Datenschutz bei Retargeting & Social Sharing – Dürfen Werbetechnologien Dritter in Websites eingebunden werden?

Im Rahmen des Online-Marketings werden auf Unternehmenswebsites häufig Dienste von Dritten eingesetzt. Dabei handelt es sich zum Beispiel um Analysetools, Produktwerbungsdienste (insbesondere zum Retargeting) oder sogenannte Social Plugins. Zu Letzteren hat sich das Landgericht Düsseldorf in einem aktuellen Urteil positioniert und eine unzulässige Einbindung durch den beklagten Websitebetreiber (ein bekannter Onlineshop) festgestellt. Der Beitrag beleuchtet die datenschutzrechtlichen Fallstricke für Websitebetreiber bei der Einbindung von Werbetechnologien und zeigt auf, wie eine rechtskonforme Nutzung möglich ist.

Online-Werbetechnologien ermöglichen es, den Besuch einer Person auf einer Website zu analysieren und, wie im Fall einiger Social Plugins, Verknüpfungen mit anderen Datenbeständen wie dem Facebook-Profil des Websitebesuchers herzustellen. Der Websitebetreiber braucht hierfür meist nur ein Skript in den Quellcode seiner Seiten einzubinden. Das Skript sorgt dann dafür, dass die Daten über den Besuch der Person direkt an den Anbieter der Werbetechnologie gesendet werden (so z.B. bei Facebook Custom Audiences Website).

Ist der Websitebetreiber für die Datenerhebung verantwortlich?

Aus datenschutzrechtlicher Perspektive ist zunächst fraglich, ob der Websitebetreiber für die Einbindung des Skripts verantwortlich ist. Denn der Websitebetreiber erhält selbst meist keinen Zugriff auf die erhobenen Daten. Das braucht er auch nicht, denn ggf. anschließende Werbemaßnahmen lassen sich viel effektiver durch den Anbieter der Werbetechnologie durchführen, dem in der Regel noch zahlreiche andere Daten zum Besucher vorliegen. Diese Daten können (wie im Fall von Facebook) entweder aus dem hauseigenen Netzwerk stammen oder aber über andere Websites erhoben werden, in die dieselbe Werbetechnologie eingebunden ist und die ebenfalls von der Person besucht wurden.

Da der Websitebetreiber keinen Zugriff auf die Daten erhält, war in Literatur und Rechtsprechung bisher weitgehend unklar, wer aus datenschutzrechtlicher Sicht die „verantwortliche Stelle“ für die Datenverarbeitung ist. Gemäß § 3 Abs. 7 Bundesdatenschutzgesetz (BDSG) ist verantwortliche Stelle, „jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.“

Während unstrittig war, dass für das Verarbeiten und Nutzen der Daten ausschließlich der Werbetechnologieanbieter verantwortlich ist, war unklar, ob dies auch für das Erheben der Daten gilt. Die entscheidende Frage war hier, ob eine Datenerhebung die Zugriffsmöglichkeit auf die Daten voraussetzt, die im Falle des Websitebetreibers nicht gegeben ist.

Landgericht Düsseldorf: Mitverantwortlichkeit trotz fehlender Zugriffsmöglichkeit

Das Landgericht Düsseldorf hat nun klargestellt, dass der Websitebetreiber trotz fehlender Zugriffsmöglichkeit für die Datenverarbeitung mitverantwortlich ist. Eine Zugriffsmöglichkeit auf die Daten sei für die Mitverantwortlichkeit ebenso wenig erforderlich, wie die Verfügungsmacht über die Daten:

„Allein, dass die Beklagte keinen direkten Einfluss auf die Funktionsweise des Buttons und die Verarbeitung der Daten hat, ihr deren Umfang sogar unbekannt sein mag, und dass sich ihre aktive Tätigkeit auf die Einbindung des Plugins erschöpft, steht dem ebenso wenig entgegen, wie die Tatsache, dass nicht die Beklagte an sie übermittelte und in ihrem Besitz stehende Daten an [das soziale Netzwerk] weiterleitet, sondern die Erfassung der IP-Adresse unmittelbar durch [das soziale Netzwerk] erfolgt.“

Mit dieser Einschätzung setzt sich das Gericht über die herrschende Literaturmeinung hinweg, die sowohl die Verfügungsmacht als auch die Kenntnis der Daten als Voraussetzung für ein Erheben ansieht. Es bleibt daher abzuwarten, wie sich andere Gerichte zu der Frage äußern.

Die europäische Datenschutz-Grundverordnung, die ab 2018 den Datenschutz in Europa neu regeln wird, enthält eine sehr weite Definition des Begriffs „Verarbeiten“. In diesem geht nicht nur der Begriff des Erhebens auf, sondern auch vage Begriffe wie der der „Verknüpfung“, die nicht unbedingt auf eine Zugriffsmöglichkeit hindeuten.

Werden überhaupt personenbezogene Daten erhoben?

Eine ganz andere, aber ebenso entscheidende Frage ist, ob mithilfe der eingebundenen Werbetechnologien überhaupt personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes erhoben werden. Ist dies nicht der Fall, findet das Datenschutzrecht keine Anwendung. Eine Erhebung und Verarbeitung der Daten wäre dann, ganz gleich durch wen, gänzlich unproblematisch.

Im angesprochenen Gerichtsverfahren ging es neben der unzweifelhaft personenbezogenen Facebook-Nutzer-ID insbesondere um die Verarbeitung der IP-Adresse und Nutzungsdaten wie den Browser-String, die ohne jegliches Zutun des Websitebesuchers (auch ohne Anklicken des Social-Plugin-Buttons) beim Besuch der Webseite an Facebook gesendet werden. Auch hier vertritt das Gericht eine restriktive Haltung, indem es jedenfalls die IP-Adresse als personenbezogenes Datum einordnet. Das Gericht folgt damit einer Entscheidung des Bundesgerichtshofs, in der IP-Adressen ebenfalls als personenbezogene Daten angesehen werden. Manche Werbedienste verarbeiten daher IP-Adressen nur in gekürzter Form, sodass ein Rückschluss auf eine bestimmte Person nicht mehr möglich ist.

Personenbezogene Daten wie die ungekürzte IP-Adresse dürfen ohne vorangehende Einwilligung des Websitebesuchers grundsätzlich nur dann verarbeitet werden, wenn die Daten für den Betrieb und die Nutzung der Website erforderlich sind (§ 15 Abs. 1 S. 1 TMG). Dies ist freilich weder bei der Datenverarbeitung im Rahmen von Social Plugins noch im Rahmen sonstiger eingebundener Marketingtechnologien der Fall.

Sehr umstritten ist, ob bei der Erstellung von Nutzungsprofilen durch Dritte – z. B. Facebook oder einen anderen Werbetechnologieanbieter – die Ausnahmeregelung des § 15 Abs. 3 TMG greift, die eine Profilerstellung unter Pseudonym für Werbezwecke durch den sogenannten „Diensteanbieter“ erlaubt. Die Datenschutzaufsichtsbehörden vertreten hier eine sehr restriktive Haltung. Ihnen zufolge scheidet die Anwendbarkeit der Ausnahmeregelung zumindest dann aus, wenn ungekürzte IP-Adressen verarbeitet werden.

Wie ist eine datenschutzkonforme Einbindung von Technologien Dritter möglich?

Das Urteil des Landgerichts Düsseldorf erhöht den Druck auf Websitebetreiber, Inhalte Dritter rechtskonform in die eigene Website einzubinden. Für Marketers besteht die größte Herausforderung darin, Technologien so zu integrieren, dass die Einbindung einerseits rechtskonform ist, andererseits aber auch eine werbestrategische Wirkung entfalten kann. Wie dies bei Social Plugins und Retargeting-Anbietern möglich ist, wird im Folgenden kurz erläutert.

Social Plugins: verschiedene Privacy-Technologien auf dem Markt

In Hinblick auf Social Plugins könnten Technologien die Lösung sein, die eine Aktivierung des Plugins – und damit den Datenaustausch zwischen dem Browser des Websitebesuchers und dem Server des Technologieanbieters – erst dann auslösen, wenn der Besucher den Datenaustausch durch einen Klick bestätigt. Das Plugin wird somit durch einen Klick des Besuchers „aktiviert“.

Ein solches Vorgehen ermöglicht z.B. die sogenannte Zwei-Klick-Lösung von heise.de, die mittlerweile von zahlreichen Websites (u.a. von dem beklagten Shop im oben erwähnten Urteil) eingesetzt wird. Auch bei Verwendung der Zwei-Klick-Lösung bleibt der Websitebetreiber allerdings für die Datenerhebung mitverantwortlich. Er steht daher weiterhin vor der Herausforderung, gemäß §§ 12 Abs. 1, 13 Abs. 1 TMG über eine Datenverarbeitung zu informieren, zu der ihm vom Technologieanbieter oft nur unzureichende Informationen zur Verfügung gestellt werden.

Noch besser als die Zwei-Klick-Lösung ist daher die Shariff-Lösung von c’t, die zum Beispiel auch als WordPress-Plugin auf der activeMind Website eingesetzt wird. Hierbei braucht der Websitebetreiber gar keine Technologie der sozialen Netzwerke in die eigene Website einbinden. Stattdessen werden verlinkte Bilder in den jeweiligen Farben bzw. mit den Logos der Netzwerke eingebunden. Erst, wenn der Besucher auf das Bild klickt, werden Daten an das Netzwerk übermittelt. Shariff kann auf Wunsch des Websitebetreibers darüber hinaus während des Ladevorgangs der Webseite über ein Skript beim sozialen Netzwerk abfragen, wie oft die Webseite im Netzwerk bereits geteilt wurde. Da über die Website keine Daten erhoben werden, ist der Websitebetreiber bei der Shariff-Lösung nicht als verantwortliche Stelle anzusehen.

