten Umsatzes des Unternehmens betragen, je nachdem welcher Betrag höher ist (Art. 83 Abs. 5 DSGVO).

Die spannendste Diskussion in diesem Bereich unter Datenschutzrechtlern ist derzeit, ob die in Art. 5 Abs. 1 DSGVO genannten Grundsätze ebenso wie die Rechenschaftspflicht auch gerichtlich einklagbar sind. Stellt ein Betroffener also fest, dass ein Unternehmen ihm keine Auskunft zu seinen Daten geben kann, weil einfach keine entsprechenden Dokumentations- bzw. Auskunftsmöglichkeiten vorliegen, so könnte er auf die Idee kommen, den Unternehmer für die Verletzung seiner Nachweispflicht gerichtlich zu verklagen. Ob das möglich ist und wenn ja, wie, wird in Zukunft wohl letztlich der Europäische Gerichtshof beantworten müssen.

Dieser aktualisierte Artikel wurde zuerst am 24. März 2017 veröffentlicht.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Rechtskonformes E-Mailmarketing nach DSGVO (Kurzanleitung)

Beim E-Mailmarketing sind neben datenschutzrechtlichen auch lauterkeitsrechtliche Anforderungen zu berücksichtigen. Wer nicht nur E-Mails versenden, sondern auch die E-Mailnutzung durch den Empfänger analysieren möchte, braucht auch hierfür eine Rechtsgrundlage. Die wichtigsten Punkte zum datenschutzkonformen E-Mailmarketing finden Sie in unserer Kurzanleitung.

E-Mail-Versand (1): Werbung als berechtigtes Interesse

Das starre und gleichzeitig oft schwammige sogenannte Listenprivileg, das bei Werbung unter dem alten Bundesdatenschutzgesetz zu berücksichtigen war, sorgte in der Praxis immer wieder für Rechtsunsicherheit und in der datenschutzrechtlichen Literatur für Unmut.

Die EU-Datenschutz-Grundverordnung (DSGVO) enthält keine dem Listenprivileg vergleichbare komplizierte Regelung mehr. Nach ihr ist die Verwendung von Daten für Direktwerbungszwecke nicht mehr nur ausnahmsweise und im „schwammigem Rahmen“ zulässig, sondern vielmehr grundsätzlich erlaubt. Dies folgt aus dem letzten Satz von Erwägungsgrund 47 DSGVO, in dem das Interesse des Unternehmens an Direktwerbung ausdrücklich als ein berechtigtes Interesse des Unternehmens anerkannt wird.

Die berechtigten Interessen sind grundsätzlich mit den schutzwürdigen Interessen des Betroffenen abzuwägen. Allerdings überwiegt das berechtigte Interesse des Unternehmens gemäß Erwägungsgrund 47 DSGVO regelmäßig bereits dann, wenn der Betroffene „vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung [für Werbezwecke] erfolgen wird“. Eine solche Erwartungshaltung sollte zu bejahen sein, wenn der Betroffene gemäß Art. 13 Abs. 1 lit. c DSGVO bei der Datenerhebung über die Zwecke, für die die Daten verarbeitet werden sollen, sowie über die einschlägige Rechtsgrundlage (in diesem Fall Art. 6 Abs. 1 lit. f DSGVO) sowie über das berechtigte Interesse informiert wurde.

Neben den – gelockerten – datenschutzrechtlichen Anforderungen an eine Nutzung von Daten für Werbezwecke müssen allerdings auch weiterhin die – unverändert strengen – lauterkeitsrechtlichen Anforderungen berücksichtigt werden. Dieses lässt E-Mailwerbung ohne vorherige ausdrückliche Einwilligung nur zu, wenn mit ihr ausschließlich eigene Produkte beworben werden, die dem ursprünglich vom Kunden gekauften Produkt ähnlich sind. Bei der Erhebung der Adresse muss zudem über die beabsichtigte Bewerbung informiert werden. Damit ist der Anwendungsbereich für E-Mailwerbung ohne Einwilligung eng und auch etwas schwammig (Wann ist ein Produkt noch ähnlich?), weshalb die meisten Unternehmen in der Praxis bereits aus Gründen der Rechtssicherheit eine Einwilligung des Betroffenen einholen.

E-Mail-Versand (2): Werbung mit Einwilligung

Eine Einwilligung ist nur rechtswirksam, wenn der Gegenstandsbereich der Einwilligung konkret und abschließend beschrieben ist. So machen zu weit gefasste und nur vage beschriebene Werbezwecke, wie sie u. a. bei Facebook & Co. zu finden sind, die Einwilligung unwirksam. Transparenz bedeutet auch, dass die Person die Einwilligungserklärung nicht „überlesen“ kann, weil sie zwischen anderen Erklärungstexten versteckt ist. Darüber hinaus muss die Einwilligung freiwillig erfolgen. Das Freiwilligkeitsgebot ist dann missachtet, wenn der Erhalt einer Leistung in rechtswidriger Weise von der Einwilligung in die Datenverarbeitung abhängig gemacht wird. Ob eine rechtswidrige „Kopplung“ vorliegt, kann wiederum nur im Einzelfall gesagt werden (siehe unser Ratgeber zum Kopplungsprüfungsgebot).

Lauterkeits- und Datenschutzrecht verlangen zudem eine ausdrückliche Einwilligung – also eine Einwilligung, die auf der aktiven Handlung des Betroffenen beruht. Vorangekreuzte Checkboxen scheiden daher aus. Das werbende Unternehmen muss schließlich im Zweifel belegen können, dass es eine Einwilligung in die E-Mailwerbung auch wirklich von der beworbenen Person – und nicht von einer anderen Person – erhalten hat (Art. 7 Abs. 1 DSGVO). Dies lässt sich rechtskonform mithilfe des Double-Opt-in-Verfahrens bewerkstelligen, d. h. die Person erhält erst dann eine Werbe-E-Mail, wenn sie in einer werbefreien E-Mail einen Bestätigungslink angeklickt hat. Zum anderen muss die Einwilligung, sofern sie elektronisch erteilt wird, protokolliert werden und für den Betroffenen jederzeit abrufbar sein.

E-Mail-Auswertung: anonymisiertes, pseudonymisiertes und direkt identifizierendes Tracking

Die Auswertung der Nutzung ausgesandter Werbe-E-Mails ist z. B. durch individualisierte Ein-Pixel-Bilder möglich, die beim Empfang der E-Mail vom Server des werbenden Unternehmens nachgeladen werden. Beim Abruf des Bildes kann u. a. die IP-Adresse, der E-Mailclient und der Abrufzeitpunkt festgehalten werden. Auch ist es möglich, in der E-Mail enthaltene Links auf Angebote des werbenden Unternehmens zu individualisieren, sodass nachvollziehbar wird, wer einen bestimmten Link angeklickt und sich für das verlinkte Produkt interessiert hat.

Da jedenfalls solche E-Mailadressen, die den Vor- und Nachnamen der Person enthalten als personenbezogen anzusehen sind, kann das werbende Unternehmen mithilfe des Pixels bzw. der Links personenbezogene Daten erheben. Möglich ist jedoch auch eine anonymisierte Analyse der E-Mailnutzung. Diese ist datenschutzrechtlich unproblematisch. Wird dagegen eine individualisierte Nutzungsauswertung angestrebt, muss zwischen einer pseudonymisierten und einer direkt identifizierenden Auswertung unterschieden werden.

Eine direkt identifizierende Auswertung darf nur mit Einwilligung der Person erfolgen. Die Einwilligung muss, um wirksam zu sein, die oben beschriebenen Kriterien erfüllen. Wichtig ist insbesondere, dass der Nutzer genau darüber aufgeklärt wird, welche konkreten Daten erhoben werden oder für welchen konkreten Zweck sie genutzt werden sollen.  Die Einwilligung muss ferner bewusst erfolgen – z. B. durch Setzen eines Häkchens – und jederzeit abrufbar sein, dem Nutzer also zur Verfügung gestellt werden können.

Eine pseudonymisierte Auswertung erfolgt dann, wenn Daten, die den E-Mailempfänger unmittelbar identifizieren würden – hierzu gehört die IP-Adresse und meist auch die E-Mailadresse – getrennt von den Daten zur E-Mailnutzung gespeichert werden. Es muss organisatorisch und technisch sichergestellt sein, dass die Daten über die Nutzung der Werbe-E-Mail – z. B. wann ein bestimmter E-Mailadressat die Werbe-E-Mail geöffnet hat – nicht mit identifizierenden Merkmalen wie der E-Mailadresse zusammengeführt werden können.

Die für sich genommen anonymen Daten zur Nutzung der E-Mail durch einen bestimmten E-Mailadressaten dürfen jedoch einer bestimmten ID zugeordnet werden – dem Pseudonym. Das Pseudonym ermöglicht es somit, trotz fehlender identifizierender Daten wie der E-Mailadresse oder der IP-Adresse, die Nutzungsdaten einem bestimmten Nutzer zuzuordnen. Bei ausreichender Pseudonymisierung kann die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden; es bedarf also keiner Einwilligung des Betroffenen.