Retargeting-Anbieter: Auf das richtige Siegel kommt es an

Neben Social Plugins erfreuen sich verschiedenste Retargeting-Technologien im Online-Marketing großer Beliebtheit. Auch in diesem Bereich sind inzwischen einige datenschutzkonforme Technologien auf dem Markt zu finden. Viele Technologie-Anbieter versuchen, die Datenschutzkonformität ihrer Technologie mit einem Datenschutzsiegel zu belegen. Hier ist jedoch Vorsicht geboten, da leider nicht alle auf dem Markt auffindbaren Datenschutzsiegel das Datenschutzniveau bezeugen, das von den Aufsichtsbehörden verlangt wird.

Dies lässt sich gut an der Übersicht zu den vergebenen Siegeln des Anbieters ePrivacy GmbH verdeutlichen: Während das ePrivacyseal-Siegel den Anspruch hat, die Einhaltung gesetzlicher Regelungen zu belegen, bezeugt das EDAA Trust Seal zunächst einmal nur die Einhaltung eines (von der europäischen Datenschutzaufsicht bemängelten) Branchenstandards der Werbeindustrie. Eine allgemeine Übersicht zu Zertifizierungen und Gütesiegeln im Datenschutz findet sich bei der Stiftung Datenschutz.

Da trotz „gutem“ Siegel nicht immer klar ist, ob personenbezogene Daten verarbeitet werden, sollte in jedem Fall ein Hinweis in der Datenschutzerklärung zur jeweils eingebundenen Technologie erfolgen. Dies gilt auch für den datenschutzkonformen Einsatz von Social Plugins. Bei der Zwei-Klick-Lösung ist ein Hinweis zwingend erforderlich, beim Shariff empfiehlt er sich jedenfalls aus Marketingsicht.

Fazit: Datenschutz ins Marketing integrieren!

Auf den ersten Blick ist das Urteil des Landgerichts Düsseldorf ein schwerer Schlag für Marketers. Bei genauerem Hinsehen wird jedoch deutlich: Die Entscheidung konkretisiert, jedenfalls in den meisten Punkten, nur das, was die Aufsichtsbehörden bereits seit langem vertreten. Aus einer nachhaltigen Marketingperspektive heraus ist es daher sinnvoll, den Datenschutz von Anfang zu berücksichtigen und Datenschutz als Werbeinstrument zu begreifen, das langfristig Vertrauen schafft.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Geräteübergreifendes Tracking aus Sicht des Datenschutzes

Wenn ein Internetnutzer sich ein Produkt nicht nur auf dem Laptop, sondern auch auf dem Tablet oder dem Smartphone ansieht, ist das ein Problem für Analyse- und Werbedienste: Sie erhalten kein einheitliches Bild mehr vom Verhalten des Nutzers. Die Lösung ist das „Cross-Device-Tracking“, also Technologien, die eine geräteübergreifende Profilbildung des Nutzers ermöglichen. Was technisch mittlerweile möglich ist, muss deswegen aber noch lange nicht datenschutzkonform sein. Deshalb analysiert dieser Artikel zunächst die wesentlichen rechtlichen Gesichtspunkte von Nachverfolgungstechnik, um anschließend die datenschutzrechtliche Zulässigkeit unterschiedlicher Cross-Device-Tracking-Technologien zu besprechen.

Ausgangspunkt: Persönlichkeitsprofile im Marketing

Ziel moderner Online-Werbung ist es, Nutzer möglichst individualisiert anzusprechen. Denn je näher eine Werbung den Interessen eines Nutzers kommt, desto wahrscheinlicher ist es, dass dieser die eingeblendete Werbung beachtet, anklickt und sich sogar mit dem darin beworbenen Produkt näher auseinandersetzt. Die individualisierte Ansprache ist also der Türöffner für die weitere Kommunikation mit dem Nutzer im Netz.

Voraussetzung für individualisierte Werbung sind personenbezogene Daten. Daten also, die dem Verhalten oder dem Wesen eines einzigen Menschen zugeordnet werden können. Nach Ansicht der Datenschutzaufsichtsbehörden liegen personenbezogene Daten bereits dann vor, wenn durch In-Beziehung-Setzen einzelner zeitlich voneinander getrennter Verhaltensabläufe, die isoliert noch nichts Einzigartiges über eine Person besagen (z.B.: „Besuch der Webseite XY am 18.01.2016 um 10:15 Uhr“), auf eine identische Person geschlossen werden kann. Das In-Beziehung-Setzen einzelner Verhaltensabläufe einer Person in einem Verhaltensprofil ist in diesem Sinn mehr, als die Momentaufnahme eines einzelnen Verhaltensablaufes.

Folgendes analoges Beispiel soll dies verdeutlichen: Betrachte ich in der S-Bahn eine unbekannte Person, handelt es sich hier um eine Momentaufnahme. Begegne ich dieser Person später durch Zufall wieder, „kenne“ ich die Person zwar noch immer nicht (ihr Name, ihre Telefonnummer etc. sind mir weiterhin unbekannt), jedoch weiß ich, dass die Person wenige Stunden vorher in der S-Bahn unterwegs war. Ich habe somit (ungewollt) bereits ein kleines Profil der Person gebildet.

Tracking in bestimmten Grenzen zulässig

Erfolgt eine solche Profilbildung durch Einsatz automatisierter Nachverfolgungstechnik im Netz (Tracking), ist aus datenschutzrechtlicher Sicht im Zweifel von der Erhebung personenbezogener Daten auszugehen. Personenbezogene Daten liegen demzufolge dann vor, wenn es möglich ist, eine Person auf ihr Verhalten in der Vergangenheit gezielt anzusprechen. Dies ist auch dann möglich, wenn der Name oder andere eindeutige Identifikationsmerkmale der Person nicht bekannt sind, sie aber schon früher beobachtet wurde und man eben dieses weiß.

Im Gesetz ist nicht geregelt, welche Trackingtechnologien unter welchen Umständen angewandt werden dürfen. Geregelt ist dagegen insbesondere,

  1. dass nur Nutzungsdaten – z. B. Daten zum Klickverhalten auf einer Website – für eine Profilerstellung genutzt werden dürfen und
  2. dass diese Nutzungsdaten nur pseudonymisiert gesammelt und verarbeitet werden dürfen.

Eine Zusammenführung der Nutzungsdaten mit eindeutigen Identifikationsmerkmalen wie dem Namen oder der Telefonnummer ist somit nicht erlaubt. Da nach der Rechtsprechung des Bundesgerichtshofs (BGH) auch die dynamische IP-Adresse als personenbezogenes Datum einzuordnen sind – und in ihr insoweit ein „Datum über den Träger des Pseudonyms“ (§ 15 Abs. 3 TMG) gesehen werden kann – darf die ungekürzte IP-Adresse nicht in das Nutzungsprofil einfließen.

Eine Zusammenführung von eindeutigen Identifizierungsmerkmalen und Nutzungsdaten kann mit einem Bußgeld von bis zu 50.000 Euro bestraft werden. Grundsätzlich darf ferner nur Online-Verhalten, nicht jedoch Offline-Verhalten für die Erstellung der Nutzungsprofile erfasst werden.

In Rechtsprechung und Literatur ist nach wie vor ungeklärt, wie lange die erstellten Nutzungsprofile aufbewahrt werden dürfen und von wem sie eigenverantwortlich erstellt werden dürfen. Ist es nur dem Websitebetreiber erlaubt, Nutzungsprofile zu erstellen? Oder auch, wie es zumeist der Fall ist, einem Werbenetzwerk, dem der Websitebetreiber Zugang zu den Daten verschafft?

Geräteübergreifendes Tracking mit Vertrag – der Marketingvorteil sozialer Netzwerke & Konsumplattformen

Anbieter großer Werbenetzwerke wie Google und Facebook und große Konsumplattformen wie Amazon können im Gegensatz zu kleinen Websitebetreibern auf sehr viele detaillierte Profile zugreifen. Darüber hinaus haben sie einen ganz entscheidenden weiteren Vorteil: Sie stehen mit den vielen, wenn nicht sogar mit den meisten der Personen, die ihre Website oder eine Website ihrer Kooperationspartner besuchen, in einer vertraglichen Beziehung. Wer bei Amazon etwas kaufen möchte, muss zuvor ein Konto anlegen. Ebenso muss sich registrieren, wer sich bei Facebook mit seinen Freunden vernetzen oder aber über Google-Play eine App installieren möchte. Mit der Registrierung willigt der Nutzer darin ein, getrackt zu werden. So ist bei Amazon die Anmeldung nur möglich, wenn man den „Bestimmungen zu Cookies & Internet-Werbung“ zustimmt, in denen u.a. folgende Passage zu finden ist:

„Cookies werden von uns außerdem noch zu anderen Zwecken verwendet. Zum Beispiel können wir: […] Sie automatisch erkennen, wenn Sie sich auf unserer Website anmelden. Dadurch können wir Ihnen gezielte Produktempfehlungen geben, auf Sie individuell zugeschnittene Inhalte anzeigen, Sie als Prime-Kunden erkennen und Ihnen die Option “Bestellung mit 1-Click®” sowie zahlreiche weitere Funktionen und Dienste anbieten.“

Da sich der Nutzer über alle Amazon-Applikationen und Websites mit dem gleichen Konto anmeldet, ist es für Amazon sehr leicht, Daten über die Nutzung seiner unterschiedlichen Dienste zusammenzuführen und auszuwerten. Dies gilt natürlich auch für das Cross-Device-Tracking, also die Erstellung eines Nutzungsprofils auf Basis von Daten unterschiedlicher Geräte. So können Daten, die über ein Log-In eines stationären Geräts in einem Cookie gespeichert werden, mit Daten zusammengeführt werden, die Tablet oder Smartphone derselben Person über eine Werbe-ID erfassen. Anschließend kann z. B. ausgewertet werden, welche Kategorie von Produkten die getrackte Person auf welchem Gerät kauft und über welchen Werbekanal sie zu welcher Zeit am besten erreichbar ist. Um den Nutzer schließlich zu bewerben, braucht dieser gar nicht mehr eingeloggt sein. Die Informationen zu ihm sind ja bereits auf seinem Betriebssystem in der Werbe-ID bzw. im Cookie gespeichert und können jederzeit ausgelesen werden.

Geräteübergreifendes Tracking ohne Vertrag

Der Predictive-Ansatz – Wahrscheinlichkeiten auf Basis vieler Daten

Schwierig wird das geräteübergreifende Tracking hingegen, wenn mit dem Nutzer keine vertragliche Beziehung und somit auch kein identifizierbares Nutzerkonto besteht.

Führen wir das obige Beispiel aus der analogen Welt fort: Möchte ich jemanden mit dem Beobachten der von mir mehrfach gesehenen Person beauftragen, muss dieser Jemand wissen, wie er die Person identifizieren kann. Die nächstliegende Methode wäre hier, möglichst genaue Informationen zu der Person zu übermitteln, damit gezielt nach einer Person Ausschau gehalten werden kann, die diesem Profil entspricht. Ein solches Profil könnte etwa wie folgt lauten: „Männliche Person mit heller Jeans, grauer Jacke und schwarzem Hut steigt morgens um 08:15 Uhr an der S-Bahnstation Heidelberger Platz in den ersten Wagen der S41“. Der Beobachter hätte so konkrete Anhaltspunkte und eine gewisse Wahrscheinlichkeit, die beschriebene Person am Folgetag in der S-Bahnstation anzutreffen.

Ganz ähnlich funktioniert das geräteübergreifende Tracking mit der „Probalistic-Predictive-Method“: Anhand von massenhaft gesammelter Daten zu Standort, technischen Eigenschaften und aufgerufenen Websites schaffen es Unternehmen wie Drawbridge, AdTruth und TapAd nach eigenen Aussagen, Auswertungen verschiedener Geräte einer einzigen Person zuzuordnen und so eine durchgehende Customer-Journey (also den Weg des Kunden auf verschiedenen Endgeräten) aufzuzeigen. Die Probalistic-Predictive-Method lässt sich auch mit der Log-In-Methode (Deterministic-Method) verbinden, indem einer Person, die bereits über ein Log-In identifiziert wurde, weitere (wahrscheinliche) Interessen zugeschrieben werden.

Die Silverpush-Technologie – wenn TV & Smartphone kommunizieren

Allein der Kontext eines durch den Nutzer aufgerufenen Mediums verrät oft schon viel über dessen (vermeintliche) Vorlieben. Entscheidet sich eine Person etwa dazu, eine bestimmte Fernsehsendung zu sehen, nimmt sie damit bestimmte Werbeeinblendungen in Kauf, von denen die Werbetreibenden annehmen, dass sie zur Sendung und dem durchschnittlichen Zuschauer passen. So ist es durchaus nicht unwahrscheinlich, dass sich eine Person, die ein FC Bayern München-Spiel im Fernsehen verfolgt und in der Werbepause einen Werbespot der Paulaner Brauerei anschaut (die favorisierte Biermarke des Vereins), sich für Bier interessiert und deswegen für die im Spot beworbene Marke zu gewinnen ist. Wäre es da nicht praktisch, wenn der Fernsehzuschauer noch während des Spiels zusätzliche Informationen zum Bier und ein dazu passendes Gewinnspiel auf seinem Smartphone erhielte?

Mit der Silverpush-Technologie ist das – aus technischer Sicht – kein Problem mehr, denn der Fernseher kann mit dem Smartphone des Fußballfans kommunizieren, das neben diesem auf dem Sofa liegt. Das TV-Gerät informiert das Smartphone (genauer gesagt: bestimmte Apps, in die die Silverpush-Technologie integriert ist) z. B. über den Werbeinhalt, über die Fernsehsendung und über technische Daten des Fernsehgeräts. Die App sendet diese Daten dann inklusive Daten zum Smartphones (z. B. MAC-Adresse, Geräte-ID, Telefonnummer) weiter an Silverpush.

Die Auswertung der Daten ermöglicht es u.a. festzustellen, wann der Fernsehzuschauer von einem Programm zum nächsten zappt oder aber aktiv auf dem Smartphone nach weiteren Informationen zum beworbenen Produkt sucht. Der Fernsehzuschauer erfährt hiervon gar nichts, da die Kommunikation zwischen Fernseher und Smartphone über hochfrequente, für das menschliche Ohr nicht wahrnehmbare Signale erfolgt. Diese Klangschnipsel, sogenannte Sound-Beacons, werden direkt in den Werbespot eingebettet.

Welches geräteübergreifende Tracking ist rechtskonform?

Ob eine Tracking-Methode zulässig ist, hängt zunächst davon ab, ob entweder eine gesetzliche Erlaubnis für die Datenverarbeitung besteht oder der Betroffene in die Datenverarbeitung eingewilligt hat. Für die Profilbildung mittels Nutzungsdaten sieht das Gesetz die bereits angesprochene Erlaubnis vor (§ 15 Abs. 3 TMG). Da im Falle des Trackings registrierter Nutzer jedoch in der Regel nicht nur Nutzungsdaten, sondern auch Bestandsdaten und Inhaltsdaten verarbeitet werden (und somit ein von den Aufsichtsbehörden so bezeichnetes „explizites Profil“ vorliegt) ist die Erlaubnisnorm hier nicht anwendbar; eine Einwilligung des Nutzers ist erforderlich.

Bei der Probalistic-Predictive-Method werden zwar nach Aussage der Anbieter lediglich statistische Daten verarbeitet. Da das Ziel der Datenverarbeitung jedoch – wie bei herkömmlichen Tracking-Verfahren – das Erstellen eines möglichst präzisen Persönlichkeitsprofils ist, sollte aus rechtlicher Sicht von der Verarbeitung personenbezogener Daten ausgegangen werden. Dies trifft allemal dann zu, wenn IP-Adressen verarbeitet werden.

Davon zu trennen ist die Frage nach der Kategorie der Daten: Werden ausschließlich Nutzungsdaten verarbeitet, also keine Bestands- und Inhaltsdaten, kann die Probalistic-Predictive-Method auf § 15 Abs. 3 TMG gestützt werden. Nach derzeitiger Rechtslage besteht hier allerdings das Problem, dass nicht klar ist, ob nur der jeweilige Websitebetreiber oder aber auch der Anbieter der Probalistic-Predictive-Technologie (hierbei kann es sich zum Beispiel um das Werbenetzwerk Adform handeln, das die AdTruth-Technologie nutzt) die Daten eigenverantwortlich verarbeiten darf. Fraglich ist auch, wie lange die erstellten Nutzungsprofile aufbewahrt werden dürfen.

In jedem Fall müsste der Nutzer gemäß § 13 Abs. 1 TMG über Art, Umfang und Zwecke der Erhebung und Verwendung seiner Daten sowie über die ggf. erfolgende Verarbeitung in Drittstaaten (= Staaten außerhalb des EU- bzw. EWR-Raums) und sein jederzeitiges Widerspruchsrecht aufgeklärt werden. Die Unterrichtung muss in allgemein verständlicher Form erfolgen. Neben diesen Hinweisen empfiehlt es sich, eine skriptbasierte Widerspruchsmöglichkeit (mit der Wirkung eines Cross-Screen-Opt-outs) in die Datenschutzerklärung einzubinden.

Die Informationspflicht resultiert aus dem datenschutzrechtlichen Transparenzprinzip. Die Anwendung dieses Prinzips soll den Betroffenen befähigen, gegen eine ggf. rechtswidrige Verarbeitung seiner Daten vorzugehen. Transparente Informationen über eine Datenverarbeitung ermöglichen so erst, dass der Betroffene sein grundrechtlich geschütztes Recht auf informationelle Selbstbestimmung wahrnehmen kann. Der Betroffene soll, so jedenfalls die Idee, Herr seiner Daten bleiben.

Dies ist beim aktuell praktizierten Einsatz der Silverpush-Sound-Beacon-Methode ganz offensichtlich nicht der Fall. Denn der Betroffene weiß hier gar nicht, dass eine Datenverarbeitung stattfindet. Ein rechtskonformer Einsatz von Sound-Beacons würde daher voraussetzen, dass der Nutzer in allgemein verständlicher Weise über den Einsatz der Technologie und über die übrigen in § 13 Abs. 1 TMG genannten Angaben informiert wird. Allerdings werden beim Einsatz von Silverpush ohnehin nicht nur Nutzungs-, sondern auch Bestands- und Inhaltsdaten (z. B. Telefonnummern) verarbeitet, weshalb der Einsatz der Technologie ohne aktive Einwilligung des Betroffenen nach europäischem Recht klar rechtswidrig ist.

Trotz fehlender Einwilligungsmöglichkeit ist die Technologie derzeit einer Stellungnahme des Center for Democracy and Technology (CDT) zufolge in sechs bis sieben Apps integriert, die wiederum auf 18 Millionen Smartphones installiert sind. Hier ist es nur folgerichtig, dass etwa das Antiviren-Unternehmen Avira die Notbremse zog, die Silverpush-Lösung als Trojaner klassifizierte und entsprechend blockiert. Die fehlende Rechtssicherheit verfügbarer Cross-Device-Methoden ist sicher auch ein Grund dafür, dass nach einer Studie des deutschen Werbenetzwerkes intelliAD gerade einmal 15 % der Verantwortlichen für Online-Marketing in Deutschland Cross-Device-Technologien nutzen.

Fazit: Datenschutz von Anfang an berücksichtigen

Aus Sicht werbetreibender Unternehmen bleibt zu hoffen, dass die Hersteller moderner Tracking-Technologien wie den Sound-Beacons in Zukunft von Anfang an das Datenschutzrecht beachten und von sich aus auf einen datenschutzkonformen Einsatz ihrer Technologie hinwirken. Andernfalls besteht die Gefahr, dass vielversprechende und kreative Technologien als nicht-einsatzfähig verworfen werden, weil etwa die Möglichkeit einer rechtskonformen und gleichzeitig userfreundlichen Einwilligung unberücksichtigt bleibt. Anders formuliert: Selten ist eine datenverarbeitende Technologie als solche rechtswidrig; auf ihren rechtskonformen Einsatz kommt es an!