Ob pseudonymisierte Nutzungsprofile aus datenschutzrechtlicher Sicht trotz fehlender „Klardaten“ überhaupt personenbezogen sind – und damit dem Datenschutzrecht unterfallen – oder aber als anonymisiert anzusehen sind, war bis zur Verabschiedung der Datenschutz-Grundverordnung umstritten. Die DSGVO schafft nun Klarheit über die Personenbezogenheit von pseudonymisierten Nutzungsprofilen: Art. 4 Nr. 1 DSGVO sieht die namentliche Identifizierung nur noch als eine von vielen möglichen Identifizierungsformen an. So gilt eine natürliche Person auch dann als identifizierbar, wenn sie direkt oder indirekt einer Kennnummer oder einer Online-Kennung zugeordnet werden kann. Gerade dies ist Absicht pseudonymisierter Nutzungsprofile.

Widerspruch macht Verarbeitung unzulässig

Sowohl der Versand von Werbe-E-Mails als auch das Tracking der E-Mailnutzung ist unzulässig, wenn der Betroffene der Werbung bzw. dem Tracking widersprochen hat. Der Widerspruch gegen Direktwerbung ist in Art. 21 Abs. 2, 3 DSGVO ausdrücklich geregelt.

Der E-Mail-Empfänger muss dem E-Mailempfang jederzeit widersprechen können und muss darüber bei der Erhebung der E-Mailadresse informiert werden. Informiert werden muss bei der Erhebung der Adresse auch darüber, dass diese für Werbezwecke genutzt werden soll.

Darüber hinaus beinhaltet die DSGVO in Artikel 13 deutlich umfangreichere Informationspflichten als das frühere deutsche Datenschutzrecht. Zur rechtkonformen Umsetzung (z. B. durch entsprechende Ausgestaltung der Website-Datenschutzerklärung) sollte unbedingt ein Datenschutzexperte hinzugezogen werden.

Hohe Bußgelder bei rechtswidrigem E-Mailmarketing drohen

Die vielleicht wichtigste Neuerung im Datenschutzrecht für Unternehmen ist die krasse Anhebung der Bußgeld-Maximalgrenzen.

Eine rechtswidrige Verarbeitung der E-Mailadresse nach DSGVO kann mit bis zu 20 Mio. Euro oder im Falle eines Unternehmens mit bis zu 4 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden. Eine rechtswidrige Verarbeitung liegt z. B. schon dann vor, wenn der Beworbene der E-Mailwerbung widersprochen hat.

Dieser aktualisierte Artikel wurde zuerst am 26. Juli 2016 veröffentlicht.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Zusammen Daten nutzen als gemeinsam Verantwortliche

Insbesondere bei größeren Konzernen mit mehreren Tochtergesellschaften stellt sich die Frage, wie personenbezogene Daten in datenschutzrechtlich zulässiger Art und Weise ausgetauscht und genutzt werden dürfen. Die EU-Datenschutz-Grundverordnung (DSGVO) stellt dafür die Vorschriften zu gemeinsam Verantwortlichen auf. Diese müssen jedoch bestimmte Voraussetzungen erfüllen und miteinander klare Regelungen treffen.

Voraussetzungen der gemeinsamen Verantwortlichkeit

Kriterien für die Bestimmung der gemeinsam Verantwortlichen

Die gemeinsame Verantwortlichkeit bei der Verarbeitung personenbezogener Daten ist in Art. 4 Nr. 7 DSGVO und Art. 26 Abs. 1 S. 1 DSGVO geregelt. Hiernach müssen die Verantwortlichen gemeinsam sowohl den Zweck als auch die Mittel der Datenverarbeitung festlegen.

Da die DSGVO bisher eine vergleichsweise kurze Lebensspanne hat und mangels einer klaren Rechtsprechung, lassen sich die Kriterien, wann eine gemeinsame Verantwortlichkeit vorliegt, bisher nur grob bestimmen. Zur Überprüfung lohnt es sich immer die Frage zu stellen, ob die Datenverarbeitung ohne die direkte Mitwirkung des jeweils Beteiligten vermutlich anders gestaltet worden wäre als mit ihm. Ein Beispiel:

  1. Verarbeitet ein Unternehmen innerhalb eines Konzernes die Personendaten aller Mitarbeiter von allen konzernangehörigen Unternehmen und analysiert dieses Unternehmen auch die Daten um z. B. einheitliche Löhne, Gehälter oder Arbeitsbeurteilungen für den Gesamtkonzern zu erstellen, liegt eine gemeinsame Verantwortlichkeit vor.
  2. Bestimmen die anderen Unternehmen des Konzerns hingegen, welche Daten an das besagte Unternehmen übermittelt werden und was mit diesen Daten zu geschehen hat – fungiert dieses Unternehmen sozusagen als „verlängerter Arm“ der anderen -, so liegt keine gemeinsame Verantwortlichkeit vor.

Entscheidend ist außerdem die klare Festlegung der Verantwortlichkeiten zwischen den Beteiligten, (Erwägungsgrund 79 DSGVO 2. Hs.) Allerdings reicht es nicht, wenn die Verantwortlichkeiten auf dem Papier, also vertraglich, klar geregelt sind. Es kommt dementgegen mehr auf die tatsächliche Einflussmöglichkeit hinsichtlich der Datenverarbeitung des jeweils Beteiligten an, wie auch die o. g. Prüffrage nahelegt. Das heißt allerdings nicht, dass alle Beteiligten Einfluss auf jeden einzelnen Datenverarbeitungsprozess haben müssen.

Nun taugen die o. g. Gedankengänge nur als Grundgerüst. Denn Art. 26 DSGVO ist sehr flexibel anwendbar. Im „horizontalen Verhältnis“ können z. B. eine Konzernmutter und ihre Tochtergesellschaft gemeinsam Verantwortliche sein, wenn sie eine gemeinsame Datenbank zur Verarbeitung personenbezogener Daten betreiben bzw. nutzen (Erwägungsgrund 92 DSGVO).

Ebenso ist es nicht erforderlich, dass die Beteiligten jeweils zu gleichen Teilen Zweck und Mittel des gemeinsamen Verarbeitungsziels beeinflussen müssen. So kann eine gemeinsame Verantwortlichkeit vorliegen, wenn bei einer Einzelbetrachtung der Prozessschritte jeder Verantwortliche für sich allein verantwortlich scheint. Wenn man dann aber auf den gesamten Verarbeitungsprozess schaut, handelt es sich um eine „Verarbeitungskette“ und eine gemeinsame Verantwortlichkeit läge vor.

Bei Unsicherheiten über die Frage, ob eine gemeinsame Verantwortlichkeit vorliegt, hilft bisweilen ein Blick in die Stellungnahme der Artikel-29-Datenschutzgruppe, die zahlreiche Beispiele aus unterschiedlichsten Wirtschaftsbereichen bereithält.

Eine gemeinsame Verantwortlichkeit kann sich letztlich nicht nur durch die (freiwillige) Zusammenarbeit der Beteiligten ergeben, sondern auch durch eine gesetzliche Anordnung. Das Bundeskriminalamt kann z. B. gemäß § 8 Fluggastdatengesetz mit entsprechenden Stellen in anderen Mitgliedsstaaten der Europäischen Union Fluggastdaten austauschen.

Abgrenzung zum Auftragsverarbeiter

Ein weiteres Kriterium zur Klärung der o. g. Frage ist, ob es sich bei dem jeweiligen Beteiligten möglicherweise um einen Auftragsverarbeiter nach Art. 4 Nr. 8 DSGVO i. V. m. Art. 28 DSGVO handelt. Die entscheidende Abgrenzungsfrage ist dabei einerseits, ob der Betreffende weisungsgebunden oder nicht handelt. Im ersten Fall handelt es sich um einen Auftragsverarbeiter. D. h. nur im zweiten Fall kommt ein Verantwortlicher und darauf aufbauend eine gemeinsame Verantwortlichkeit in Betracht. Andererseits verarbeitet der Auftragsverarbeiter personenbezogene Daten nur zur Erfüllung seiner vertraglichen Pflichten.

Konkrete Handlungspflichten gemeinsam Verantwortlicher

Vereinbarung über gemeinsame Verarbeitung

Soweit eine gemeinsame Verantwortlichkeit vorliegt, muss nach Art. 26 Abs. 1 S. 2 DSGVO eine Vereinbarung zwischen den Verantwortlichen abgeschlossen werden. Das Gesetz schreibt dabei zwar keine bestimmte Form vor. Mit Blick auf etwaige Informationspflichten gegenüber dem Betroffenen gem. Art. 26 Abs. 2 S. 2 DSGVO und drohende Geldbußen (siehe unten) sollte jedoch mindestens eine Regelung in Textform, besser noch in Schriftform abgeschlossen werden (Textform meint, dass die Vereinbarung schriftlich fixiert wird. Bei der Schriftform bedarf es zusätzlich noch einer eigenhändigen Unterschrift).

Als Mindestinhalt sollte die Vereinbarung die tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber dem Betroffenen nach Art. 26 Abs. 2 S. 1 DSGVO beinhalten. Darüber hinaus sollte die Verteilung der Verantwortlichkeiten der jeweils Beteiligten definiert werden. Gibt es eine gesetzliche Regelung, die diese Pflichten des Verantwortlichen festschreibt, geht diese vor.

Es empfiehlt sich, die folgenden Inhalte in der Vereinbarung zu berücksichtigen:

  1. Beschreibung der Datenverarbeitung, siehe dazu Art. 28 Abs. 3 S. 1 Hs. 2 DSGVO,
  2. Phasen, Funktionen und Beziehungen aller gemeinsam Verantwortlichen des gesamten Datenverarbeitungsprozesses,
  3. generelle Beschreibung der Verteilung der datenschutzrechtlichen Verantwortlichkeiten,
  4. eine Festlegung der jeweiligen Rechtmäßigkeitsvoraussetzungen (Beispiel: Um die personenbezogenen Daten des Betroffenen zu verarbeiten, ist dessen Einwilligung erforderlich. Hier sollte festgehalten werden, wer die Einwilligungserklärungen verfasst).
  5. Umgang mit Betroffenenrechten, insbesondere
    • Zuständigkeit für die Informierung der Betroffenen gemäß Art. 13 und 14 DSGVO,
    • Benennung eines gemeinsamen Ansprechpartners für Anfragen und Ausübung der Betroffenenrechte,
    • interne praktische und technische Umsetzung der Betroffenenrechte (Beispiel: Ein Betroffener verlangt, dass seine Daten gelöscht werden. Wie setzt man es um, dass die Daten bei allen Verantwortlichen gelöscht werden?
  6. Vereinbarung über technisch-organisatorische Maßnahmen (Art. 32 DSGVO),
  7. Klärung der Zusammenarbeit bzgl. einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO),
  8. Zusammenarbeit bei Feststellung, Behandlung und Meldung von Datenschutzverletzungen, (Art. 33 und 34 DSGVO),
  9. Nennung von gegenseitigen Ansprechpartnern für den Datenschutz und Vereinbarung von Notfall- und Eskalationsmechanismen (z. B. im Falle von Datenschutzverletzungen oder Behördenanfragen),
  10. Pflichten zur gegenseitigen Übermittlung von Informationen (z. B. für die Erstellung von Verarbeitungsverzeichnissen),
  11. bei internationalen Übermittlungen Festlegung der eingesetzten Mechanismen und Verantwortlichkeiten (werden Daten in ein Land außerhalb der EU übermittelt, so ist der Betroffene gem. Art. 44 ff. EU DSGVO hierüber zu informieren, hier ist insbesondere Art. 47 EU DSGVO zu beachten),
  12. Regelungen zum Change-Management (wie wird auf den Datenschutz betreffende Änderungen reagiert?) sowie
  13. Regelungen zum Haftungsausgleich im Innenverhältnis (Art 82 DSGVO).

Weiterführend sei bzgl. der zu regelnden Inhalte, insbesondere bei konzerninternen Datenübermittlungen, noch auf den Arbeitsbericht der ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ des Regierungspräsidiums Wiesbaden verwiesen.

Informierung des Betroffenen

Dem Betroffenen ist nach Art. 26 Abs. 2 S. 2 DSGVO „das Wesentliche der Vereinbarung zur Verfügung zu stellen“. Da das Gesetz hierfür keine bestimmte Form vorsieht, sollte es ausreichen, die entsprechenden Ausführungen hierzu in die Datenschutzrichtlinie zu integrieren (Erwägungsgrund 58 DSGVO S. 2).

Es bleibt die Frage offen, was das für den Betroffenen Wesentliche ist, worüber er also informiert werden muss. Einerseits sollte er über die Art der Zusammenarbeit sowie insbesondere darüber informiert werden, welche Daten zwischen den Beteiligten ausgetauscht werden. Andererseits sollte ihm erläutert werden, wie und gegenüber wem er seine Betroffenenrechte ausüben kann.

Achtung: Unabhängig von den in der Vereinbarung getroffenen Regelungen kann der Betroffene seine Rechte nach Art. 26 Abs. 3 DSGVO grundsätzlich gegenüber jedem Verantwortlichen geltend machen.

Haftungsrisiken für gemeinsam Verantwortliche

Grundlegend sollte zunächst klar sein, dass die gemeinsame Verantwortlichkeit gem. Art. 82 Abs. 2 S. 1, Abs. 4 DSGVO zu einer gesamtschuldnerischen Haftung führen kann. D. h. der Betroffene kann den ihm entstandenen Schaden von jedem Verantwortlichen voll ersetzt verlangen. Der zahlende Verantwortliche kann sich dann natürlich an seine Mitstreiter wenden, um den gezahlten Gesamtbetrag anteilig von diesen zurückzubekommen. Umso wichtiger ist es, eine klare Regelung für den „Innenausgleich“ zu treffen.

Das zweite Risiko sind Geldbußen, die durch eine Aufsichtsbehörde nach Art. 83 Abs. 4 lit. a) DSGVO gegenüber den gemeinsam Verantwortlichen verhängt werden können. Beispielsweise kann die Aufsichtsbehörde ein Bußgeld verhängen, wenn eine gemeinsame Verantwortlichkeit vorliegt und zwischen den Beteiligten keine Vereinbarung i.S.v. Art. 26 Abs. 2 S. 1 DSGVO abgeschlossen wurde. Das Bußgeld kann bis zu 10 Mio. Euro betragen oder aber 2 % des gesamten weltweit erzielten Jahresumsatzes – je nachdem welcher Betrag höher ist.

Fazit: Ordentliche Vereinbarungen und tatsächliche Zusammenarbeit

Die klare Regelung zu gemeinsam Verantwortlichen sollte gerade für Konzerne von Interesse sein, die Daten zwischen ihren verschiedenen Gesellschaften transferieren. Entscheidend ist dabei allerdings eine ordnungsgemäß gestaltete Vereinbarung zwischen den Beteiligten und – was noch viel wichtiger ist –, dass tatsächlich mindestens zwei Verantwortliche im Sinne von Art. 26 DSGVO miteinander personenbezogene Daten verarbeiten.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Achtung Betrugsversuch einer Datenschutzauskunft-Zentrale

Eine selbsternannte „Datenschutzauskunft-Zentrale“ versucht derzeit im großen Stil, Unternehmen und Freiberufler im Zusammenhang mit der DSGVO (EU-Datenschutz-Grundverordnung) zu betrügen. Reagieren Sie auf keinen Fall auf dieses Schreiben! Haben Sie das Formblatt schon unterschrieben, sollten Sie umgehend einen Widerruf verfassen und an jene Nummer senden, an die Sie das unterschriebene Blatt gesendet haben.

Hintergrund des Betrugsversuchs

Das besagte Formular der Datenschutzauskunft-Zentrale vermittelt dem arglosen Leser den Eindruck, es handele sich um ein behördliches Schreiben. Da heißt es z. B.: „Ergänzen oder korrigieren Sie bei Annahme fehlende oder fehlerhafte Daten bis 09. Oktober 2018“.

Der rechtlich unerfahrene Empfänger könnte glauben, man müsse dieses Formular zwingend ausfüllen. Erst bei näherem Hinschauen erkennt man, dass es sich hierbei um ein Angebot zum Abschluss eines kostenpflichtigen Basisdatenschutzpaketes handelt.

Die thüringische und die bayerische Landesdatenschutzbehörde haben bereits offizielle Pressemitteilungen zur Datenschutzauskunft-Zentrale veröffentlicht. Es bleibt nur zu hoffen, dass derartige Betrugsmaschen im Zusammenhang mit der DSGVO die Ausnahme bleiben.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Umgang mit Anfragen von Betroffenen gemäß DSGVO (Anleitung)

Auskunftsrecht, Löschungsrecht, Einschränkungsrecht, Datenübertragbarkeitsrecht, Einwirkungsrecht: Die europäische Datenschutz-Grundverordnung (DSGVO) stattet Betroffene (im Rahmen sogenannter Betroffenenrechte) mit einem ganzen Bündel an Datenschutz-Werkzeugen aus. Unsere praktische Anleitung hilft Unternehmen in drei konkreten Schritten, datenschutzkonform auf Anfragen von Betroffenen zu reagieren.

Vorab: Wie wichtig ist die Reaktion auf Anfragen betroffener Personen?