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

ISO 27001 Zertifizierung von E-Mail-Marketing- und Lead Management-Anbieter SC-Networks (Best Practice)

E-Mail-Marketing und die (teil-)automatisierte Vertiefung von Kundenbeziehungen mit Inhalten (Lead-Management) erfordern aufgrund ihrer Komplexität ausgereifte technische Lösungen. Außerdem sollte bei solchen Angeboten als Software as a Service (SaaS) in besonderem Maße auf IT-Sicherheit und Datenschutz geachtet werden. So ist es etwa datenschutzrechtlich spätestens seit dem Ende von Safe Harbor schwierig, auf US-amerikanische Anbieter zu setzen. Stattdessen lohnt es sich, E-Mail-Marketing-Anbieter aus Deutschland in Erwägung zu ziehen. Einer davon ist die SC-Networks GmbH mit dem Produkt Evalanche. Bereits seit einigen Jahren ist ein Experte der activeMind AG bei SC-Networks als externer Datenschutzbeauftragter bestellt. Nun begleiteten wir das Unternehmen als externer IT-Sicherheitsbeauftragter auch zur erfolgreichen ISO 27001 Zertifizierung. SC-Networks Geschäftsführer Martin Philipp erklärt im Best Practice Interview, welche Anforderungen und Maßnahmen gemeinsam mit der activeMind AG umgesetzt werden konnten.

Welche besonderen Anforderungen hat SC-Networks an Datenschutz und Datensicherheit?

Grundsätzlich sind Datenschutz und IT-Sicherheit ja für jedes Unternehmen, das personenbezogene Daten verarbeitet, speichert und nutzt, äußerst relevante Aufgaben. Für unser Unternehmen gilt zusätzlich, dass beim E-Mail-Marketing und Lead-Management besonders sensible Daten erhoben werden. So kombinieren wir beispielsweise Nutzungsdaten und Identifikationsmerkmale der Kunden unserer Kunden. Hierfür gibt das Bundesdatenschutzgesetz (BDSG) sehr strenge Richtlinien vor.

Unsere größten Anliegen sind in der Folge der Schutz der Vertraulichkeit, Verfügbarkeit und Integrität dieser Daten, so dass unsere Kunden stets in Übereinstimmung mit dem Gesetz und bestmöglich gefeit vor Missbrauch der Daten sind. Zu den spätestens seit dem NSA-Skandal gestiegenen Sicherheitsansprüchen bei den Kunden kommen aktuelle Entwicklungen wie das Ende des Safe-Harbor-Abkommens und damit verbunden verstärkte Prüfungen durch die Datenschutz-Aufsichtsbehörden.

Generell sehen wir uns als Dienstleister in der Verantwortung, die Daten unserer Kunden mittels modernster Technologie und optimiertem Management zu schützen. Denn nur dann können unsere Kunden das auch ihren Kunden anbieten. Das sehr erfolgreiche Ergebnis ist Evalanche – eine datenschutzkonforme Software, die jedem Anwender umfangreiche Funktionalitäten und Konfigurationsmöglichkeiten für rechtssicheres E-Mail-Marketing und Lead-Management bietet.

Wenn IT-Sicherheit einen solchen Stellenwert in Ihrem Unternehmen hat, warum haben Sie die Implementierung der ISO 27001 Anforderungen nicht durch eigene Mitarbeiter realisiert, sondern extern beauftragt?

Wer IT-Sicherheit gewährleisten will, muss nicht nur über technologische Expertise verfügen, sondern auch viele rechtliche Vorgaben beachten. Da ist es durchaus schwer, den Überblick zu behalten, auch weil der Gesetzgeber etwa mit dem neuen IT-Sicherheitsgesetz nicht gerade zur Klarheit beiträgt.

Die Unterstützung durch einen professionellen Dienstleister lag also nahe. Die activeMind AG kennen wir als langjährigen Partner aus dem Bereich Datenschutz und konnten demnach gut einschätzen, was uns erwartet. Ein weiterer Vorteil ist, dass Datensicherheit und Datenschutz kaum zu trennen sind und ein Partner, der beides beherrscht, demzufolge die optimale Lösung darstellt. Außerdem ist SC-Networks so für die ab ca. 2018 zu erwartenden, strengeren gesetzlichen Regelungen der europäischen Datenschutz-Grundverordnung bestens gerüstet.

Welche konkreten IT-Sicherheits-Maßnahmen konnten Sie gemeinsam mit der activeMind AG umsetzen?

Wir lassen den TÜV alle datenschutz- und datensicherheitsrelevanten Unternehmensbereiche von SC-Networks – vom Rechenzentrum bis hin zu den einzelnen Mitarbeitern – prüfen. Um uns auf die Zertifizierung nach ISO/IEC 27001:2013 vorzubereiten, fanden zunächst mehrere interne Auditierungen statt. Hierbei erwies es sich aus unserer Perspektive als sehr hilfreich, dass Klaus Foitzick von der activeMind AG selbst berufener Auditor des TÜV ist und somit genau wusste, was zu tun war.

Es folgte die Umsetzung organisatorischer und technischer Maßnahmen, um alle Anforderungen der ISO 27001 zu erfüllen. Der Erfolg war dann unmittelbar sichtbar: Beim Zertifizierungs-Audit verzeichneten die Prüfer für SC-Networks keine einzige Abweichung von den Vorgaben für das Informationssicherheits-Managementsystem (ISMS).

Wie haben die Mitarbeiter und Kunden von SC-Networks auf die Zertifizierung reagiert?

Wir haben die ISO 27001-Zertifizierung über Pressemeldungen, Newsletter, unseren Corporate-Blog und soziale Netzwerke kommuniziert. Viele Erfahrungen flossen sogar direkt in ein E-Book zum rechtssicheren E-Mail-Marketing ein.

Das Feedback war natürlich durchweg positiv. Für unsere Kunden hat das ja auch nur Vorteile, weil hohe Verfügbarkeit unserer IT-Systeme, sichere Integrität aller betrieblichen Informationen und optimaler Schutz von vertraulichen Daten nun offiziell nachgewiesen wurden.

Die ISO 27001 bestätigt aber nicht nur die aktuelle Qualität und Sicherheit der IT-Systeme und Geschäftsprozesse, die wir unseren Kunden und Partnern zur Verfügung stellen. Sie gewährleistet darüber hinaus auch regelmäßige und fortlaufende Kontrollen durch den TÜV.

Würden Sie activeMind weiterempfehlen?

Unbedingt! Ich denke jedes Unternehmen kann vom umfassenden Know-how der Mitarbeiter von activeMind profitieren. Hier werden juristischer Sachverstand und technisches Wissen kombiniert. Man lernt also nicht nur was man tun muss, um dem Gesetz zu genügen, sondern auch noch wie das am besten geht. Ein weiterer Pluspunkt: Bei der activeMind AG hat man seinen ganz persönlichen Ansprechpartner, der nicht erst in einer Akte nachsehen muss, wer man überhaupt ist. Stattdessen kennt er das Unternehmen und seine speziellen Anforderungen an Datenschutz und Datensicherheit. Das ist für mich als Kunden sehr sympathisch!

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Die Datenschutzprüfung anhand des Standard-Datenschutzmodells

Das von den deutschen Aufsichtsbehörden entwickelte Standard-Datenschutzmodell (SDM) soll in vier Schritten zur selbsttätigen Prüfung und Verbesserung des Datenschutzes im Unternehmen befähigen: Auf die Kontextanalyse der Datenverarbeitung sowie eine rechtliche Bewertung der einzelnen Datenverarbeitungen folgt die Spezifizierung der Gewährleistungsziele, um anschließend einen Soll-Ist- bzw. Soll-Plan-Vergleich durchführen zu können. Im dritten Beitrag der activeMind Artikelserie erläutern wir Ihnen die erfolgreiche Anwendung des Standard-Datenschutzmodells inklusive aller notwendigen Prüfschritte.

1. Schritt: Kontextanalyse der Datenverarbeitung

Die Kontextanalyse dient dazu, die praktischen Umstände der Datenverarbeitung zu erfassen. Wichtig ist hier zunächst, die Personen zu ermitteln, die an der Datenverarbeitung beteiligt sind. Danach ist die interne und ggf. externe Verantwortlichkeit zu klären: Wer leitet das Verfahren? Welche Dienstleister sind an der Verarbeitung beteiligt und wie sind hier die Verantwortlichkeiten geregelt?

Anschließend muss die Rechtsgrundlage der Datenverarbeitung bestimmt werden. Hierbei kann es sich um ein vertragliches oder vertragsähnliches Verhältnis handeln oder aber um eine Einwilligung des Betroffenen.

Mit der Rechtsgrundlage eng verzahnt sind die Zwecke, also das Warum, der Datenverarbeitung. Auch diese sollten möglichst konkret definiert werden. Schließlich gilt es, die technische Infrastruktur, also das Wie, der Datenverarbeitung für die folgende rechtliche Prüfung festzuhalten.

Die Kontextanalyse der Datenverarbeitung dient vorwiegend der Dokumentation, um im nächsten Schritt die Rechtmäßigkeitsprüfung vornehmen zu können.

2. Schritt: Rechtliche Prüfung der Datenverarbeitungen

Die rechtliche Prüfung ist der zweite Vorbereitungsschritt zur eigentlichen Anwendung des Standard-Datenschutzmodells. Zunächst sollte geprüft werden, ob die in der vorangehenden Kontextanalyse definierten Zwecke rechtlich legitim sind.

Ein weiterer Prüfpunkt sind Datenübermittlungen: Welchen Personen bzw. Stellen dürfen personenbezogene Daten bekannt gemacht werden? Schließlich müssen die umgesetzten technischen und organisatorischen Maßnahmen rechtlich bewertet werden.

Die rechtliche Prüfung soll im Ergebnis die Frage beantworten, ob die vorgesehene Datenverarbeitung grundsätzlich zulässig ist bzw. welchen rechtlichen Anforderungen sie unterliegt.