Ein Kunde, der einen Datenschutzverstoß wittert, sich einen Überblick über die zu seiner Person gespeicherten Daten verschaffen möchte oder einfach nur nach einem Mittel sucht, einen Rabatt zu erzwingen, kann durch die Ausübung eines seiner aktiven Datenschutzrechte (Art. 15 ff. DSGVO) ein unvorbereitetes Unternehmen in Aufruhr versetzen: Schnell wird die Drohung, sich bei nicht fristgerechter bzw. nicht zufriedenstellender Rückmeldung an die Datenschutzbehörde zu wenden, zur echten Gefahr. Denn die Aufsichtsbehörde muss tätig werden, wenn ein Betroffener sich an sie wendet (Art. 57 Abs. 1 lit. f DSGVO).

Bei ernstzunehmenden Anliegen ist es dann nur noch eine Frage der Zeit, bis das Schreiben der Behörde eintrifft, in dem die anstehende Prüfung der Verarbeitungstätigkeiten bzw. der Datenschutzdokumente angekündigt wird. Wer dann immer noch unvorbereitet ist, riskiert hohe Bußgelder (Art. 83 DSGVO) und ggfs. eine negative Berichterstattung. Beides kann, je nach Branche und Größe des Unternehmens, bestandsgefährdend sein.

Damit es gar nicht erst zu einer Behördenprüfung kommt, empfiehlt es sich, mithilfe eines zuverlässigen Datenschutzmanagementsystems auf datenschutzrelevante Anfragen von Betroffenen im Vorhinein gut vorbereitet zu sein, um im Fall der Fälle schnell und professionell reagieren zu können. Insbesondere die folgenden drei Punkte sollten dabei beachtet werden:

1. Keine vorschnellen Reaktionen und Auskünfte – professionelle Prüfung ist gefragt

Anfragen datenschutzrechtlicher Natur sollten bestenfalls ausschließlich über eine zentrale Datenschutz-E-Mailadresse (z. B.: datenschutz@meinefirma.de) eingehen. Eine solche Adresse muss zwingend in den Datenschutzhinweisen auf der Website und an sämtlichen anderen Orten, an denen das Unternehmen seinen Informationspflichten (Art. 13, 14 DSGVO) nachkommt, leicht auffindbar sein. So, wie die Datenschutzadresse „irrtümlicherweise“ vom Kunden vielfach für Beschwerden, Produktbestellungen und sogar Arbeitsplatzbewerbungen „missbraucht“ wird, gehen umgekehrt auch zahlreiche echte Datenschutzanfragen direkt beim Kundenservice ein. Dieser sollte zum Umgang mit eingehenden Anfragen entsprechend sensibilisiert sein, z. B. über eine Vor-Ort- bzw. Online-Datenschutzschulung und / oder einen Workshop zur datenschutzkonformen Kundenbetreuung.

Es sollten auf keinen Fall „mal eben“ angefragte Auskünfte beantwortet und/ oder Daten gelöscht werden, um sich der Sache zu entledigen. Eingegangene Betroffenenanfragen sollten vielmehr zunächst vom Datenschutzbeauftragten bzw. Datenschutzkoordinator geprüft werden. Folgende Punkte gilt es insbesondere zu prüfen:

  • Welcher rechtliche Anspruch (Art. 15 ff. DSGVO) wurde konkret geltend gemacht? Werden mehrere Ansprüche zugleich geltend gemacht?
  • Hat sich der Betroffene an das richtige Unternehmen gewandt? Ggf. Weiterleitung der Anfrage an die verantwortliche Stelle.
  • Besteht hinsichtlich des geltend gemachten Rechts bereits ein definierter Prozess (Richtlinie) im Unternehmen, der nun befolgt werden kann?
  • Hat sich der Betroffene ausreichend identifiziert oder bedarf es einer (schonend auszugestaltenden) Identitätsüberprüfung? Abgleich der vom Betroffenen in seinem Schreiben gemachten Angaben mit denen, die in den Systemen zu finden sind.
  • Werden / wurden überhaupt Daten zum Betroffenen verarbeitet? – Rücksprache mit dem Kundenservice und / oder anderen Bereichen, in denen personenbezogene Daten verarbeitet werden. Wenn trotz erfolgter interner Rücksprache Unklarheit besteht: Rückfrage an den Betroffenen, welche Daten gemeint sind.
  • Ist der Anspruch berechtigt oder mangelt es ggf. an einer Begründung (insb. im Falle eines Berichtigungsanspruchs)?
  • Sind alle Wünsche der Person vom geltend gemachten Betroffenenrecht umfasst?
  • Würde die Beantwortung der Anfrage die Rechte anderer Betroffenen oder des Unternehmens (z. B. Geschäftsgeheimnisse) beeinträchtigen? Falls ja: Kann / muss dem Anliegen des Betroffenen trotzdem nachgekommen werden?
  • Stehen dem Anliegen des Betroffenen sonstige rechtliche Anforderungen (z. B. an die Speicherdauer der Daten) entgegen?
  • In welcher rechtlichen Frist muss das Anliegen des Betroffenen erfüllt werden?
  • Bestehen bereits Vorlagen (Dokumente), die für die Beantwortung des Anliegens genutzt werden können?

2. Keine unstrukturierte Bearbeitung – professionelle Koordination ist gefragt

Ist die Berechtigung des oder der geltend gemachten Rechte(s) einmal geklärt, geht es darum, eine zügige und rechtlich einwandfreie Beantwortung der Betroffenenanfrage sicherzustellen. Hierzu ist regelmäßig die Einbindung verschiedener Unternehmensbereiche erforderlich.

Hat der Betroffene z.B. einen berechtigten Anspruch auf Löschung bzw. Sperrung (mancher) seiner Daten, bedarf es u.U. der Einbindung der IT, um alle bzw. ausgewählte Datensätze zu löschen bzw. zu sperren. Macht der Betroffene von seinem Auskunftsrecht Gebrauch, sollte der Datenschutzkoordinator Rücksprache mit allen Abteilungen halten, in denen Daten zum Betroffenen verarbeitet werden (könnten). Folgende Vorkehrungen sollten für eine professionelle Koordination u. a. getroffen werden:

  • Auskunftsrecht, Löschungsrecht, Einschränkungsrecht, Berichtigungsrecht (Art. 16 bis 18 DSGVO): Leicht verständliche Hinweise (Anleitung in Schritten) für den Datenschutzkoordinator bzw. die einzelnen Abteilungen dazu, wie ein berechtigtes Anliegen des Betroffenen erfüllt werden muss.
  • Auskunftsrecht (Art. 15 DSGVO): Vorlage für das Beauskunften von Daten, Datenempfängern, Löschfristen, Verarbeitungszwecken etc.
  • Datenübertragbarkeitsrecht (Art. 20 DSGVO): Umsetzung technischer und organisatorischer Instrumente, die einen sicheren Datentransfer ermöglichen.
  • Einwirkungsrecht (Art. 22 Abs. 3 DSGVO): Prozess für die menschliche Überprüfung einer automatisierten Einzelentscheidung und des Betroffenenstandpunkts.
  • Mitteilungspflicht bei Berichtigung oder Löschung (Art. 19 DSGVO): Vorlage für die Information von Geschäftspartnern, Auftragnehmern und anderen, denen in der Vergangenheit personenbezogene Daten zum Betroffenen mitgeteilt wurden. Ggf. Vorlage für die Information des Betroffenen über die einzelnen Empfänger.
  • Widerspruchsrecht und Widerrufsrecht (Art. 21, Art. 7 Abs. 3 DSGVO): Führen einer Widerrufs- bzw. Widerspruchsliste in den Bereichen Marketing und ggf. Analytics, um zu verhindern, dass eine weitere Ansprache bzw. Analyse des Kunden erfolgt. Sicherstellen, dass sämtliche Widersprüche bzw. Widerrufe an die zuständige Stelle im Unternehmen weitergeleitet werden und nichts „unter den Tisch gekehrt“ wird.

3. Keine unkontrollierte Datenherausgabe – professionelle Kommunikation ist gefragt

Die Bearbeitung mancher Betroffenenrechte erfordert die Datenherausgabe an den Betroffenen und / oder an andere Stellen. Eine Herausgabe personenbezogener Daten ist stets „heiß“ und sollte niemals unbedacht erfolgen – auch dann nicht, wenn der erste und zweite Schritt dieser Anleitung erfolgreich durchgeführt wurden, also das Anliegen des Betroffenen juristisch geprüft und erforderliche Maßnahmen, wie z.B. Löschung, Berichtigung oder das Ausfüllen eines Auskunftsblatts erfolgten.