3. Schritt: Spezifizierung der Gewährleistungsziele

Dieser Schritt ist der Hauptanwendungsschritt des Standard-Datenschutzmodells. In ihm geht es im Wesentlichen darum, eine über die grobe rechtliche Analyse hinausgehende Wertung der Datenverarbeitung zu erreichen, um anschließend Verbesserungsmaßnahmen entwickeln zu können. Hierzu müssen die im Standard-Datenschutzmodell definierten Gewährleistungsziele auf die einzelnen Datenverarbeitungen angewendet werden. Dabei sind sowohl qualitative Parameter (z. B. Bestimmung der Zugriffsberechtigten) als auch quantitative Parameter (z. B. Verfügbarkeitsanforderungen) anzulegen.

Der wohl wichtigste Schritt innerhalb der Spezifizierungsphase ist die Durchführung der sogenannten Schutzbedarfsanalyse einer Datenverarbeitung. Durch Zuordnung von Schutzbedarfskategorien („normal“, „hoch“ und „sehr hoch“) zu sogenannten Schadensszenarien, wird der Eingriff in das Persönlichkeitsrecht eines Betroffenen bewertet. Die Schutzbedarfsanalyse als Kern der Datenschutzprüfung lohnt einer genaueren Betrachtung:

Welche Schadensszenarien gibt es im Standard-Datenschutzmodell?

Das Datenschutzmodell sieht folgende sechs Schadensszenarien vor:

  1. Unrechtmäßige Datenverarbeitung (Verstoß gegen Gesetze / Vorschriften / Verträge),
  2. Beeinträchtigungen für informationelle Selbstbestimmung,
  3. Beeinträchtigungen des Ansehens und der Reputation des / der Betroffenen,
  4. Beeinträchtigungen der persönlichen Unversehrtheit des / der Betroffenen,
  5. Finanzielle Auswirkungen für den / die Betroffenen und
  6. Auswirkungen auf nicht unmittelbar Betroffene (Grundrechtsausübung).

Wie erfolgt die Zuordnung von Schutzbedarfskategorien zu Schadensszenarien?

Anschließend stellt sich die Frage, nach welchen Kriterien die Zuordnung der Schutzbedarfskategorien zu den Schadensszenarien erfolgen kann. Maßgeblich sind u. a. die Erwartungshaltung des Betroffenen hinsichtlich der Datenverarbeitung, die Möglichkeit zur Intervention des Betroffenen, die Tolerabilität der Datenverarbeitung und das (unmittelbare) Schadenspotential.

Was ist das Ergebnis der Zuordnung zu den Schadensszenarien?

Folgende Praxisfragen lassen sich mithilfe der Zuordnung von Schutzbedarfskategorien zu Schadensszenarien für eine konkrete Datenverarbeitung beantworten:

  • Für welchen Zeitraum ist der Verlust der Verfügbarkeit der Daten für die Betroffenen in welchem Grad tolerabel?
  • Mit welcher Verzögerung soll die Aktualität der Daten garantiert werden?
  • Mit welcher zeitlichen Präzision muss die Verarbeitung im Nachhinein nachvollzogen werden können?
  • In welchem zeitlichen Rahmen muss die verantwortliche Stelle in der Lage sein, die jeweiligen Betroffenenrechte zu gewähren?

Neben der Beantwortung solcher Praxisfragen erlaubt die Schutzbedarfsanalyse eine Abwägung zwischen den Persönlichkeitsinteressen des Betroffenen und dem Datenschutzaufwand des verantwortlichen Unternehmens. Auch lassen sich Restrisiken abschätzen, die aus der (nur begrenzten) Erfüllung eines Gewährleistungsziels resultieren.

4. Schritt: Soll-Ist- bzw. Soll-Plan-Vergleich

Den Abschluss der Prüfung auf Grundlage des Standard-Datenschutzmodells bildet ein Soll-Ist-Vergleich. Darin werden die von der verantwortlichen Stelle eingeleiteten oder sogar bereits umgesetzten Datenschutzmaßnahmen den Maßnahmen gegenüberstellt, die das SDM mit seinen Gewährleistungszielen und generischen Maßnahmen als optimale Umsetzung definiert. Der Soll-Ist-Vergleich ermöglicht es somit, die Weiterentwicklung des Datenschutzes im Detail umzusetzen.

Fazit: Ein solides, aber etwas sperriges Modell

Bei konsequenter Anwendung des Standard-Datenschutzmodells schafft dieses nicht nur Klarheit über den faktischen Stand des Datenschutzes im eigenen Unternehmen, sondern ermöglicht auch die Gewichtung einzelner (ggfs. noch zu ergreifender) Schutzmaßnahmen. Hierzu bieten die Schutzbedarfskategorien und die Schadensszenarien eine gute Hilfestellung.

Vor allem mit Blick auf den europäischen und internationalen Raum bleibt allerdings fraglich, ob sich das Standard-Datenschutzmodell in seiner teilweise starren und abstrakten Form in der datenschutzrechtlichen Praxis behaupten wird.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Unternehmen im datenschutzrechtlichen Würgegriff der US-Behörden

Wie stark nutzen US-amerikanische Behörden eigentlich ihr Recht, personenbezogene Daten von Unternehmen zu kontrollieren? Angesichts der spektakulären Entscheidung des Europäischen Gerichtshofs (EuGH), den Datentransfer in die USA auf Grundlage des Safe-Harbor-Abkommens für unwirksam zu erklären, gewinnt diese Frage neue Brisanz. Immerhin führte das Gericht die massenhaften und unkontrollierten Überprüfungsaktivitäten US-amerikanischer Behörden als wichtiges Argument an. Denn dies sei nicht mit den datenschutzrechtlichen Regelungen der EU vereinbar, so der EuGH. Wie aktuelle Veröffentlichungen zeigen, lag der Gerichtshof mit seiner Urteils-Begründung noch näher an der Realität, als zu befürchten war.

Überwachung mittels Patriot Act (jetzt Freedom Act)

Nach den Anschlägen vom 11. September 2001 erlaubte der USA Patriot Act (mittlerweile durch den USA Freedom ACT abgelöst) amerikanischen Behörden von Unternehmen Informationen einzuholen, die von nationalem Interesse für die USA sein könnten. Dies betraf auch Informationen über Personen außerhalb der USA, da die Vereinigten Staaten in diesem Zusammenhang das Territorialprinzip nicht anerkennen.

Das Zugriffrecht auf diese Informationen konnten Behörden unabhängig ausüben, also ohne dass eine weitere, z. B. richterliche Prüfung vorgesehen war. Im Rahmen des Safe-Harbor-Urteils des EuGHs wurde unter anderem dieser Umstand als unverhältnismäßig gerügt, da damit eine vorbehaltlose und unkontrollierte Überprüfung von personenbezogenen Daten ohne jeglichen Zweckvorbehalt Tür und Tor geöffnet wurde. Die Richter des EuGHs sollten Recht behalten.

Datenüberwachung per „National Security Letter“

Inzwischen hat sich herausgestellt, dass US-amerikanische Behörden für ihre Überwachungsaktivitäten massenhaft sogenannte „National Security Letter“ (NSL) verschickt haben. Mittels dieser brieflichen Anordnungen werden Unternehmen zu Auskünften über ihre Kunden gezwungen. Selbst ein Konzern wie Microsoft scheiterte damit, gerichtlich gegen die Anordnungen vorzugehen, obwohl man mit der Unrechtmäßigkeit einer solchen Verfügung argumentierte.

Besonders heikel ist an den NSL, dass die betroffenen Unternehmen ihre Kunden über diese Anordnung nicht in Kenntnis setzen dürfen. Deshalb setzte sich im englischsprachigen Raum schnell die Bezeichnung „Gag Order“ – zu Deutsch etwa „Würge-Anordnung“ – durch.

Was fragt ein „National Security Letter“ alles ab?

Für die europäische Öffentlichkeit ist es besonders interessant, dass nun nach jahrelangem Rechtsstreit in den USA ein solcher „National Security Letter“ an einen kleinen Internet-Service-Provider veröffentlicht werden durfte. Der Inhalt des NSL macht die Ausmaße der Überwachung deutlich, denn angefragt wurden in diesem beispielhaften Fall äußerst umfassende Daten:

  • DSL-Account Informationen;
  • Radius Protokolle;
  • Teilnehmername und die dazugehörigen Teilnehmerinformationen;
  • Kontonummer;
  • Datum, an dem das Konto geöffnet oder geschlossen wurde;
  • Adressen im Zusammenhang mit dem Konto;
  • Teilnehmer-Telefonnummern (tags/abends);
  • Kontonamen oder andere Online-Namen im Zusammenhang mit dem Konto;
  • Bestellformulare;
  • Aufzeichnungen über Bestellungen und Versandinformationen der letzten 180 Tage;
  • alle Rechnungen in Bezug auf das Konto;
  • Internet Service Provider (ISP);
  • Alle E-Mail-Adressen verknüpft mit (IP)-Adressen des Kontos;
  • Alle Webseiteninformationen zu dem Konto;
  • Web Adressen (URL) des Kontos;

und, nicht zu vernachlässigen:

  • alle sonstigen Informationen, von denen der Provider glaubte, dass es sich um eine elektronische Kommunikation handelt.

An dieser Stelle sollte nicht unerwähnt belieben, dass der veröffentlichte NSL auf das Jahr 2004 datiert ist. Es entzieht sich jeglicher Kenntnis, was mittlerweile darüber hinaus noch alles abgefragt wird. Bekannt ist nur, dass allein zwischen 2003 und 2005 ca. 140.000 solcher Briefe verschickt wurden.

Fazit: Quo vadis internationaler Datenverkehr?

Natürlich handelt es sich bei den angeforderten Informationen ausschließlich um personenbezogene Daten. Nach EU-Regelungen und auch nach dem Verständnis des Bundesdatenschutzgesetzes (BDSG) dürfen solche Daten aber nur zweckbezogen verarbeitet werden und der Vorgang muss insgesamt verhältnismäßig sein. Zusätzlich steht die Erlaubnis, die personenbezogenen Daten einer Person (ohne deren Einwilligung) einzusehen, unter dem Vorbehalt einer richterlichen Prüfung.