Jetzt gilt es sicherzustellen, dass die ggf. erforderliche Information des Betroffenen und / oder anderer Stellen in sicherer und nachweisbarer Weise (Art. 32 DSGVO, Art. 5 Abs. 2 DSGVO) erfolgt und dass auch nur genau die Daten kommuniziert werden, die kommuniziert werden dürfen. Folgende Punkte sind hierbei u. a. zu beachten:

  • Auskunftsrecht (1): Information per Telefon nur bei ausdrücklichem Wunsch des Betroffenen. Das Unternehmen sollte im Zweifel nachweisen können, dass es der Auskunft rechtskonform nachgekommen ist. Bei einer telefonischen Auskunft wäre zudem regelmäßig nicht sichergestellt, dass es sich beim Gesprächspartner auch wirklich um den Betroffenen handelt.
  • Auskunftsrecht (2): Einsatz einer sicheren Verschlüsselungstechnologie, wenn die Daten per E-Mail an den Betroffenen gesendet werden sollen. Sofern Containerpasswörter verwendet werden, sollte dem Betroffenen das Passwort telefonisch bzw. auf einem getrennten Kanal durchgegeben werden.
  • Löschungsrecht, Berichtigungsrecht, Einschränkungsrecht: Bestätigung der erfolgten Löschung, Berichtigung bzw. Einschränkung. Die Löschbestätigung sollte anschließend ebenfalls gelöscht werden. Sofern gar keine Daten zum Betroffenen vorlagen (vgl. Schritt 2): Versenden einer sogenannten „Negativauskunft“ – also die Information darüber, dass keine Daten gespeichert sind.

Fazit: Der gute Prozess macht bei den Betroffenenrechten den Unterschied.

Detaillierte Prozessbeschreibungen schaden oftmals mehr, als dass sie zu irgendetwas nützen. Bei den Betroffenenrechten ist das ausnahmsweise anders: Wer hier mittels Schulungen, Richtlinien, Powerpoint-Präsentationen und Vorlagen seine Belegschaft gut vorbereitet und Zuständigkeiten in Konzepten klar definiert, minimiert das Risiko einer späteren Eskalation in der Kommunikation mit dem Betroffenen.

Insbesondere in Unternehmen, in denen Datenschutzanfragen zur Tagesordnung gehören, sollten diese möglichst eigenständig von den internen Datenschutzkoordinatoren bearbeitet werden können, um ein schnelles Reagieren sicherzustellen. Der (externe) betriebliche Datenschutzbeauftragte sollte jedoch bei Unklarheiten stets hinzugezogen werden.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

So funktioniert die Datenschutzfolgenabschätzung (Anleitung)

Bei der Verarbeitung personenbezogener Daten muss das Datenschutzrecht beachtet werden – ganz gleich, ob es sich um vermeintlich „harmlose“ Daten handelt, wie etwa die berufliche E-Mailadresse eines Mitarbeiters, oder aber besonders „schützenswerte“, wie dessen sexuelle Vorlieben. Trotzdem ist nicht jedes Datum gleichermaßen schutzwürdig und nicht jede Datenverarbeitung greift gleichermaßen stark in das Persönlichkeitsrecht des Betroffenen ein. Mit der Datenschutz-Folgenabschätzung (DSFA) sollen Unternehmen die Risiken und Folgen evaluieren, die für Betroffene (z. B. Mitarbeiter) aus Datenverarbeitungen folgen können. Wird eine DSFA nicht oder nur unzureichend durchgeführt, drohen dem Unternehmen ein Bußgeld von bis zu 2 % des gesamten weltweiten Jahresumsatzes und / oder ein Verbot der Datenverarbeitung. Wann eine Datenschutz-Folgenabschätzung notwendig wird und was sie enthalten muss, lesen Sie in diesem Artikel.

Bei welchen Datenverarbeitungen muss eine DSFA durchgeführt werden?

Die Datenschutz-Folgenabschätzung wird in Art. 35 der EU-Datenschutz-Grundverordnung (DSGVO) definiert. Sie ist in folgenden Fällen stets erforderlich:

  1. Mit der Datenverarbeitung soll die Persönlichkeit des Betroffenen systematisch und automatisiert bewertet werden, so dass rechtliche oder andere intensive Eingriffe in die Persönlichkeit des Betroffenen möglich werden.
  2. Es sollen umfangreich besondere Kategorien personenbezogener Daten oder aber Daten über strafrechtliche Verurteilungen und Straftaten verarbeitet werden. Zu den besonderen Kategorien personenbezogener Daten gehören gemäß Art. 9 DSGVO:
    1. Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen;
    2. Gesundheitsdaten, Daten zum Sexualleben oder zur sexuellen Orientierung des Betroffenen;
    3. genetische und biometrische Daten, sofern mit Ihnen eine einzelne Person identifiziert werden kann.
  3. Ein möglicher Anwendungsfall ist hier die Durchführung von unternehmensinternen Ermittlungen gegen Mitarbeiter – diese sollten erst nach einer DSFA eingeleitet werden.
  4. Es sollen öffentlich zugängliche Räume überwacht werden. Öffentlich zugänglich ist z. B. auch der Servicebereich eines Unternehmens, in dem Publikumsverkehr herrscht.

Eine DSFA kann auch dann erforderlich sein, wenn keiner der genannten Fälle einschlägig ist, die Datenverarbeitung aber dennoch ein hohes Risiko für die Rechte und Freiheiten der Betroffenen birgt. Die deutschen Datenschutzaufsichtsbehörden haben sich bereits zum Risikobegriff positioniert (siehe das Kurzpapier Nr. 18 der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK)). Bei Änderungen an einmal eingeführten Datenverarbeitungen muss geprüft werden, ob diese Auswirkungen auf das zuvor ermittelte Risiko haben (Artikel 35 Abs. 11 DSGVO). Ggf. bedarf es einer erneuten Datenschutz-Folgenabschätzung.

Die Datenschutzaufsichtsbehörden müssen gemäß Art. 35 Abs. 4 DSGVO eine Liste mit Datenverarbeitungen veröffentlichen, für die aus ihrer Sicht unbedingt eine DSFA erforderlich ist (siehe die DSFA-Blacklist der DSK). Eine Datenschutz-Folgenabschätzung wird jedoch auch dann erforderlich sein, wenn die Verarbeitung nicht in der Liste enthalten ist, aber unter einen der oben beschriebenen Fälle gefasst werden kann. Die Liste dient insofern nur der Orientierung.

Was muss Gegenstand der Datenschutz-Folgenabschätzung sein?

Eine rechtmäßige DSFA muss insbesondere folgende Fragen dokumentiert beantworten:

  1. Wie ist die Datenverarbeitung beschaffen, welchen Zwecken dient sie und welche berechtigten Interessen hat das Unternehmen an der Datenverarbeitung?
  2. Ist die Datenverarbeitung vor dem Hintergrund des Zwecks bzw. der Zwecke notwendig und verhältnismäßig?
  3. Wie groß und welcher Art sind die Risiken für die Rechte und Freiheiten der betroffenen Personen? Zu berücksichtigen sind hierbei insbesondere die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung.
  4. Mit welchen Garantien, Sicherheitsvorkehrungen und Verfahren werden die benannten Risiken so bewältigt, dass ein ausreichender Datenschutz im Sinne der Datenschutz-Grundverordnung sichergestellt ist?

Wie muss mit dem Ergebnis der DSFA umgegangen werden?

Ist Ergebnis der DSFA, dass die Datenverarbeitung auf einen gesetzlichen Erlaubnistatbestand oder eine Einwilligung gestützt werden kann (insbesondere Art. 6 DSGVO), muss sichergestellt werden, dass den analysierten Risiken durch Umsetzung entsprechender technischer und / oder organisatorischer Schutzmaßnahmen ausreichend begegnet wird. Das Gesetz verlangt insofern eine Eindämmung des Risikos. Diese Eindämmung ist umso wichtiger, je größer das Risiko für Betroffenen ist.

Können oder sollen keine Maßnahmen zur Risikoeindämmung getroffen werden, muss das Unternehmen gemäß Art. 36 DSGVO die Aufsichtsbehörde konsultieren. Folge dieser Konsultation ist zunächst einmal die erhebliche Verzögerung einer möglichen Einführung der Datenverarbeitung, da das Gesetz der Behörde einen Reaktionszeitraum von mindestens acht Wochen einräumt. Die Behörde darf auf den „Antrag auf Konsultation“ des Unternehmens sowohl mit „Empfehlungen“ als auch mit sämtlichen anderen in Art. 58 DSGVO festgelegten Befugnissen reagieren. Hierzu gehört u. a. die vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots. Auch kann die Behörde ein Bußgeld von bis zu 2 % des gesamten weltweiten Jahresumsatzes gegen das Unternehmen verhängen.

Es empfiehlt sich daher, Änderungen an der gewünschten Datenverarbeitung vorzunehmen, falls die Datenschutz-Folgenabschätzung zu keinem positiven Ergebnis kommt.

Wer ist für die Datenschutz-Folgenabschätzung zuständig?