Unter anderem wegen des Ausmaßes und der Unkontrollierbarkeit der Dateneinsicht kippte der EuGH die Regelungen zu Safe Harbor. Der veröffentlichte NSL zeigt auf, welche Arten von Daten US-amerikanische Behörden anfragen. Angesichts der schieren Menge – sowohl der Daten, als auch der versandten NSL – liegt der EuGH mit seinem Urteil über das Safe-Harbor-Abkommen sicher richtig.

Derzeit bemüht sich die Europäische Kommission um ein erneuertes Abkommen mit den USA, um den Datentransfer in die Vereinigten Staaten zu ermöglichen. Nach letzten Aussagen von EU-Justizkommissarin Věra Jourová soll der neue Beschluss noch im Januar 2016 verabschiedet werden. Dabei bleibt aus europäischer Datenschutz-Perspektive zu hoffen, dass die Erkenntnisse rund um die NSL bei den Verhandlungen berücksichtigt werden.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Vom Patriot Act zum Freedom Act: Datenschutz in den USA

Am 2. Juni 2015 einigte sich der US-Senat auf den Freedom Act, eine gesetzliche Regelung, die Teile des abgelaufenen Patriot Acts ablöst. Die Neufassung unter anderem der Teile, die die Telekommunikationsdaten und ihre Überwachung betreffen, war notwendig geworden, um der amerikanischen Öffentlichkeit nach den Enthüllungen Edward Snowdens das Vertrauen in ihre Behörden wiederzugeben. Gemäß dem Freedom Act dürfen amerikanische Behörden (z. B. die NSA) nicht mehr massenhaft Daten von Betroffenen sammeln. Vor dem Hintergrund der vernichtenden Entscheidung des EuGH über das Safe-Harbor-Abkommen stellt sich nun für Unternehmen die Frage, ob durch den Freedom Act der internationale Datentransfer zwischen EU-Staaten und den USA ermöglicht, bzw. erleichtert wird?

Was regelte der Patriot Act?

Der Patriot Act betraf unter anderem das Sammeln, Speichern und Auswerten von Telekommunikationsdaten. So durften beispielsweise die Länge eines Gesprächs, der Standort, der Name, die Adresse und die Rechnungen des Teilnehmers gespeichert und ausgewertet werden. Einmal gespeicherte Daten dieser Teilnehmer standen amerikanischen Behörden zur freien Verfügung.

Nach deutschem und europäischem Recht handelt es sich bei diesen Daten aber um personenbezogenen Daten, die dem Datenschutz unterfallen. Eine Verarbeitung solcher Daten darf zumindest in Deutschland nur erfolgen, falls der Betroffene der Verarbeitung zugestimmt hat oder eine gesetzliche Grundlage für die Verarbeitung vorliegt. Außerdem muss das Land, das die Daten verarbeitet, ein Datenschutzniveau erfüllen, das dem der EU entspricht. Letzteres wurde für Unternehmen in den USA, die dem Safe-Harbor-Abkommen beigetreten waren, als erfüllt angesehen. Genau diese Abkommen kippte jedoch kürzlich der Europäische Gerichtshof (EuGH) aufgrund mangelnden Schutzes vor behördlichen Eingriffen auf personenbezogene Daten und machte damit einen Datentransfer in die USA unmöglich.

Datenschutzrelevante Änderungen des USA Freedom Act

Es stellt sich also die Frage, ob der USA Freedom Act (die Abkürzung steht für: Uniting and Strengthening America by Fulfilling Rights and Ensuring Effective Discipline Over Monitoring Act) die Daten von Telekommunikationsteilnehmern nun besser schützt. Falls ja, ließe sich so das notwendige Datenschutzniveau unter Umständen bejahen und ein neues Safe-Harbor-Abkommen wäre obsolet oder zumindest leichter zu verhandeln. Aber weit gefehlt: Der Freedom Act beinhaltet zwar Änderungen, jedoch sind diese nicht in der Lage das Datenschutzniveau auf ein akzeptables Level anzuheben.

Dabei liest sich der Freedom Act aus europäischer Datenschutzperspektive zunächst gut. Amerikanische Behörden dürfen Telekommunikationsdaten nicht mehr selber speichern und haben keinen direkten Zugriff mehr darauf. Bei genauerer Prüfung trübt sich das Bild jedoch sofort wieder: Telekommunikationsdaten werden unter dem Freedom Act zukünftig bei Telekommunikationsanbietern gespeichert und können auf Verlangen auch an amerikanische Behörden weitergegeben werden. Zwar müssen amerikanische Behörden zumindest einen Verdachtsfall vortragen, etwa, dass der Betroffene eine potentielle Gefahr darstellen könnte. Aber abgesehen davon steht einer massenhaften Überwachung und Auswertung von Telekommunikationsdaten nichts im Wege. Daran vermag auch der Umweg über den Anbieter nichts zu ändern.

Ein Schritt in Richtung Datenschutz – aber nur einer

Die Änderungen durch den Freedom Act sind auf jeden Fall als ein Schritt in die richtige Richtung zu werten. Aber datenschutzrechtlich und in Bezug auf die gefallene Safe-Harbor-Regelung machen die Änderungen kaum einen Unterschied. Die Kritik an Safe Harbor bezog sich eben gerade auf das massenhafte Speichern und Verarbeiten von Daten, ohne dass eine Zweckbindung für die Verarbeitung vorlag oder dass Betroffene irgendwelche Rechte gegen eine willkürliche Verarbeitung geltend machen konnten. Der Freedom Act hilft dem leider nicht ab. Das Safe-Harbor-Dilemma ist demnach nicht gelöst.

USA Freedom Act vs. Vorratsdatenspeicherung in Deutschland

Insgesamt fällt eine gewisse Ähnlichkeit des Freedom Acts zur gerade verabschiedeten Vorratsdatenspeicherung in Deutschland auf. Man könnte sogar sagen, die Unterschiede zu den Regelungen im Freedom Act sind marginal. Die neue Vorratsdatenspeicherung erlaubt den deutschen Telekommunikationsanbietern Verbindungsdaten zu speichern. Behörden können durch richterliche Anweisung diese Daten dann ebenfalls einsehen und auswerten. Lediglich der richterliche Prüfungsvorbehalt, die Aufbewahrungsdauer der Daten und bestehende Rechtsmittel sind hier das Zünglein an der Waage. Es bleibt daher abzuwarten, ob die Vorratsdatenspeicherung in diesem Lichte einer rechtlichen Überprüfung standhält. Im Jahr 2010 war ihr das vor dem Bundesverfassungsgericht nicht gelungen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Safe Harbor: Das Datenschutzabkommen und sein Ende

Safe Harbor war ein Datenschutzabkommen zwischen den USA und der EU. Es ermöglichte den internationalen Datentransfer in die USA als sogenanntes Drittland. Das Safe-Harbor-Abkommen wurde 2015 durch ein Urteil des Europäischen Gerichtshofs (EuGH) für ungültig erklärt.

Hintergrund: Was war Safe Harbor?

Seit dem 26. Juli 2000 bestand eine Vereinbarung zwischen der EU und dem Handelsministerium der USA (Department of Commerce) zu den Grundsätzen des sog. „sicheren Hafens“ (Safe Harbor). Diese Vereinbarung sollte ein angemessenes Datenschutzniveau bei US-amerikanischen Unternehmen sicherstellen, indem sich Unternehmen auf die im Safe-Harbor-Abkommen vorgegebenen Grundsätze verpflichteten.

Zweck von Safe Harbor war es, dass personenbezogene Daten legal in die USA übermittelt werden konnten. Ausgangspunkt für diese Vereinbarung bildeten die Vorschriften der Art. 25 und 26 der europäischen Datenschutzrichtlinie (mittlerweile abgelöst durch die DSGVO), nach denen ein Datentransfer in Drittstaaten verboten war, die nicht über ein dem EU-Recht vergleichbares Datenschutzniveau verfügten. Hiervon waren auch die USA betroffen, da es dort keine dem europäischen Standard entsprechende Regelungen zum Datenschutz gab.

Um den Datenaustausch zwischen der EU und einem ihrer wichtigsten Handelspartner nicht zum Erliegen zu bringen, wurde deshalb nach einem Weg gesucht, wie ein Datentransfer in die USA ermöglicht werden konnte, obwohl dort kein dem Niveau der EU vergleichbarer Datenschutzstandard vorlag. Zur Überbrückung dieser Systemunterschiede wurde das Safe-Harbor-Modell entwickelt. Nachdem das US-Handelsministerium am 21. Juli 2000 gewisse Prinzipien im Bereich Datenschutz festgelegt hatte, erließ die Europäische Kommission am 26. Oktober 2000 eine Entscheidung, nach der in den USA tätige Organisationen über ein angemessenes Datenschutzniveau verfügen, wenn sie sich gegenüber der Federal Trade Commission (FTC) öffentlich und unmissverständlich zur Einhaltung dieser der Prinzipien verpflichteten.

Auch wenn der Beitritt freiwillig erfolgte, waren die Unternehmen danach verpflichtet, sich an die Grundsätze des Safe Harbor zu halten und mussten dies der FTC jährlich mitteilen. Im Fall, dass ein Unternehmen gegen diese Grundsätze verstieß, konnte die FTC entsprechende Maßnahmen ergreifen, wie etwa die Datenverarbeitung zu stoppen oder Sanktionen zu verhängen.

Vernichtendes Urteil des EuGH

Schon lange vor dem Urteil wurde hinter vorgehaltener Hand darüber spekuliert, mit dem Urteil des EuGH vom 6. Oktober 2015 wurde es wahr: Das Safe-Harbor-Abkommen zwischen der EU-Kommission und den USA wurde für unwirksam erklärt .

In seinem Urteil bezog sich der EuGH im Kern auf die Offenlegungen und Folgen des NSA-Skandals. Durch den Skandal wurde bekannt, dass von US-Stellen mehr oder weniger vorbehaltlos und massenhaft persönliche Daten aus allen möglichen Quellen gespeichert und ausgewertet werden konnten. Hiergegen bestanden noch nicht einmal angemessene Rechtsschutzmöglichkeiten. Der Gerichtshof stellte klar, dass damit ein dem Niveau der EU vergleichbares Datenschutzniveau in den USA nicht gegeben war. Das Recht auf informationelle Selbstbestimmung wurde nicht gewahrt – sondern sogar de facto verletzt.

Damit konnte ab dem Zeitpunkt des Urteils für einen Datenaustausch mit den USA nicht mehr auf Safe Harbor zurückgegriffen werden. Das betraf ca. 4.000 in den USA ansässige Unternehmen, die unter dem Safe-Harbor-Abkommen Daten von EU-Bürgern in die USA transferierten.

Nachfolger von Safe Harbor: EU-U.S. Privacy Shield

Nach dem Aus von Safe Harbor wurde das sog. EU-U.S. Privacy Shield als Mechanismus für eine Datenübertragung in die USA geschaffen. Im Kern wurde dieses „Schutzschild“ den Regelungen des Safe-Harbor-Abkommens nachempfunden und war deshalb bei Datenschützern von Anfang an umstritten.

Am 16. Juli 2020 kippte der EuGH auch das EU-U.S. Privacy Shield.

Neuer Versuch: Das EU-U.S. Data Privacy Framework

Mittlerweile gibt es den zweiten Nachfolger zu Safe Harbor – das EU-U.S. Data Privacy Framework.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Anleitung: Sicheres Gäste-WLAN im Unternehmen einrichten – 9 Expertentipps

Das Anbieten von WLAN-Zugängen ist inzwischen nicht nur für Hotels zum gängigen Standard geworden. Beinahe jedes Unternehmen mit Publikumsverkehr offeriert seinen Gästen einen Zugang zu seinem Internetanschluss. Dass dies aus rechtlicher Sicht nicht immer unproblematisch ist, haben wir bereits ausführlich in einem anderen Artikel dargestellt. Für Besserung soll nun ein Gesetz zur Neuregelung der Störerhaftung sorgen. Der aktuelle Entwurf davon verlangt „zumutbare Schutzmaßnahmen“ des WLAN-Betreibers, welche Rechtsverletzungen durch Dritte mittels dessen Anschluss verhindern sollen. Welche konkreten Schutzmaßnahmen getroffen werden müssen, kann zumindest teilweise der Gesetzesbegründung entnommen werden: Dort ist die Rede von einer WPA2-Verschlüsselung, der freiwilligen Registrierung der Nutzer des WLANs und einer Belehrung der Nutzer über das Unterlassen von Rechtsverletzungen.

Diese Vorgaben alleine dürften jedoch wohl nicht ausreichen, um sich als Unternehmen abzusichern. Daher zeigen wir Ihnen, wie Sie mit Hilfe von neun Maßnahmen eine angemessen sichere Ausgestaltung eines Gäste-WLAN erreichen.

1. Individueller WLAN-Zugang

Grundsätzlich sollten Unternehmen keine offenen WLAN-Zugänge zur Verfügung stellen. Dies führt einerseits aus rechtlicher Sicht regelmäßig zu einer Haftung des Anbieters und kann andererseits die Sicherheit des Unternehmens gefährden. Denn in einem offenen WLAN ist es kaum möglich, den Überblick über die verbundenen Nutzer zu behalten. Und der Netzzugang ist oftmals der erste Schritt, um Angriffe auf das IT-System zu starten. Daher sollten stets individuelle Zugangskennungen (Voucher) vergeben werden, beispielsweise durch den Empfang oder die Rezeption. Das oft vorhandene Schild im Wartebereich mit den Zugangsdaten zum WLAN ist hingegen alles andere als empfehlenswert.

2. WLAN-Zugänge zeitlich begrenzen

Neben der individuellen Vergabe von Zugängen ist es wichtig, deren Gültigkeit zeitlich zu begrenzen. Denn je länger ein Voucher aktiv bleibt, desto größer ist die Wahrscheinlichkeit, dass die Zugangsdaten nicht nur dem Berechtigten bekannt sind und eine Nutzung des Vouchers durch mehrere Personen erfolgt. Im Regelfall lässt sich die Gültigkeitsdauer für jeden Voucher gesondert konfigurieren.

3. Trennung der Netze

Von sicherheitstechnisch hoher Relevanz ist zudem die Trennung der verschiedenen Netze. Das interne Netz sollte also strikt vom Gästenetz getrennt sein, sei es durch logische oder physikalische Trennung. Für die Nutzung eines WLANs bedeutet dies die Verwendung verschiedener Netzwerknamen (sog. SSIDs) für die jeweiligen Teilnetze. Zu beachten ist dabei, dass neben der Vergabe verschiedener SSIDs auch das jeweilige LAN durch Nutzung verschiedener VLANs abgetrennt wird.

4. Reichweite des WLANs

Zudem sollte sichergestellt werden, dass die Sendereichweite der jeweiligen Netze nicht ausufert. Oftmals kommt es vor, dass Funknetze die Gebäudegrenzen überschreiten und ein Zugang auch vom öffentlichen Straßenraum aus möglich ist. In diesem Fall verlieren Unternehmen jedoch die Kontrolle über die Personen, die Zugriff nehmen können, da diese nicht mehr räumlich vom Netz ferngehalten werden können. Daher sollte in den Konfigurationseinstellungen des WLAN-Routers die Signalstärke auf das notwendige Maß gedrosselt werden, sofern dies beim jeweiligen Modell technisch umsetzbar ist.

5. Unterbindung der Hotspot-Konfiguration

Des Weiteren ist darauf zu achten, dass keine Komponente des Gastnetzwerkes aus dem Gastnetzwerk heraus konfigurierbar ist. Sämtliche Komponenten des WLANs müssen also so eingestellt werden, dass der Zugang zum Administrationsmenü lediglich aus dem internen Netz heraus möglich ist.

6. Verhinderung der Gerätekommunikation im WLAN

Oftmals können Geräte innerhalb desselben Netzwerks untereinander kommunizieren bzw. sind für einander sichtbar. Dies stellt jedoch aus sicherheitstechnischer Sicht ein großes Risiko dar, da viele Nutzer ohne ihr Wissen öffentliche Freigaben auf ihren Geräten aktiviert haben, welche jedem Nutzer desselben (Gast-)Netzwerks zumindest lesenden Zugriff auf die freigegebenen Dateien ermöglichen. Daher sollte das Netzwerk so eingestellt sein, dass eben diese Kommunikation aller verbundenen Geräte ausgeschlossen ist.

7. Eigene Internetverbindung fürs Gäste-WLAN

Empfehlenswert ist es auch, für das Gäste-WLAN einen eigenständigen Zugang zum Internet zu konfigurieren, welcher sich von dem des internen Netzes unterscheidet.

8. Sperrung der Ethernet-Ports

Neben der sicheren Konfiguration des WLANs ist es wichtig, öffentlich zugängliche Ethernet-Ports, also LAN-Steckdosen, entsprechend abzusichern. Ansonsten ist es jedem, der Zugang zu einer Ethernet-Steckdose hat, möglich, schrankenlos in das an die Dose gepatchte Netzwerk zu gelangen. Die Absicherung kann dabei durch drei verschiedene Authentisierungsmechanismen geschehen: mittels MAC-Adresse, mittels Zertifikat und mittels 802.1X Authentifizierung. Hinsichtlich der Sicherheit bestehen keine nennenswerten Unterschiede, lediglich im Hinblick auf die Praktikabilität kann je nach Größe des Unternehmens die eine oder die andere Lösung gewisse Vorteile bieten.

9. Sperrung von Webseiten und Diensten

Letztlich sollten gewisse Inhalte im Internet für den Nutzer des Gäste-WLANs gesperrt werden. Hierfür gibt es grundsätzlich zwei Möglichkeiten, von denen beide parallel genutzt werden sollten: zum einen die Einrichtung einer Portsperre und zum anderen die Nutzung von Webfiltern, welche bestimmte Kategorien von Webseiten blockieren.

Portsperren sind insofern sinnvoll, als für bestimmte Dienste im Regelfall bestimmte Ports genutzt werden. Eine Liste der standarisierten Ports finden Sie beispielsweise bei Wikipedia. Daher können nicht für notwendig befundene Dienste, wie beispielsweise peer-to-peer-Verbindungen, blockiert werden. Im Idealfall werden grundsätzlich alle Ports gesperrt, außer die für den Geschäftsalltag notwendigen. Das sind in der Regel folgende Ports:

  • 80 für Surfen im Internet mittels http
  • 433 für Surfen im Internet mittels https
  • 53 für den DNS-Dienst
  • 500 und 4500 für den Aufbau einer VPN-Verbindung
  • 110 für E-Mailempfang mittels POP3
  • 143 für E-Mailempfang mittels IMAP

Fazit: Sicheres Gäste-WLAN ist möglich

Gerade Unternehmen sollten auf die Sicherung ihrer Daten ein besonderes Augenmerk haben, ebenso auf die Frage nach der Haftung für im Firmennetzwerk ausgeführte Handlungen. Sofern Sie die hier aufgeführten Maßnahmen umsetzen, steht dem sicheren Einsatz eines Gäste-WLANs nichts mehr im Wege.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Binding Corporate Rules: Probleme in der Praxis

Nach erfolgreichem Abschluss einiger Verfahren zur Genehmigung von Binding Corporate Rules (BCR) hat das Bayerische Landesamt für Datenschutz nun im Rahmen des Jahresberichts für das Jahr 2013/14 einige Erfahrungen veröffentlicht, die es im Rahmen der Verfahren machen konnte. An dieser Stelle möchten wir Ihnen daher kurz darstellen, zu welchen Problemen es in diesen BCR-Verfahren gekommen ist und wie diese vermieden werden können.

Definition des Anwendungsbereichs der BCR

Grundsätzlich ist das Ziel der meisten Konzerne, die Binding Corporate Rules etablieren möchten, einen einheitlichen Datenschutz-Standard im gesamten Konzern zu gewährleisten und diesen auch nach außen zu tragen. Jedoch zeigt sich häufig, dass Unternehmen außerhalb Europas nicht bereit sind, sich denselben strengen und umfangreichen Vorschriften über den Umgang mit Daten zu unterwerfen, wie es das europäische Datenschutzrecht vorschreibt.