Die Pflicht eine DSFA durchzuführen obliegt grundsätzlich dem Unternehmen (Art. 35 Abs. 1 DSGVO). Die Geschäftsführung eines Unternehmens muss somit (wie auch in anderen Risikomanagement-Bereichen) sicherstellen, dass die Erforderlichkeit einer DSFA geprüft und diese dann ggf. durchgeführt wird. Hierzu hat die Geschäftsführung gemäß Art. 35 Abs. 2 DSGVO den Datenschutzbeauftragten zu konsultieren, sofern ein solcher bestellt wurde.

Zuständig für die Datenschutz-Folgenabschätzung ist somit im Ergebnis der Datenschutzbeauftragte, was in Artikel 39 Abs. 1 lit. c DSGVO nochmals klargestellt wird. Der Datenschutzbeauftragte sollte daher stets rechtzeitig über neue Datenverarbeitungsvorhaben informiert werden.

Ist das Unternehmen weder nach Art. 37 DSGVO noch nach § 38 BDSG verpflichtet, einen Datenschutzbeauftragten zu bestellen, muss es gleichwohl das Erfordernis einer DSFA prüfen – und als Konsequenz ggf. einen Datenschutzbeauftragten bestellen.

Fazit: DSFA ist wichtiger Teil des unternehmerischen Risikomanagements

In anderen unternehmerischen Bereichen, wie etwa der Korruptionsbekämpfung oder aber der Steuerbetrugsprävention, ist ein ausgefeiltes Risikomanagement zumindest auf dem gesetzlichen Papier seit Langem etabliert. Dies gilt mit der Datenschutz-Folgenabschätzung nun auch für den Schutz personenbezogener Daten. Angesichts hoher Bußgeldoptionen und Eingriffsbefugnisse der Datenschutzbehörden sollten Unternehmen ihren Datenschutzbeauftragten stets rechtzeitig über neue Datenverarbeitungen oder Änderungen an bestehenden Datenverarbeitungen unterrichten. So kann der Beauftragte rechtzeitig prüfen, ob eine DSFA erforderlich ist und eine solche dann ggf. durchführen.

Hinweis: Dieser aktualisierte Artikel erschien zuerst am 1. November 2016.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Rechtsgrundlagen für die Datenverarbeitung: Einwilligung, Vertrag oder doch Interessenabwägung?

Die EU-Datenschutz-Grundverordnung (DSGVO) hält verschiedene Rechtsgrundlagen bereit, auf die eine Verarbeitung personenbezogener Daten gestützt werden kann. Da sich die Anwendungsbereiche der Grundlagen oftmals überschneiden, kommt es in der Praxis ganz entscheidend darauf an, die geeignetste und nachhaltigste Rechtsgrundlage zu finden. Der folgende Leitfaden soll hierbei Orientierung bieten.

Welche Rechtsgrundlage ist die Richtige?

In der Unternehmenspraxis sind vor allem die drei folgenden Legitimationsgründe bedeutsam:

  1. Einwilligung des Betroffenen ( 6 Abs. 1 lit. a DSGVO)
  2. Erforderlichkeit für die Abwicklung eines Vertragsverhältnisses (Art. 6 Abs. 1 lit. b DSGVO bzw. § 26 Abs. 1 S. 1 BDSG)
  3. Abwägung zwischen berechtigten Unternehmensinteressen und evtl. schutzwürdigen Interessen des Betroffenen (Art. 6 Abs. 1 lit. f DSGVO).

Die Gründe stehen rechtlich in keinem Hierarchie-Verhältnis zueinander. So ist z.B. die Einwilligung keine „bessere“ Rechtsgrundlage als die Interessensabwägung. Die Rechtsgrundlagen sind vielmehr gleichrangige Optionen, die – je nach Sachverhalt – eine gute, eine schlechte oder keine Lösung für die Verarbeitung personenbezogener Daten sind.

Man kann sich die Grundlagen wie Stromstecker vorstellen, die, je nach Aufenthaltsort, auf die vorhandene Steckdose (= unternehmerische Datenverarbeitung) passen, nur wacklig passen oder gar nicht passen. Die datenschutzrechtliche Herausforderung besteht darin, für einen unternehmerischen Sachverhalt den bestpassendsten Stecker, also die optimale Rechtsgrundlage zu finden.

Einwilligung als Rechtsgrundlage

Das Einholen einer Einwilligung wird vielerorts als Königsweg propagiert. Dabei bleibt oft unberücksichtigt, dass das Bitten um Zustimmung ein Weg mit vielen Tücken ist. So darf die Bereitstellung eines Services in einigen Konstellationen nicht an das „Ja“ des Betroffenen zu einer Datenverarbeitung gekoppelt werden. Die Einwilligung muss vielmehr auch verweigert werden können (sog. „Kopplungsverbot“). Zudem darf eine einmal erteilte Einwilligung jederzeit vom Betroffenen widerrufen werden, woraus eine erhebliche Unsicherheit hinsichtlich des Fortbestands einer Datenverarbeitung resultieren kann.

Der Hype um die Einwilligung ist aber vor allem deshalb irreführend, weil sie faktisch nur für relativ wenige Konstellationen als Legitimationsbasis benötigt wird, also, nach der obigen Metapher, der richtige bzw. der geeignete Stecker ist. Insbesondere für folgende Konstellationen kann die Einwilligung die richtige Lösung sein:

Werden Daten verarbeitet, aus denen Informationen zur rassischen bzw. ethnischen Herkunft, zu politischen Meinungen, religiösen bzw. weltanschaulichen Überzeugungen oder der Gewerkschaftszugehörigkeit einer Person abgeleitet werden können, bedarf die Verarbeitung in der Regel einer Einwilligung. Gleiches gilt, wenn Gesundheitsdaten, Daten zum Sexualleben bzw. zur sexuellen Orientierung oder genetische bzw. biometrische Daten verarbeitet werden sollen. Soweit die Daten zur Durchführung eines Vertrags mit dem Betroffenen (z.B. einem Versicherten) erforderlich sind, kann die Einwilligung ausnahmsweise an den Vertragsschluss gekoppelt werden. Ist die Verarbeitung hingegen bereits aufgrund nationaler (z.B. arbeitsrechtlicher) Vorschriften gesetzlich vorgeschrieben, bedarf es keiner Einwilligung mehr.

Ein starker Persönlichkeitseingriff ist etwa bei manchen Werbemaßnahmen zu bejahen, z.B. beim Telefonmarketing. Marketingmaßnahmen sind vor allem dann als sensitiv anzusehen, wenn auf umfassende Persönlichkeitsprofile zurückgegriffen wird, etwa beim Personal-Pricing. Letzteres kann ggf. auf sogenannten automatisierten Einzelentscheidungen beruhen, die den Persönlichkeitseingriff zusätzlich verstärken. Ein starker Persönlichkeitseingriff kann auch bei der Verarbeitung von Bildnissen (z.B. Mitarbeiterfotos) und Videoaufnahmen vorliegen.

Zahlreiche Verarbeitungen lassen sich vertraglich mit dem Betroffenen vereinbaren (siehe weiter unten). Begrenzt wird die Privatautonomie durch gesetzliche Verarbeitungsverbote. Solche Verbote dürfen Unternehmen nicht torpedieren, indem sie die verbotene Datenverarbeitung zum Vertragsgegenstand machen, also eine Zustimmung vom Betroffenen „abpressen“. Wird dem Betroffenen hingegen freigestellt, die Zustimmung – unabhängig vom Vertragsschluss – zu erteilen oder zu verweigern, kann auf die Einwilligung zurückgegriffen werden. Dies gilt allerdings nicht für Konstellationen, in denen aufgrund eines starken Abhängigkeitsverhältnisses zwischen Betroffenem und Unternehmen bereits die Möglichkeit der Freiwilligkeit fraglich ist, wie dies bei manchen Konstellationen im Dienstverhältnis der Fall sein kann.

Vertrag als Rechtsgrundlage

Datenverarbeitungen brauchen und sollten dann nicht auf die Einwilligung gestützt werden, wenn sie auch vertraglich vereinbart werden könnten. Überschneidet sich im Einzelfall der Anwendungsbereich der Einwilligung mit dem des Vertrags – kann also sowohl der Stecker „Einwilligung“ als auch der Stecker „Vertrag“ genutzt werden – empfiehlt es sich in der Regel, die Verarbeitung auf den Vertrag zu stützen. Der Vertrag ist in folgenden Fällen der richtige Stecker:

Der Vertrag setzt in diesen Fällen die Datenverarbeitung voraus – ohne sie wäre er nicht denkbar. So muss ein Onlineshop Adressdaten verarbeiten, um die bestellte Ware ausliefern zu können.

Ein Beispiel dafür ist die Verarbeitung von Daten für Marketingzwecke als Gegenleistung für einen Download oder die Teilnahme an einem sozialen Netzwerk. Ein solcher Vertrag ist jedoch nur zulässig, wenn er nach zivilrechtlichen Maßstäben vereinbart werden darf (gemäß dem sog. konkret-objektiven Maßstab, Engeler ZD 2018, 57f.). Das Zivilrecht hält Schutzbarrieren bereit, die ein Ausnutzen der (wirtschaftlichen) Unterlegenheit des Betroffenen durch das Unternehmen verhindern sollen, z.B. den Tatbestand der Sittenwidrigkeit (§ 138 BGB). Das Datenschutzrecht ergänzt diese Grenzen der Privatautonomie durch eigene Maßstäbe, etwa den Datenminimierungsgrundsatz (Art. 5 Abs. 1 lit. c DSGVO), den Speicherbegrenzungsgrundsatz (Art. 5 Abs. 1 lit. e DSGVO) und die Grundsätze von Privacy by Design und Privacy by Default (Art. 25 Abs. 1, 2 DSGVO). Diese Grundsätze dienen allesamt dazu, den Eingriff in das Persönlichkeitsrecht des Betroffenen abzumildern. Unverhältnismäßige Eingriffe dürfen auch vertraglich nicht vereinbart werden.

Der Arbeitnehmer muss solche Datenverarbeitungen tolerieren, ohne die eine Abwicklung seines Arbeitsverhältnisses nicht möglich wäre. Hierzu gehören zum einen Verarbeitungen, die die „Verwaltung“ des Mitarbeiters betreffen, allen voran das Führen einer Personalakte. Daneben lassen sich auch solche Verarbeitungen mit dem Arbeitsverhältnis des Mitarbeiters rechtfertigen, ohne die selbiges nicht oder nicht sinnvoll ausgeübt werden könnte. Hierzu gehört die Gesprächsaufzeichnung beim Telefonbanking oder das Lotsen von Lagerarbeitern mittels (schonend auszugestaltender) Ortung. Eine mögliche Folge der Verweigerung des Mitarbeiters kann hier die Auflösung des Arbeitsverhältnisses sein.

Interessenabwägung als Rechtsgrundlage

Kann der Vertag mit dem Betroffenen die Verarbeitung nicht ausreichend legitimieren, kann diese ggf. stattdessen auf die berechtigten Interessen des Unternehmens gestützt werden. In diesem Fall bildet eine Abwägung mit den schutzwürdigen Interessen des Betroffenen die Rechtsgrundlage. Die – zu Gunsten des Unternehmens ausgefallene – Interessenabwägung kann in folgenden Konstellationen die richtige Legitimationsbasis sein:

Beispiel: Ein Unternehmen vermietet an den Betroffenen hochpreisige oder gefährliche Unternehmensgüter und möchte sich mit einer (schonend auszugestaltenden) Überwachungsmaßnahme gegen einen Missbrauch absichern – etwa mithilfe einer zeitlich begrenzten Verarbeitung von Standortdaten im Falle des Angebots eines Mobilitätsdienstes. Ein erhöhtes Risiko kann auch in Räumen bestehen, in denen gefahranfällige Dienstleistungen angeboten (z.B. Bargeldausgabe) oder hochpreisige Güter (z.B. Gemälde) ausgestellt werden. In diesen Fällen kann ausnahmsweise sogar eine (partielle) Videoüberwachung von Mitarbeitern zulässig sein. Nicht zuletzt ist auch der Schutz vor betrügerischen Handlungen ein legitimes Interesse. So darf in einem Onlineshop unter bestimmten Voraussetzungen eine automatisierte Identitäts- und Bonitäts- bzw. Seriositätsprüfung erfolgen.

Bestimmte Mitarbeiterdatenverarbeitungen sind zwar nicht erforderlich, um das Beschäftigtenverhältnis durchführen zu können, jedoch angesichts der Tätigkeit des Mitarbeiters unternehmerisch geboten. So kann in sehr engen Grenzen und bei ausreichender Einbindung des Mitarbeiters eine Gesprächsaufzeichnung im Callcenter datenschutzrechtlich auch dann zulässig sein, wenn der Arbeitgeber diese für legitime Auswertungszwecke nutzen möchte. Auch die Auswertung anderer Arbeitsergebnisse (z.B. E-Mails) lässt sich im konkreten Fall u.U. auf eine Interessenabwägung stützen, wenn sie nicht bereits zur Durchführung des Vertragsverhältnisses erforderlich ist (s.o.).

Hier ist an postalische Werbung und E-Mailwerbung bei Bestandskunden zu denken. Auch ein pseudonymisiertes Tracken von Websitebesuchern kann regelmäßig auf überwiegende Unternehmensinteressen gestützt werden. Anders sehen dies neuerdings die Datenschutzaufsichtsbehörden, die das Einholen einer Einwilligung des Nutzers verlangen (activeMind berichtete). Diese (sehr fragliche) Auffassung haben die Behörden allerdings in einer neueren Stellungnahme bereits wieder etwas relativiert. Darin ist nur noch von einem Tracken „personenbezogener Daten“ die Rede. Gemeint sind hiermit wohl direkt identifizierende Daten wie z.B. die ungekürzte IP-Adresse des Nutzers.

Fazit: Die Suche nach der richtigen Rechtsgrundlage lohnt sich

Die datenschutzkonforme Verarbeitung wird oftmals sehr stark mit der Einwilligung des Betroffenen assoziiert. Neben bzw. statt der Einwilligung ermöglichen jedoch auch die Rechtsgrundlagen Vertrag und Interessenabwägung umfassende Datenverarbeitungen. Bei der Suche nach der richtigen Rechtsgrundlage hilft Ihnen Ihr Datenschutzbeauftragter. Die Rechtsgrundlagen werden auch für die Erstellung eines Verarbeitungsverzeichnisses und die Umsetzung der Informationspflichten benötigt.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Datenschutzrisiken in der Bilanz: Rückstellungen für potentielle Bußgelder

Mit der ab dem 25. Mai 2018 anwendbaren EU-Datenschutz-Grundverordnung (DSGVO) soll der Datenschutz als personenbezogenes Grundrecht gestärkt werden. Weil sich dadurch der Pflichtenkatalog für Unternehmen maßgeblich erweitert, sollten Sie den Datenschutz zu einem zentralen Aspekt unternehmerischer Tätigkeit machen und ihm in der Risikobewertung eine höhere Bedeutung beimessen. Für etwaige Bußgelder bei Datenschutzverstößen können Sie sogar zu bilanziellen Rückstellungen verpflichtet sein. Dieser Artikel hilft Ihnen, die Risiken einzuschätzen.

Ausgangslage: Pflichten und Bußgelder unter der DSGVO

Unter der DSGVO wird es kaum ein Unternehmen geben, das nicht von (einigen) Datenschutzplichten betroffen ist, da im Regelfall jedes Unternehmen personenbezogene Daten – zumindest die von Mitarbeitern – verarbeitet. Als Folge dessen wird es kaum möglich sein, sich der Implementierung einzelner Schutzkonzepte – ggf. sogar der Implementierung eines Datenschutzmanagementsystems – zu entziehen.

Gleichzeitig werden die möglichen Bußgelder für Verstöße mit der DSGVO drastisch erhöht. Für geringfügigere Verstöße sind Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten (Konzern-)Umsatzes der verantwortlichen Stelle möglich. Bei schwerwiegenderen Verstößen erhöhen sich die jeweiligen Maximalstrafen auf 20 Millionen Euro bzw. 4 % des Umsatzes (siehe auch unser Artikel zu Bußgeldern unter der DSGVO).

Welche Risiken erzwingen bilanzielle Rückstellungen?

Die Erweiterung des Pflichtenumfangs und gleichzeitige Erhöhung der korrespondierenden Bußgelder werden weitreichende Auswirkung auf alle Bereiche unternehmerischer Tätigkeit haben. Daher sollte ihnen in der unternehmerischen Risikobewertung eine höhere Bedeutung beigemessen werden.

Es stellt sich insbesondere die Frage, unter welchen Voraussetzungen Datenschutzverstöße oder die Non-Compliance mit datenschutzrechtlichen Pflichten in Form von Rückstellungen gem. § 249 HGB (Handelsgesetzbuch) in der Bilanz zu berücksichtigen sind. An dieser Stelle sei vorsorglich darauf hingewiesen, dass es im Rahmen des Jahresabschlusses für Aktiengesellschaften weitergehende Pflichten geben kann, auf die hier nicht eingegangen wird.

Nach § 249 HGB – der für alle Kaufleute gilt (!) – sind Rückstellungen für ungewisse Verbindlichkeiten zu bilden. Eine ungewisse Verbindlichkeit im Sinne der Norm liegt dann vor, wenn der Bilanzierende ernsthaft mit der Inanspruchnahme wegen einer Verbindlichkeit, die wirtschaftlich in der Zeit vor dem Bilanzstichtag verursacht wurde, rechnen muss.

Bei ungewissen Verbindlichkeiten ist zwischen

  1. der Wahrscheinlichkeit des Bestehens der Verbindlichkeit und
  2. der Wahrscheinlichkeit der tatsächlichen Inanspruchnahme hieraus

zu unterscheiden. Konkret auf das Datenschutzrecht angewendet bedeutet dies: Ein Unternehmen hat im Rahmen des Jahresabschlusses zu entscheiden, ob wegen einer vermeintlichen Verletzung von Datenschutzrecht eine Rückstellung für ein Bußgeld der zuständigen Behörde zu bilden ist:

  1. Einerseits besteht die Unsicherheit, ob überhaupt eine rechtlich belangbare Verletzung von Datenschutzrechtes vorliegt.
  2. Anderseits besteht die Unsicherheit, ob die zuständige Behörde den Fall aufgreifen und ein Bußgeldverfahren einleiten wird.

Wie wahrscheinlich ist eine bußgeldbewehrte Rechtsverletzung?

Um eine mögliche Pflicht zur Rückstellung für Bußgelder aufgrund von Datenschutzverstößen ermitteln zu können, muss zunächst geprüft werden, wie wahrscheinlich letztere vorliegen. Hier sind im Wesentlichen zwei mögliche Szenarien zu unterscheiden:

  • Unternehmen, die bisher gar keine Risikoanalyse und keine Maßnahmen hinsichtlich datenschutzrechtlicher Verpflichtungen eingeleitet haben, und
  • Unternehmen, die eine Risikoanalyse durchgeführt und bereits (erste) Maßnahmen ergriffen haben.

In erstem Fall wird in Zukunft mit sehr großer Wahrscheinlichkeit von datenschutzrechtlichen Regelverstößen bzw. Non-Compliance mit der DSGVO in irgendeiner Art auszugehen sein. Wer seine Pflichten nicht kennt, wird sich in der Regel schwertun, diese (kurzfristig) zu erfüllen.

Unternehmen der zweiten Kategorie, die bereits aufgrund einer Risikoanalyse um ihre Verpflichtungen wissen, können entweder Verstöße oder Non-Compliance vermuten oder positive Kenntnis davon haben. Bei positiver Kenntnis eines Verstoßes entfällt der Wahrscheinlichkeitsmaßstab.

Wie wahrscheinlich ist eine Ahndung durch die Aufsichtsbehörde?

Es kann nicht seriös vorhergesagt werden, wie die Datenschutz-Aufsichtsbehörden in Zukunft ihren Kontrollauftrag ausgestalten. Es sprechen jedoch einige Umstände dafür, dass die Ahndungswahrscheinlichkeit im Vergleich zur Vergangenheit deutlich zunehmen wird.

So sind die jeweiligen Aufsichtsbehörden nach DSGVO verpflichtet, Meldungen nachzugehen und gegebenenfalls vorliegende Verstöße zu ahnden. Da etwa Verstöße gegen Meldepflichten bereits auf Webseiten ersichtlich sein können, tritt neben die Möglichkeit der Zufallskontrolle durch die Behörde auch die Meldung an letztere durch z. B. einen abgelehnten Bewerber oder konkurrierende Marktteilnehmer.

Zusätzlich greift mit der DSGVO eine grundsätzliche Meldepflicht bei Datenpannen innerhalb von 72 Stunden. Um unter diese Meldepflicht zu fallen, reicht es schon, eine E-Mail mit personenbezogenen Daten an einen falschen Adressaten versendet zu haben. Die Pflicht zur Meldung von Datenpannen erhöht demnach zusätzlich das Risiko, dass Verstöße durch die Aufsichtsbehörden aufgedeckt werden.

Fazit: Bilanzielle Rückstellung dürften für viele Unternehmen verpflichtend werden

Je nach datenschutzrechtlichem Risikobewusstsein und Umsetzungsstand von Maßnahmen in Unternehmen ist die Gefahr von Non-Compliance oder Regelverstößen unterschiedlich hoch. Für Unternehmen, die bisher nicht einmal eine Risikoanalyse durchgeführt und gar keine datenschutzrechtlichen Maßnahmen ergriffen haben, dürfte die Wahrscheinlichkeit einer Pflichtverletzung immens hoch sein. Für Unternehmen, die um Ihre Non-Compliance oder Verstöße wissen, ersetzt Kenntnis die Wahrscheinlichkeit.

Die Wahrscheinlichkeit der Ahndung von Verstößen durch die Aufsichtsbehörden ist derzeit eine unbekannte Größe und wird sich erst nach und nach durch die Praxis einordnen lassen. Vieles spricht dafür, dass u. a. aufgrund der Ahndungs- bzw. Verfolgungspflicht von Meldungen, die Wahrscheinlichkeit von Ahndungen hoch anzusiedeln ist.

Dies wiederum erhöht bei Kenntnis eines Verstoßes oder DSGVO-Non-Compliance oder bei bisheriger Tatenlosigkeit im Datenschutz die Wahrscheinlichkeit, zu Rückstellungen verpflichtet zu sein. Fest steht in jedem Fall eines: Wenn es eine Pflicht zu bilanziellen Rückstellungen für Verpflichtungen aus Bußgeldbescheiden wegen Datenschutzverletzungen gibt, dann in potentiell erheblicher Höhe.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Baldiges Aus für US-Daten-Dienstleister in der EU?

Wieder einmal wollen Behörden in den USA den vollen Zugriff auf Kundendaten von US-Unternehmen – auch wenn diese Daten in Rechenzentren in Europa gespeichert sind. Der oberste Gerichtshof der Vereinigten Staaten muss nun entscheiden, ob dies rechtens ist. Falls er den Zugriff auf die Daten für legitim erklärt, hätte dies katastrophale datenschutzrechtliche Auswirkungen.

Der Fall: Microsofts EU-Cloud

Das US-Justizministerium fordert auf Grundlage eines Durchsuchungsbeschlusses von Microsoft die Herausgabe von personenbezogenen Daten (in diesem Fall E-Mails), die in der sogenannten „EU-Cloud“ in Irland gespeichert sind. Microsoft ging gegen den Durchsuchungsbeschluss vor, verlor jedoch in einem ersten Gerichtsverfahren. Die Berufungsinstanz entschied hingegen mit drei zu null der Richterstimmen für Microsoft.

Der oberste Gerichtshof der Vereinigten Staaten (United States Supreme Court) muss nun grundsätzlich entscheiden, ob die US-Justizbehörden mit einem einfachen Durchsuchungsbefehl amerikanische Unternehmen anweisen dürfen, Daten preiszugeben, die sich in Europa befinden. Das für den 27. Februar 2018 festgelegte Revisionsverfahren hat also erhebliche Implikationen für den Datenschutz (No. 17-02 United States, Petitioner v. Microsoft Corporation, umgangssprachlich auch „Microsoft Ireland Case“).

Die Folgen: ein datenschutzrechtliches Dilemma

Sollte der Supreme Court den US-Justizbehörden Recht geben, wäre in letzter Konsequenz für in der EU ansässige Unternehmen eine Zusammenarbeit mit amerikanischen Dienstleistern kaum noch umsetzbar. Denn wenn Dienstleister im Auftrag Daten verarbeiten sollen, muss der Auftraggeber gewährleisten, dass der jeweilige Partner über ein adäquates Datenschutzniveau verfügt. Dies wäre nicht mehr gegeben, sollte US-amerikanischen Behörden nun ein direktes Zugriffsrecht auf Daten, die von amerikanischen Unternehmen physisch in Europa gespeichert werden, zugesprochen werden.

Entsprechendes gilt für europäische Unternehmen, die sowohl in der EU als auch in den USA operieren. Diese müssten sich in vergleichbaren Fällen in Zukunft entscheiden, entweder gegen EU-Datenschutzrecht oder US-Recht zu verstoßen. Auch dies müssten Auftraggeber im Rahmen der Datenverarbeitung in ihre Prüfung des Verarbeiters bzw. Dienstleisters berücksichtigen.

Das EU-U.S. Privacy Shield, ein Abkommen zwischen der EU und den USA hinsichtlich der Gewährleistung von Mindeststandards im Datenschutz von US-Unternehmen, könnte von diesem Urteil ebenfalls zu Fall gebracht werden.

Fazit: Schnelles Handeln und ggfs. Alternativen sind gefragt

Das mit Spannung erwartete Urteil hat also die Sprengkraft, wirtschaftliche und informationstechnische Verflechtungen zwischen der EU und den USA nachhaltig zu beschädigen. Unternehmen, die US-Dienstleister oder Dienstleister mit einem Sitz (bzw. einer Konzernmutter oder -tochter) in den USA bei der Auftragsverarbeitung einsetzen, müssen nach dem Urteil ggfs. schnell handeln. Es kann deswegen ratsam sein, sich jetzt schon nach Alternativen umzusehen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.