Dies ist jedoch auch nicht zwingend notwendig. Denn der Schutz von personenbezogenen Daten aus Drittstaaten, deren Verarbeitung nicht innerhalb der EU erfolgt, fällt nicht in den Anwendungsbereich des europäischen Datenschutzrechts. Die Rechtmäßigkeit von deren Verarbeitung beurteilt sich daher nicht nach den europäischen Grundsätzen. Personenbezogene Daten ohne europäischen Bezug müssen also nicht zwangsläufig mit demselben Schutzstandard behandelt werden die solche mit europäischem Bezug.

Das „angemessene Schutzniveau“, also der Schutzstandard des europäischen Datenschutzrechts, ist also nur für solche Daten verbindlich, die auch in irgendeiner Form einen europäischen Bezug aufweisen, sei es durch die Herkunft oder den Ort der Erhebung, Verarbeitung oder Nutzung. Eine für alle konzernangehörigen Unternehmen umsetzbare und zufriedenstellende Lösung kann also auch darin bestehen, den Anwendungsbereich der Richtlinien dementsprechend zu begrenzen. So ist es beispielsweise möglich, verbindliche Regelungen nur für Datenverarbeitungen im europäischen Raum oder für Daten aus dem europäischen Raum festzulegen. Hier eine trennscharfe und praxistaugliche Abgrenzung zu finden, ist jedoch meist leichter gesagt als getan.

Festsetzung der konzernweiten Verbindlichkeit von BCR

Darüber hinaus müssen Binding Corporate Rules festlegen, auf welche Art und Weise die Einhaltung der enthaltenen Regelungen gewährleistet ist. Denn auf der einen Seite müssen die Richtlinien intern für alle zugehörigen Unternehmen und Mitarbeiter verbindlich sein. Auf der anderen Seite muss auch die Durchsetzbarkeit drittbegünstigender Regelungen durch Außenstehende, beispielsweise die Betroffenen, gegeben sein. Solche drittbegünstigenden Rechte sind u. a. das Recht auf Auskunft oder Löschung von Daten oder auch Schadensersatzansprüche.

Da sich die rechtlichen Rahmenbedingungen in den einzelnen Staaten teilweise sehr unterscheiden, ist es nicht einfach, hier eine passende Lösung zu finden. Einseitige Erklärungen sind beispielsweise nicht in allen Staaten rechtlich bindend und von außen durchsetzbar. Reguläre Verträge gelten wiederum im Regelfall nur „inter partes“, also ausschließlich zwischen den Vertragsparteien, so dass sich Dritte nicht auf mögliche Vertragsverstöße berufen können.

Daher gilt es, hier ein geeignetes rechtliches Konstrukt zu schaffen, welches allen Anforderungen genügt. Im Regelfall wird dies in Form von vertraglichen Vereinbarungen zwischen den teilnehmen Unternehmen erfolgen, welche durch schriftliche Festlegung der Drittbegünstigung der enthaltenen Regelungen erweitert werden.

Haftungsregelungen im Rahmen von BCR

Ein weiterer wichtiger Teil sind die Regelungen der Haftung und der Verantwortlichkeiten beim Verstoß gegen drittbegünstigende Klauseln der Richtlinien. Die von der Artikel-29-Gruppe bevorzugte Lösung besteht darin, die Haftung bei einem einzelnen konzernangehörigen Unternehmen, welches seinen Sitz innerhalb des Anwendungsbereichs der europäischen Datenschutzrichtlinie hat, zu konzentrieren. Da dies in der Praxis jedoch häufig auf starken Widerstand stößt, werden inzwischen auch andere Haftungsmodelle akzeptiert, beispielsweise das Modell entsprechend den EU-Standardvertragsklauseln. Der Haftungsumfang muss dabei jedoch stets dem Mindeststandard entsprechen, der auch im europäischen Raum vorherrscht. Zudem muss gewährleistet sein, dass dem Betroffenen der Rechtsweg vor ein europäisches Gericht offen steht.

Auditierung der BCR-Umsetzung

Weitere Probleme tauchen oft auch im Hinblick auf die Auditierung der Einhaltung der Richtlinien auf. Denn Binding Corporate Rules müssen unter anderem Regelungen zur regelmäßigen internen Überprüfung und Hinwirkung auf die Einhaltung der Richtlinien im Alltag enthalten. Zusätzlich werden in gewissen Abständen gesonderte Audits verlangt, die grundlegend die Umsetzung der Richtlinien prüfen und bewerten sollen.

Hier darf es nach Ansicht der Aufsichtsbehörden jedoch nicht zu einer Überschneidung von Zuständigkeiten kommen. Die Personen, die die regelmäßige interne Überprüfung durchführen, dürfen nicht zugleich für das gesonderte Audit zuständig sein. Dies ist durchaus nachvollziehbar, da eine Personenidentität der vorbereitenden und der überprüfenden Stelle keine objektiven Ergebnisse ermöglichen würde.

Weitere Genehmigungen

Viele Konzerne sind der Meinung, dass nach erfolgreichem Abschluss des Genehmigungsverfahrens sämtliche Hürden für den Datenaustausch genommen sind. Dies ist jedoch nicht immer der Fall. Denn einige Aufsichtsbehörden verlangen neben dem Anerkennungsverfahren der Richtlinien noch eine gesonderte Datenexportgenehmigung nach § 4c Abs. 2 Satz 1 BDSG. Eine solche Genehmigung muss das datenexportierende Unternehmen bei der jeweils zuständigen Aufsichtsbehörde beantragen. Im Regelfall wird eine solche Genehmigung auch erteilt werden, jedoch stellt sie eine zusätzliche formale Voraussetzung an den Datenexport dar.

Interessanter Weise gibt es bei dem Erfordernis einer solchen Genehmigung auch innerhalb Deutschlands regionale Unterschiede. Wird in Bayern beispielsweise eine solche nicht verlangt, so muss diese in Berlin oder Nordrhein-Westfalen stets vorhanden sein. Grund für diese unterschiedliche Behandlung sind dogmatische Streitigkeiten über die rechtliche Einstufung von Binding Corporate Rules (entweder nach § 4b Abs. 2 BDSG ohne Genehmigungserfordernis oder aber nach § 4c Abs. 2 BDSG mit Genehmigungserfordernis). Hier finden Sie eine Auflistung aller Aufsichtsbehörden, die eine zusätzliche Datenexportgenehmigung verlangen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Datenschutz bei WLAN Zugängen von Gästen

Viele Unternehmen bieten den Gästen Ihres Hauses als Service einen kostenlosen WLAN-Zugang an. Aus rechtlicher Sicht ist dies nicht ganz unbedenklich, da das Unternehmen für rechtswidrige Handlungen verantwortlich ist, die über diesen WLAN-Anschluss begangen werden. Unternehmen sollten daher darauf achten, stets individuelle Zugangskennungen zu vergeben.

Die Sicherung des WLAN-Anschlusses

Derzeit werden die Forderungen, nach einer Lockerung der Haftung für WLAN-Anschlüsse immer lauter. Nichts desto trotz haftet nach aktueller Rechtslage noch der Anschlussinhaber grundsätzlich für alle rechtswidrigen Handlungen, die über dessen Internetanschluss begangen werden. Dies gilt selbstverständlich auch für Internetanschlüsse eines Unternehmens.

Primär haftet zwar derjenige, der die rechtswidrige Handlung tatsächlich begangen hat. Diese Person herauszufinden ist jedoch meistens sehr schwierig, da die die Rückverfolgung der IP-Adresse durch den Provider nur bis zum „Unternehmenstor“ möglich ist. Deshalb wird im Regelfall die Suche des Schuldigen auf den Anschlussinhaber beschränkt, da dieser ja auch in Anspruch genommen werden kann.

Um der Haftung zu entgehen, sollte ein Unternehmen seinen WLAN-Anschluss zwingend verschlüsseln. Dabei ist die zur Zeit der Einrichtung des WLANs sicherste Verschlüsselungsmethode zu wählen, derzeit ist dies WPA2. Notwendig ist es zudem, die Verschlüsselungsmethode ständig aktuell zu halten und stets dem technischen Fortschritt anzupassen. Von ungesicherten WLAN-Netzwerken ist dringend abzuraten.

Individuelle Kennungen der WLAN-Zugänge

Daneben sollten auch stets individuelle Kennungen vergeben werden. Diese haben zumindest einen psychologischen Effekt, denn ein Nutzer mit individuellem Zugang dürfte wohl gehemmter sein, rechtswidrige Taten zu begehen, als ein Nutzer mit einer Gruppenkennung. Eine Aufzeichnung der Zuordnung der Accounts zu den Nutzern ist aus datenschutzrechtlicher Sicht problematisch, weshalb vor Speicherung der Daten eine Einwilligung eingeholt werden sollte.

Das Mitloggen der Aktivitäten der einzelnen Nutzeraccounts ist technisch zwar grundsätzlich möglich, jedoch kommt den Log-Files in der Praxis kein hoher Beweiswert zu, weshalb dies nicht zwingend nötig erscheint. Auch können hier datenschutzrechtliche Probleme entstehen, wenn die Nutzeraccounts einzelnen Personen zugeordnet werden können.

Ebenso besteht für die Unternehmen die Möglichkeit, bestimmte Ports zu sperren, beispielsweise die typischerweise für Filesharing verwendeten Ports. Auch eine Beschränkung der Bandbreite ist möglich.
Die Nutzer sollten hierüber jedoch vorab informiert werden.

Wesentlich wichtiger ist jedoch, die Nutzer ausdrücklich darauf hinzuweisen, dass bei der Nutzung des Accounts keinerlei rechtswidrige Handlungen begangen werden dürfen. Aus Gründen der Nachweisbarkeit sollte der Hinweis nicht nur öffentlich ausgehängt werden, sondern von den Nutzern vor der WLAN-Nutzung durch Anklicken bestätigt werden müssen.

Eine 100%ige Sicherheit, nicht haften zu müssen, können jedoch auch diese Maßnahmen nicht gewährleisten, da es derzeit kein Patenzrezept für ein rechtskonformes öffentliches WLAN gibt.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am: