Datenschutz bei elektronischen Lohnabrechnungen

Immer mehr Unternehmen setzen auf elektronische Lohnabrechnungen. Die Vorteile sind offensichtlich: Lohnabrechnungen erreichen die Mitarbeiter unabhängig von ihrem aktuellen Wohn- und Arbeitsplatz (Stichwort: Home-Office). Zudem fallen keine Kosten für Verpackungsmaterial und Postversand an, Arbeitgeber sparen wertvolle Arbeitskraft und Ressourcen. Allerdings gibt es einige wichtige Punkte, die Sie bei der Digitalisierung von Lohnabrechnungen beachten sollten, um DSGVO-konform zu arbeiten.

Datenschutzrechtliche Relevanz elektronischer Lohnabrechnung

Gehaltsabrechnungen enthalten immer personenbezogene Daten und unterliegen damit den Vorgaben der Datenschutz-Grundverordnung (DSGVO) bzw. des Bundesdatenschutzgesetzes (BDSG). Auch wenn die Höhe des Gehalts aus Sicht des Betroffenen oftmals die kritischste Information darstellt, so ist diese aus datenschutzrechtlicher Sicht nicht als besonders schützenswert anzusehen.

Lohnabrechnungen enthalten jedoch oftmals neben den normalen personenbezogenen Daten wie bspw. Name des Mitarbeiters, Personalnummer, Anschrift etc., auch besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO etwa in Form von Religionsdaten (Kirchenzugehörigkeit). Diese gelten als besonders sensibel und unterliegen einem erhöhten Schutz. Aufgrund der Sensibilität dieser Daten sind die potentiellen Auswirkungen der Gefahren und die damit verbundenen möglichen Schäden auf die Rechte und Freiheiten von Betroffenen höher als bei normalen personenbezogenen Daten, weshalb die Verarbeitung an höhere Hürden geknüpft ist.

Allerdings sieht Art. 9 DSGVO einige Ausnahmen vor, die eine Verarbeitung trotzdem gestatten, wenn dies bspw. für den Arbeitgeber aus arbeitsrechtlichen Gründen (wie es bei der entsprechenden Abrechnung und Auszahlung des Gehalts) erforderlich ist.

Technische Sicherheitsmaßnahmen bei der elektronischen Lohnabrechnung

Bei der Zurverfügungstellung von Lohnabrechnungen in elektronischer Form liegt der Fokus zunächst auf der Datensicherheit. Dies gilt insbesondere beim Versand von Lohnabrechnungen per E-Mail. Die DSGVO schreibt vor, dass ein angemessenes Schutzniveau beim Transport von E-Mails über das Internet sichergestellt werden muss. Um dies sicherstellen zu können, müssen hinreichende technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO eingesetzt werden.

Die Angemessenheit dieses Schutzniveaus wird unter Berücksichtigung des Risikos für die Rechte und Freiheiten ermittelt. Kurzgefasst: Je brisanter der Inhalt (aus datenschutzrechtlicher Sicht) ist, desto stärker müssen die Daten mittels technischer Vorrichtungen geschützt werden.

Sie sollten daher bei der Übermittlung einer elektronischen Lohnabrechnung neben einer Transportverschlüsselung zusätzlich eine Inhaltsverschlüsselung umsetzen. Ziel ist hier, dass wirklich nur der bestimmte Empfänger auf den Inhalt der Lohnabrechnung zugreifen kann. Lesen Sie dazu unsere ausführliche Anleitung zum Verschlüsseln von E-Mails.

Sofern die vorgenannten Punkte zur Verschlüsselung beim E-Mail-Versand nicht gegeben bzw. nicht umgesetzt werden könnten, gibt es alternativ die Möglichkeit, die Lohnabrechnungen für die Mitarbeiter über ein sicheres Mitarbeiterportal oder das Intranet zum Download zur Verfügung zu stellen.

Sofern Sie ein solches Portal nutzen möchten, sollten Sie auch daran denken, dass es für Mitarbeiter, die das Unternehmen einmal verlassen, möglich sein muss, ihre Daten mitzunehmen. Ausscheidende Mitarbeiter müssen also ihre Daten speichern oder ausdrucken können. Hierfür empfiehlt es sich, technische und organisatorische Maßnahmen aufzustellen, die u.a. regeln, auf welchen Medien die Lohnabrechnungen gespeichert oder über welchen Drucker die Dokumente ausgedruckt werden dürfen, um ein angemessenes Datenschutz- und Datensicherheitsniveau gewährleisten zu können.

Achtung: Ein solcher Zugriff muss auch für Mitarbeiter ermöglicht werden, die für gewöhnlich keinen Zugriff auf die IT des Unternehmens haben.

Zustimmung

Sofern Sie eine digitalisierte Lohnabrechnung anbieten und nutzen möchten, sollten Sie sich zudem die Zustimmung ihrer Mitarbeiter einholen. Das bloße Bereitstellen der digitalen Lohnabrechnung zum Abruf durch den Mitarbeiter genügt nicht, um bereits das Erfordernis des Zugangs beim Mitarbeiter zu erfüllen. Vielmehr muss der Arbeitgeber die Lohnabrechnung so bereitstellen, dass der Arbeitnehmer unter gewöhnlichen Umständen hiervon Kenntnis erlangen kann. Dies kann nur dann bejaht werden, wenn der Arbeitnehmer damit rechnen konnte, dass ihm die Lohnabrechnung auf elektronischem Wege zugestellt wird, er also entweder explizit oder anderweitig durch schlüssiges Verhalten signalisiert hat, dass er mit diesem Übermittlungsweg einverstanden ist.

Informationspflichten im Rahmen der elektronischen Lohnabrechnung

Beim Einholen der Zustimmung sollten Sie Ihre Mitarbeiter nach Art. 13 DSGVO über diese neue Verarbeitung ihrer Daten entsprechend informieren. Lesen Sie hier, was bei der Erfüllung der Informationspflichten zu beachten ist und nutzen Sie unseren praktischen Generator für ein Mitarbeiter-Informationsschreiben.

Datenformat der Lohnabrechnung

Das Gesetz schreibt in § 108 GewO lediglich die Textform für die Lohnabrechnung vor, so dass das Datenformat grundsätzlich nicht vorgeschrieben ist. Aus praktischen Gründen sollte die Lohnabrechnung jedoch in einem Format sein, das sich nicht verändern lässt, das aber speicher- und druckbar ist. Das gängigste Format ist das PDF.

Mitarbeiter haben demnach keinen Anspruch darauf ihre Lohnabrechnung in Papierform zu erhalten.

Fazit: Elektronische Lohnabrechnungen sind – mit Vorsicht – machbar

Die praktische Umsetzung der Digitalisierung von Lohnabrechnungen birgt im Hinblick auf den Datenschutz nicht nur rechtliche, sondern auch technische Herausforderungen. Hierbei sollten Sie sorgfältig vorgehen, denn der Beschäftigtendatenschutz ist immer ein heikles Thema. Nicht nur, weil es dabei immer menschelt, sondern auch, weil die Gerichte hier durchaus harte Urteile verhängen.

Lassen Sie sich im Zweifelsfall lieber von einem ausgewiesenen Experten beraten!

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Rekordbußgeld gegen WhatsApp – und das nächste direkt hinterher?

Die irische Datenschutzaufsichtsbehörde (Data Protection Commission (DPC)) verhängte am 2. September 2021 ein Bußgeld in Höhe von 225 Mio. Euro gegen WhatsApp Ireland Ltd. Dem Unternehmen wird vorgeworfen, seinen Transparenzverpflichtungen nicht nachgekommen zu sein und daher mehrfach gegen die Bestimmungen der DSGVO verstoßen zu haben (siehe auch die Pressemitteilung der DPC).

Hintergrund der DSGVO-Geldbuße

Bereits seit dem Inkrafttreten der DSGVO im Jahr 2018 ermittelte die DPC gegen die WhatsApp Ireland Ltd., die eine Facebook-Tochtergesellschaft ist, ob WhatsApp gegen die Transparenzverpflichtungen aus der DSGVO verstoßen hat. Insbesondere soll WhatsApp bei der Weitergabe seiner Daten zwischen WhatsApp und weiteren Facebook-Gesellschaften seine Nutzer nicht ausreichend informiert haben.

Wie viele weitere U.S.-Tech-Giganten, etwa Google und Apple, hat auch WhatsApp seinen europäischen Hauptsitz in Dublin, so dass die DPC die zuständige Aufsichtsbehörde ist.

Tipp: Wir kommentieren regelmäßig verhängte DSGVO-Bußgelder und erläutern, was andere Unternehmen tun können, um solche Strafen zu vermeiden!

Begründung der Bußgeldhöhe

Das gegen WhatsApp verhängte Bußgeld in Höhe von 225 Mio. Euro stellt das bisher höchste von der DPC verhängte Bußgeld dar. Die Summe relativiert sich jedoch in Anbetracht dessen, dass der Strafrahmen der DSGVO Geldbußen von bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres vorsieht. Rechnet man das Bußgeld im Falle von WhatsApp um, entspricht es jedoch nur 0,08 % des Umsatzes der Facebook-Gruppe, kritisiert der Österreichische Datenschutzaktivist Max Schrems und Gründer der Organisation NOYB (none of your business).

Max Schrems erreichte zuletzt durch das Urteil des Europäischen Gerichtshofs (EuGH), dass das EU-U.S.-Privacy Shield für ungültig erklärt wurde, was weitreichende Auswirkungen auf den Transfer personenbezogener Daten in die USA und in andere Drittstaaten zur Folge hat.

WhatApp hingegen bezeichnete das Bußgeld als „vollkommen unangemessen“ und kündigte bereits an, Rechtsmittel gegen die Entscheidung einlegen zu wollen. Die Bilanz des Unternehmens zeigt zudem, dass WhatsApp nicht mit einem solchen Bußgeld gerechnet hat, da für mögliche Geldstrafen lediglich 77,5 Mio. Euro Rückstellungen gebildet wurden.

Beachten Sie auch unsere Ratgeber zu Rückstellungen für potentielle DSGVO-Bußgelder sowie zur Berechnung einer möglichen Bußgeldhöhe.

Der Fall WhatsApp macht deutlich, dass selbst nach über drei Jahren seit Inkrafttreten der DSGVO bei der Festsetzung der Höhe eines Bußgeldes zwischen den nationalen Datenschutz-Aufsichtsbehörden aus vielen EU-Ländern Uneinigkeit herrscht. So wollte die DPC zunächst ein viel niedrigeres Bußgeld zwischen 30 und 50 Mio. Euro verhängen. Daraufhin intervenierten die Aufsichtsbehörden zahlreicher anderer Länder, u.a. auch Deutschland, da diese eine solche Bußgeldsumme angesichts der zugrundeliegenden Datenschutzverstöße für zu niedrig erachteten.

Da die verschiedenen nationalen Datenschutz-Aufsichtsbehörden keine Einigkeit erzielen konnten, musste der Europäische Datenschutzausschuss (EDSA) letztlich einen verbindlichen Beschluss erlassen, der viele Beanstandungen der vorgenannten Datenschutz-Aufsichtsbehörden anerkannte und letztlich ein Bußgeld in Höhe von 225 Mio. Euro festlegte. Zusätzlich verwarnte der EDSA WhatsApp und forderte eine Änderung der Datenverarbeitung.

Datenschutzrechtliche Einschätzung

Dieses Rekordbußgeld in dreistelliger Millionenhöhe macht erneut deutlich, dass die DSGVO primär dem Schutz von Betroffenenrechten dient und hohe Bußgelder durch Aufsichtsbehörden nicht nur theoretischer Natur sind. Dies gilt insbesondere bei Verstößen gegen die in Art. 12-14 DSGVO normierten Informationspflichten, um eine transparente Datenverarbeitung für Betroffene sicherzustellen.

Folgt direkt ein weiteres Bußgeld für WhatsApp?

Die Stiftung ProPublica, die für ihren investigativen Journalismus bekannt ist, veröffentlichte kurz nach Verhängung des Rekordbußgeldes einen Bericht, in dem sie dargelegt, dass die Privatsphäre der WhatsApp-Nutzer scheinbar nicht ausreichend gewahrt wird. Das könnte ein weiteres Bußgeld für WhatsApp zur Folge haben.

Einerseits gibt WhatsApp an, durch den Einsatz einer Ende-zu-Ende-Verschlüsselung die Vertraulichkeit der ausgetauschten Mitteilungen über den Messengerdienst bestmöglich wahren zu wollen. Andererseits ist das Unternehmen aufgrund gesetzlicher Vorgaben dazu angehalten, anstößige oder sogar illegale Inhalte, die von anderen Nutzern gemeldet werden, zu untersuchen, um die Nutzer zu schützen.

Da die Nachrichten nicht, wie etwa bei den verwandten Diensten Facebook und Instagram, mittels Algorithmen künstlicher Intelligenz durchsucht werden können, überprüfen laut Angaben von ProPublica mehr als 1.000 Mitarbeiter in den USA, Irland und Singapur gemeldete Nachrichten auf ihren Inhalt hin. Bei diesen Inhaltsprüfern handelt es sich nicht um Angestellte von WhatsApp. Vielmehr sind diese Personen bei externen Firmen, wie bspw. der Unternehmensberatung Accenture, angestellt und überprüfen die Chat-Inhalte, die auch sensible Daten enthalten können, für umgerechnet 14 Euro pro Stunde.

Bei Meldung durch einen WhatsApp-Nutzer werden die letzten fünf Nachrichten inklusive etwaiger gesendeter Fotos und Videos unverschlüsselt an WhatsApp übertragen und nach einer automatischen Sortierung mittels künstlicher Intelligenz für die Inhaltsprüfer freigegeben. Zusätzlich werden die unverschlüsselten gemeldeten Inhalte mittels künstlicher Intelligenz auf verdächtige Informationen und Inhalte überprüft.

Der größte Kritikpunkt bei diesem Vorgehen ist zum einen die Intensität (bspw. hätte auch nur die letzte Nachricht zur Inhaltsprüfung offengelegt werden können) und zum anderen, dass der Nutzer nicht über die Weitergabe an Dritte (die externen Inhaltsprüfer) informiert wird. Fraglich ist ebenfalls, auf welche gesetzliche Rechtsgrundlage dieses Vorgehen gestützt wird.

Zusätzlich wird WhatsApp in dem Bericht vorgeworfen, außerordentlich viele Meta-Daten seiner weltweit mehr als 151 Millionen monatlich aktiven Nutzer zu sammeln. Nach Angaben von ProPublica handelt es sich hierbei um den Namen und Profilbilder vom Nutzer einer WhatsApp-Gruppe sowie der Telefonnummer, Profilfoto, Statusnachricht, Akkustand des Telefons, Sprache, Zeitzone, individuelle Telefon-ID, IP-Adresse, Stärke des WLAN-Signals, Betriebssystem des Telefons sowie zugehörige Facebook- und Instagram-Konten, den Zeitpunkt der letzten Benutzung der App und ggf. frühere Verstöße. Unklar ist, für welchen Zweck alle diese Informationen erforderlich sind und verwendet werden. Obwohl Metadaten über den eigentlichen Inhalt eines Chat-Verlaufs über WhatsApp keine Auskünfte geben, lassen sich doch sehr viele Rückschlüsse aus diesen Daten ziehen.

Problematisch ist sowohl bei der Weiterleitung und Inhaltsprüfung von gemeldeten Nachrichten als auch bei der Sammlung von Metadaten, dass WhatsApp dieses Vorgehen seinen Nutzern gegenüber nicht transparent macht, wie auch schon bei der Datenweitergabe an die Muttergesellschaft Facebook, wofür das oben diskutierte Rekordbußgeld verhängt wurde.

Ausblick

Es bleibt abzuwarten, wie sich der Fall WhatsApp weiterentwickelt, da sich WhatsApp im Rahmen eines Berufungsverfahrens gegen das Bußgeld wehren wird. Dies hätte zunächst einen langwierigen Gerichtsprozess mit ungewissem Ausgang zur Folge. Auch ein weiteres Bußgeld durch die DPC wegen inhaltlicher Überprüfung von Nachrichten durch Externe und übermäßiger Sammlung von Metadaten ist nicht unwahrscheinlich.

Die Verhängung von Rekordbußgeldern erschüttert nicht nur das Vertrauen der Nutzer und hat zudem einen erheblichen Reputationsverlust für den gesamten Konzern zur Folge.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Anforderungen an die Informationssicherheit beim Einsatz von Lieferanten und Dienstleistern

Wenn Sie ein hohes Niveau an Informationssicherheit bieten wollen oder müssen, darf dieses nicht durch die Auslagerung von Geschäftsprozessen an andere Unternehmen absinken. Das betrifft externe Geschäftspartner, Lieferanten und Dienstleister gleichermaßen. Wir zeigen Ihnen anhand der Sicherheitsnorm ISO 27001 (Annex A, Kapitel 15), wie Sie die Planung, Durchführung und Verbesserung der Verwaltung externer Dienstleister in den Griff bekommen und dadurch ein angemessenes Niveau im Bereich der Informationssicherheit gewährleisten.

Informationssicherheit in Lieferantenbeziehungen (A 15.1)

Welche Anforderungen sind an Lieferanten zu stellen?

Unternehmen müssen an (nahezu) jeden beauftragten Lieferanten oder Leistungserbringer Informationssicherheitsanforderungen stellen. Diese werden immer dann relevant, wenn der Lieferant z.B. Informationen verarbeitet, speichert, weitergibt oder IT-Infrastrukturkomponenten dafür bereitstellt.

Die Anforderungen können Sie im Einzelnen anhand unserer Checkliste für die Prüfung von Auftragsverarbeitern abfragen. Ob bzw. inwiefern der Lieferant die gestellten Anforderungen an die Informationssicherheit erfüllt, hat Einfluss auf die Risikoeinschätzung der ausgelagerten Unterstützungsleistung.

Welche Anforderungen stellt der Datenschutz an Lieferanten?

Mit solchen Lieferanten, die aus datenschutzrechtlicher Betrachtung personenbezogene Daten im Auftrag verarbeiten, sollten Sie zusätzlich Verträge zur Auftragsverarbeitung abschließen und diese auf ihre Datenschutzkonformität prüfen. Wünschenswerte Anpassungen sollen erfolgen; erforderliche Anpassungen müssen erfolgen.

Wir empfehlen grundsätzlich unser eigenes Vertragsmuster in der jeweils aktuellen Version einzusetzen, da dort die aus Auftraggeber-Sicht wesentlichen Grundsätze der Auftragsverarbeitung festgelegt werden. Nicht ausdrücklich vorgesehene Anpassungen sind von der Geschäftsführung zu genehmigen.

Hierbei ist auch zu überprüfen, ob der Lieferant risikoangemessene technische und organisatorische Maßnahmen ergreift, um die Informationssicherheit zu gewährleisten. Diese Anforderung gilt für alle Stellen und alle ggf. eingesetzte Subdienstleister individuell. Es ist nicht ausreichend, wenn lediglich der direkte Vertragspartner oder Hauptdienstleister eine entsprechende Garantie vorweist.

Es sollten Lieferanten innerhalb der EU oder des Europäischen Wirtschaftsraums (EWR) bevorzugt werden, da insbesondere die Vergabe von Auftragsverarbeitungen außerhalb dieser Gebiete erfahrungsgemäß einen erheblichen Mehraufwand bedeuten. Z.B. ist der Drittlandtransfer in die USA aktuell datenschutzrechtlich mit einem hohen Risiko verbunden.

Worauf sollte beim Abschluss einer Lieferantenbeziehung noch geachtet werden?

Mit allen Lieferanten müssen Sie Geheimhaltungserklärungen nach aktueller Rechtslage abschließen. Zudem sollte die im Unternehmen geltende IT-Nutzungsrichtlinie, die insbesondere die Handhabung der Betriebsmittel regelt, von den Lieferanten gegengezeichnet werden.

Hierzu und zum Vorliegen eines gültigen datenschutzkonformen Auftragsverarbeitungsvertrags sollte eine Übersicht aller Lieferanten mit dem entsprechenden Vertragsstatus vorliegen. Vertragsänderungen sollten als Change dokumentiert festgehalten sowie auf Informationssicherheits- und Datenschutzebene geprüft werden.

Steuerung der Dienstleistungserbringung von Lieferanten (A 15.2)

Wie können die Anforderungen an den Lieferanten überprüft werden?

Das Datenschutz- und Informationssicherheitsniveau des Lieferanten kann auf verschiedene Weise überprüft werden:

  • Selbstauskunft des Lieferanten und Zertifikate: ISO 27001 (z.B. auf Basis von IT-Grundschutz), Zertifizierung nach Art. 42 DSGVO, Datenschutzkonzept
  • Fragebogen: Regelfall, da zusätzliche Dokumentation (z.B. von VDA oder NOYB)
  • Vor-Ort-Kontrolle: nur im Ausnahmefall und wenn in Anbetracht des Risikos angemessen

Die Prüfung der Geeignetheit des Lieferanten endet nicht mit seiner Beauftragung. Durch die Überwachung und regelmäßige Prüfung des Lieferanten muss sichergestellt werden, dass dieser die datenschutz- und informationssicherheitsrelevanten Pflichten über den gesamten Verarbeitungszeitraum einhält. Für die Auswahl der jeweiligen Prüfungsmethode und Häufigkeit der Prüfung sind das potentielle Risiko für das Unternehmen sowie die vom Dienstleister bereitgestellten Nachweise entscheidend:

  • Bei normalem Risiko der Lieferantenbeziehung kann eine Prüfung alle 18 Monate genügen,
  • bei hohem Risiko hingegen kann eine Prüfung alle 12 Monate oder noch häufiger erforderlich sein.
  • Häufigere Kontrollen sind darüber hinaus insbesondere im Hinblick auf die technischen und organisatorischen Maßnahmen vorzunehmen oder wenn Änderungen im Verarbeitungsprozess erfolgen. Beispielsweise sollte der Zugriff und die Art und Weise, mit der der Lieferant auf Informationen zugreifen kann, streng überwacht und regelmäßig kontrolliert werden.

Welche Konsequenzen hat ein negatives Ergebnis der Lieferantenprüfung?

Soweit ein Lieferant keine ausreichenden Nachweise erbringen konnte oder Zweifel an deren Richtigkeit bestehen, scheidet er grundsätzlich aus dem Auswahlverfahren aus. Eine Weiterführung des Auswahlverfahrens kommt nur in Betracht, soweit besondere Gründe für den Einsatz gerade dieses Lieferanten vorliegen. Die Fortführung des Auswahlverfahrens und das Vorgehen dabei ist mit der Geschäftsführung, dem Fachverantwortlichen und dem Datenschutzbeauftragten abzustimmen.

Fazit: Bei der Informationssicherheit sollten Sie kein Auge zudrücken

Sie sollten die Kontrolle über Ihre Lieferantenauswahl behalten. Ein geregelter Prozess, wonach Sie den Lieferanten anhand vorgegebener Kriterien auswählen, vertraglich verpflichten und regelmäßig dokumentiert überprüfen, wird Ihnen bei der Erfüllung der Informationssicherheit langfristig helfen.

Bestellen Sie jetzt einen unserer Experten als externen Informationssicherheitsbeauftragten für Ihr Unternehmen und lassen sich zur erfolgreichen Zertifizierung nach ISO 27001 führen!

Geschrieben am:

Datenschutzprobleme beim Fax

Viele Behörden, Gerichte, Anwälte und auch Unternehmen nutzen noch immer Faxgeräte, um teilweise hoch sensible Informationen auszutauschen. Dies bringt längst ein erhebliches datenschutzrechtliches Risiko mit sich.

Warum ist ein Fax so unsicher?

Das Telefax wurde ursprünglich über Ende-zu-Ende-verschlüsselte Telefonleitungen verschickt, so dass der Inhalt auf dem Weg zwischen Absender und Empfänger stets verschlüsselt war. Inzwischen wird das klassische Faxgerät beim Empfänger häufig durch elektronische Weiterleitungen in E-Mail-Postfächer ersetzt, wobei das Fax automatisch in einen E-Mail-Anhang umgewandelt wird. Damit beruht die Übertragung auf Internettechnologie anstatt wie früher auf exklusiven Telefonleitungen.

Das Fax sollte daher laut erneuter Stellungnahme der Bremer Landesdatenschutzbeauftragten vielmehr wie eine unverschlüsselte E-Mail behandelt werden. Beide Kommunikationswege nutzen zwar IP-basierte Telekommunikationsnetze. Da Faxdienste aber nicht mit zusätzlichen Sicherungsmaßnahmen ausgestattet werden können, kann die Vertraulichkeit nicht gewährleistet werden und Daten könnten von unbefugten Dritten eingesehen werden.

Zwar gibt es Zusatzkomponenten für Faxgeräte, die eine Verschlüsselung erlauben. Allerdings ist deren Einsatz häufig nicht praktikabel, da auch der Empfänger eine entsprechende kostenintensive Vorrichtung zur Entschlüsselung des Texts benutzen muss. Außerdem erlaubt das Übertragungsprotokoll beim Fax-Versand per Internet keine Entschlüsselung.

Für den Versand von sensiblen personenbezogenen Daten erfüllt die Faxkommunikation damit nach Auffassung vieler Landesaufsichtsbehörden (etwa MV, NRW und Bayern) nicht die Voraussetzungen des Art. 32 DSGVO (technische und organisatorische Maßnahmen).

Inzwischen ist auch die Integrität des Faxes nicht mehr ausreichend gewährleistet. Denn Faxe werden nicht mehr durch eine eigene exklusive Faxleitung, sondern in Paketen separiert verschickt. Kommt ein Paket nicht an, ist das Fax fehlerhaft. Es können aber auch durch Tippfehler oder die Eingabe einer falschen Faxnummer Daten in fremde Hände gelangen.

Welche Folgen kann der Faxgebrauch haben?

Vor dem Versenden von Nachrichten muss abhängig vom jeweiligen Schutzbedarf der Daten ein ausreichender Sicherheitsstandard gemäß Art. 32 DSGVO gewährleistet sein. Einen solchen kann das Fax nicht mehr bieten, wenn sensible Daten ausschließlich verschlüsselt übermittelt werden dürfen. Dies gilt daher insbesondere für besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO.

Das LfDI Bremen empfiehlt stattdessen eine inhaltsverschlüsselte E-Mail oder einen herkömmlichen Brief. Findet eine Übermittlung sensibler Daten dennoch über das Faxgerät statt, erfolgt die Kommunikation nicht datenschutzkonform. Das Oberverwaltungsgericht Lüneburg urteilte am 22. Juli 2020 zu Lasten einer Behörde, die sensible personenbezogene Daten per Fax verschickt hatte wegen der bestehenden Gefahr der Wahrnehmung von personenbezogenen Daten durch unbefugte Dritte. Die Behörde habe keine ausreichenden Schutzvorkehrungen getroffen. Die Folge einer solchen unbefugten Weitergabe kann ein nicht unerhebliches Bußgeld einer Aufsichtsbehörde sein.

Fazit: Das Fax hat ausgedient

Das Fax ist kein sicheres Kommunikationsmittel von sensiblen Daten mehr. Das wird inzwischen auch von vielen Aufsichtsbehörden so gesehen. Suchen Sie sichere Kommunikationswege und beauftragen Sie einen Experten für Datenschutz und Datensicherheit, um Ihre technischen und organisatorischen Maßnahmen überprüfen zu lassen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Richtiger Umgang mit Löschanfragen bei gekauften Adressen

Wer Adressen zum Zweck werblicher Ansprache kauft, kann sich nach einer Werbe-Aussendung mit zahlreichen Löschanträgen von Betroffenen konfrontiert sehen. Wer die personenbezogenen Daten einfach löscht, kann jedoch bald noch mehr Probleme bekommen. Wir erklären Ihnen, was Sie stattdessen tun sollten.

Wie kommt es zu unerwünschten Kontaktaufnahmen?

Unternehmen können öffentlich zugängliche Adressen im Rahmen eines Adresshandels von Dienstleistern einkaufen und diese zu Werbezwecken nutzen. Taugliche Rechtsgrundlagen für das Erfassen und den Weiterverkauf von Daten sind entweder die informierte Einwilligung im Sinne des Art. 6 Abs. 1 lit. a DSGVO oder das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO. Ein berechtigtes Interesse liegt vor, wenn der Betroffene seine Daten offensichtlich öffentlich gemacht hat und damit selbst durch deren Veröffentlichung den Schutz seiner Daten gelockert hat.

Die Größten Marktanbieter im Bereich Adresshandel sind Deutsche Post Direkt GmbH, ABIS GmbH (Tochter der Deutsche Post Adress GmbH & Co. KG), Unternehmensgruppe EOS (Tochter der Otto Group), Acxiom Deutschland GmbH (Tochterunternehmen eines US-amerikanischen Dienstleisters), AZ Direct GmbH (Tochter der Arvato/Bertelsmann AG) und Adress-Base GmbH & Co. KG.

Dabei ist aber Vorsicht geboten: Nicht alle öffentlichen Einträge hat der Betroffene selbst öffentlich gemacht. Häufig werden Einträge in Telefonbüchern, Handelsregistern oder Veröffentlichungen aufgrund von Impressumspflichten nicht freiwillig veröffentlicht. Außerdem müssten die Betroffenen ihre Daten zum Zweck der werblichen Ansprache veröffentlicht haben. Ist dies nicht der Fall, überwiegen die schutzwürdigen Interessen der Betroffenen gegenüber den der Unternehmen. Die Folge ist, dass es bei der Verwendung der Adressdaten einer Einwilligung bedarf.

Achtung: Betroffene müssen in Fällen wie diesem, wenn die Daten nicht direkt von den Betroffenen erhoben werden, nach Art. 14 DSGVO über die Quelle der Daten informiert werden.

Wie wird eine Anfrage auf Löschung zur Zufriedenheit der Betroffenen beantwortet?

Bei Werbekontakten äußern viele Betroffene den Wunsch auf Löschung ihrer Daten. Damit gemeint ist aber in aller Regel, dass sie von einer werblichen Ansprache durch das Unternehmen verschont bleiben wollen. Werden die Daten gelöscht, kann das Unternehmen beim (erneuten) Ankauf von Fremddaten nicht verhindern, dass der Betroffene wieder Adressat z.B. eines Werbebriefs werden kann.

Die Lösung sind sogenannte Sperrlisten. Hiermit kann beim Einkauf von Adressdaten gewährleistet werden, dass die auf einer Werbesperrdatei gelisteten Betroffenen nicht noch einmal kontaktiert werden. Werbesperrdateien sind aufgrund von Art. 21 Abs. 3, Art. 17 Abs. 3 lit. b und Art. 6 Abs. 1 Satz 1 lit. f DSGVO zur Berücksichtigung der Werbewidersprüche von betroffenen Personen zulässig (so auch die Datenschutzkonferenz der Aufsichtsbehörden).

1. Schritt: Auslegen des Löschbegehrens als Werbesperre

Möchte der Betroffene von Werbung verschont bleiben oder sollen alle Daten unwiderruflich gelöscht werden? Bei Ersterem kann der Wille des Betroffenen nur durch eine Aufnahme seiner Kontaktdaten in eine Werbesperrdatei bei diesem Unternehmen endgültig berücksichtigt werden. Der Wunsch keine Werbung mehr zu erhalten, lässt sich häufig herauslesen durch Formulierungen wie „ich möchte nichts mehr erhalten“, „schicken Sie mir keine Werbung mehr“ oder „nehmen Sie mich aus dem Verteiler“.

Vorsicht: Der Betroffene verlangt in der Regel die tatsächliche Löschung bei Formulierungen wie „löschen Sie mich aus dem System“, „vernichten Sie meine Daten“ oder „löschen Sie alle meine Daten und bestätigen Sie dies“.

Falls Sie sich unsicher sind, was der Betroffene wünscht, treten Sie nochmals mit ihm in Kontakt.

Formulierungsbeispiel:

„Wir gehen davon aus, dass Sie keine weitere werbliche Ansprache durch uns wünschen und werden daher Ihren Kontakt auf eine Werbesperrliste setzen. Diese Daten werden dann ausschließlich zum Abgleich mit unseren künftigen Werbedateien verwendet. Wenn wir Ihre Daten komplett aus unserer Datenbank löschen, können wir nicht garantieren, dass Ihre Adresse nicht erneut über externe Stellen (Adresshandel) in diese aufgenommen wird. Falls wir in den nächsten vier Wochen nichts mehr von Ihnen hören, gehen wir davon aus, dass dies in Ihrem Sinne ist.“

2. Schritt: Hinweis an den Betroffenen über das weitere Vorgehen

Sie müssen den Betroffenen darüber informieren, dass die Daten zum Zweck der Sperrung weiterhin gespeichert werden müssen und der Betroffene dem jederzeit widersprechen kann. Die Sperrliste ist eine eigene Verarbeitung, über deren Zweck und Rechtsgrundlage die betroffene Person noch nicht informiert ist. Einem Werbewiderspruch müssen Sie unverzüglich nachkommen. Schließlich sollte der Betroffene auf die Robinsonlisten der Werbewirtschaft verwiesen werden, die eine Werbesperre der gekauften Werbekontakte berücksichtigen: www.ichhabediewahl.de oder www.robinsonliste.de.

Formulierungsbeispiel:

„Sie können der Speicherung Ihrer Daten für den Zweck der Berücksichtigung von Werbewidersprüchen jederzeit widersprechen. Die betreffenden Daten werden dann gelöscht. Es ist dann jedoch nicht auszuschließen, dass Sie bei einem künftigen – dann rechtlich zulässigen – Einsatz von Fremddaten eventuell wieder Werbung erhalten.“

Fazit: Handeln Sie zügig, systematisch und dokumentiert

Der Umgang mit gekauften Adressen birgt Risiken. Zum einen kann nicht immer davon ausgegangen werden, dass die Dienstleister die Daten rechtmäßig erhoben haben. Zum anderen können Sie mit Löschanfragen überhäuft werden. Umso schneller sollten Sie den Betroffenenanträgen nachgehen und sie ernst nehmen. Durch eine Auslegung im Sinne der Betroffenen sowie eine umfangreiche Information dieser können Sie einer möglichen Auseinandersetzung mit Anwälten und Aufsichtsbehörden entgehen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Datenschutzkonforme Speicherung von Kreditkartendaten durch Onlineshops

Das Speichern von Kreditkartendaten für zukünftige Käufe ist eine Funktion, mit der die Betreiber von Onlineshops das Einkaufserlebnis wiederkehrender Kunden komfortabler gestalten möchten. Der Europäische Datenschutzausschuss (EDSA) schafft nun Klarheit, was die konkreten Anforderungen an eine solche Speicherung sind. Wir erklären Ihnen die wichtigsten Punkte und wie Sie diese einfach rechtskonform umsetzen.

Rechtsgrundlage als Grundvoraussetzung für die Speicherung

Die EU-Datenschutz-Grundverordnung (DSGVO) bietet Verantwortlichen mehrere Möglichkeiten, auf die eine Datenverarbeitung gestützt werden kann. Nicht immer ist eindeutig welche der Rechtsgrundlagen die richtige ist. Regelmäßig kommen auch mehrere davon in Betracht.

Im Fall der Speicherung von Kreditkartendaten zum alleinigen Zweck der Ermöglichung weiterer Online-Transaktionen werden regelmäßig herangezogen:

  • Ein überwiegendes berechtigtes Interesse an der Verarbeitung
  • Die Erforderlichkeit zur Erfüllung eines Vertrags
  • Die Erforderlichkeit für eine vorvertragliche Maßnahme
  • Eine Einwilligung der betroffenen Person

Speicherung erfordert Einwilligung

Der EDSA hat nun Stellung bezogen und sich klar dafür ausgesprochen, dass eine solche Datenverarbeitung nur mit einer Einwilligung erlaubt sein kann. Daran werden sich die Datenschutz-Aufsichtsbehörden zukünftig orientieren.

Die schlüssige Begründung des EDSA lautet, dass der Kunde, der seine Kreditkartendaten für eine einmalige Transaktion angibt, vernünftigerweise nicht erwartet, dass die Kreditkartendaten länger gespeichert werden, als es für die Bezahlung der gekauften Waren oder Dienstleistungen erforderlich ist. Die Möglichkeit sich auf ein berechtigtes Interesse zu berufen, wie das aktuell noch häufig zu finden ist, wird durch den EDSA ausdrücklich abgelehnt. Es sei nicht ersichtlich, dass die Speicherung der Kreditkartendaten zur Erleichterung künftiger Käufe erforderlich ist, um das berechtigte Interesse des für die Verarbeitung Verantwortlichen oder eines Dritten zu verfolgen.

Auf den Vertrag oder vorvertragliche Maßnahmen wird überhaupt nicht eingegangen. Diese Möglichkeiten erschienen dem EDSA vermutlich zu abwegig. Jedenfalls können der Vertrag oder die vorvertragliche Maßnahme nicht herangezogen werden, da es am notwendigen Merkmal der Erforderlichkeit fehlt. Die erneute Abfrage der Kreditkartendaten ist bei einem weiteren Einkauf ohne weiteres möglich und Komfort ist kein Kriterium, wenn es um die Frage nach der Erforderlichkeit geht.

Zur Klarstellung: Es geht hier nicht um den Fall der regelmäßigen Abbuchung in einem Dauerschuldverhältnis (z.B. Abonnement). Dann dürfen die Daten zu diesem Zweck natürlich aufgrund des geschlossenen Vertrags über die gesamte Laufzeit gespeichert und verarbeitet werden. Allerdings auch nur dafür und nicht für den nächsten Einkauf. Denn dann würde sich der Zweck nicht mehr vom erstgenannten Fall unterscheiden.

Anforderungen an eine wirksame Einwilligung

Damit eine Einwilligung gültig ist, müssen Verantwortliche einige Punkte beachten:

  • Informiertheit: Betroffenen Personen müssen die Konsequenzen der Einwilligung bekannt sein. Dazu gehört insbesondere zu wissen, wem gegenüber man die Erklärung abgibt und welche Zwecke sie genau umfasst. Auch der Hinweis auf das Recht, die Einwilligung jederzeit widerrufen zu können, ist vorgeschrieben.
  • Freiwilligkeit: Die betroffene Person muss eine echte und freie Wahl haben. Dies drückt sich dadurch aus, dass es keine Nachteile mit sich bringt, die Einwilligung nicht zu geben. Zudem muss sie jederzeit nachträglich widerrufen werden können. Das wäre zum Beispiel nicht der Fall, wenn der Käufer durch die Verweigerung der Einwilligung am Kauf gehindert würde.
  • Aktives Verhalten: Vorangekreuzte Kästchen oder die bloße Information über die Speicherung genügen nicht. Die Abfrage muss eine konkrete Willensbekundung der betroffenen Person widerspiegeln. Dies erfolgt regelmäßig durch ein anzukreuzendes, optionales Kästchen.
  • Nachweisbarkeit: Der Verantwortliche muss die Einwilligung an sich, aber auch die oben aufgeführten Umstände nachweisen können. Mit den meisten Shopsystemen lässt sich das ohne Probleme umsetzen.

Wenn Ihre Einwilligungserklärung diese Kriterien erfüllt, steht der Speicherung der Kreditkartendaten für den nächsten Einkauf Ihrer Kunden nur noch wenig entgegen. Es ist dann noch sicherzustellen, dass Sie die obligatorischen Informationspflichten erfüllen und garantieren, dass die Datenspeicherung ausreichend sicher ist. An die Maßnahmen zur Sicherheit der Daten ist bei Kreditkartendaten ein hoher Maßstab zu setzen, da der mögliche Schaden für die Karteninhaber bei einer Datenpanne aufgrund der Missbrauchsgefahr als eher hoch einzustufen ist.

Rechtskonformität mit wenig Aufwand

Die von vielen Kunden gewünschte Komfortfunktion, ihre Kreditkartendaten für den nächsten Einkauf hinterlegen zu können, muss nicht aufgrund des Datenschutzes wegfallen. Der Aufwand eine den Anforderungen der DSGVO entsprechende Einwilligung einzuholen, ist auch nicht sehr hoch. Ein kurzer erläuternder Text für die Einwilligungserklärung, die Abfrage mittels zu setzenden Häkchens, die Dokumentation des ganzen sowie das Vorhalten der Möglichkeit, einen Widerruf entgegenzunehmen, stellen für moderne Shopsysteme keine große Herausforderung dar.

Dabei schützt die DSGVO-Konformität nicht nur vor vermeidbaren Bußgeldern, sondern schafft auch Vertrauen bei Ihren Kunden und sorgt so für mehr Zufriedenheit und Kundenbindung.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

EDPB-Entscheidungshilfe für Risikobewertung und Meldung einer Datenpanne

Ob eine Datenpanne bzw. ein Datenschutzvorfall an die Aufsichtsbehörde zu melden ist, hängt von zahlreichen Faktoren ab. Der Europäische Datenschutzausschuss (European Data Protection Board – EDPB) hat dazu nun eine Entscheidungshilfe veröffentlicht. Wir erläutern die aufgeführten Fallbeispiele und geben Ihnen Empfehlungen für den richtigen Umgang damit.

Wann muss die Aufsichtsbehörde informiert werden?

Eine Verletzung der Datenschutzgesetze sollte gemeldet werden, wenn der für die Verarbeitung Verantwortliche der Ansicht ist, dass sie wahrscheinlich zu einem Risiko für Rechte und Freiheiten der betroffenen Personen führen kann.

Verantwortliche sollten diese Bewertung zum Zeitpunkt vornehmen, zu dem sie von der Verletzung Kenntnis erlangt haben. Der für die Verarbeitung Verantwortliche sollte keine detaillierte forensische Untersuchung und keine (frühzeitigen) Abhilfemaßnahmen abwarten.

Tipp: Lesen Sie hier, wie Sie eine Meldung an die für Sie zuständige Aufsichtsbehörde vornehmen.

Wann müssen Betroffene informiert werden?

Betroffene müssen informiert werden, sobald der für die Verarbeitung Verantwortliche der Ansicht ist, dass die Datenschutzverletzung wahrscheinlich zu einem hohen Risiko für Rechte und Freiheiten der betroffenen Personen führen kann. Nur bei geringem Risiko für die Rechte und Freiheiten der betroffenen Person muss keine Meldung an die Betroffenen erfolgen.

Warum ist diese Unterscheidung wichtig?

Wenn ein für die Verarbeitung Verantwortlicher das Risiko selbst als unwahrscheinlich einschätzt, es sich aber herausstellt, dass dennoch ein erhöhtes Risiko eintritt, kann die zuständige Aufsichtsbehörde von ihren Korrekturbefugnissen Gebrauch machen und Sanktionen beschließen.

Bei einer Meldepflicht hat die Meldung binnen 72 Stunden zu erfolgen. Die Deutsche Datenschutzkonferenz (DSK) nennt in einem Kurzpapier Kriterien, die bei der Risikobewertung helfen sollen. Wir empfehlen aber dringend im Falle einer Datenschutzverletzung Expertenrat einzuholen.

Beispiele: Wann muss der Verantwortliche melden?

Die folgenden Fälle identifiziert der EDPB (je nach Einzelfall) ein meldungspflichtiges Risiko:

  • Ransomware ohne ordentliches Backup
  • Ransomware mit Backup und ohne Exfiltration in einem Krankenhaus (Meldung auch an die Betroffenen empfohlen)
  • Ransomware ohne Backup und mit Exfiltration (Meldung auch an die Betroffenen empfohlen)
  • Exfiltration von Bewerberdaten von einer Website (Meldung auch an die Betroffenen empfohlen)
  • Credential-Stuffing-Angriff (Einsatz erbeuteter Anmeldedaten) auf eine Bank-Website (Meldung auch an die Betroffenen empfohlen)
  • Exfiltration von Geschäftsdaten durch einen ehemaligen Mitarbeiter

Beispiele: Wann muss der Verantwortliche nicht melden?

In folgenden Fällen sieht der EDPB (je nach Einzelfall) kein meldungsbedürftiges Risiko:

  • Ransomware mit ordnungsgemäßem Backup und ohne Exfiltration
  • Exfiltration eines gehashten (Verschlüsselungsfunktion) Passworts von einer Website
  • Versehentliche Übertragung von Daten an eine vertrauenswürdige Drittpartei

Wie können Unternehmen sich auf Datenpannen vorbereiten?

Verantwortliche sollte Pläne und Verfahren für den Umgang mit eventuellen Datenschutzverletzungen entwickeln und implementieren:

  1. Organisationen sollten klare Meldewege und Personen haben, die für den Prozess und geeignete Gegenmaßnahmen zuständig sind. Hier empfiehlt sich ein Datenschutz-Managementsystem (DSMS), das das Unternehmen langfristig auf solche Situationen vorbereitet. Zu einem DSMS gehört unter anderem eine Richtlinie Datenschutznotfall, die die Eskalationswege beschreibt, die zuständigen Stellen definiert und verbindliche Vorgaben zur Risikoermittlung und dem Umgang mit der Datenpanne macht.
  2. Auch Schulungen und die Sensibilisierung der Mitarbeiter zum Umgang mit Datenschutzverletzungen (Identifizierung eines Vorfalls und weitere zu ergreifende Maßnahmen) sind unerlässlich. Denn nur wenn eine Datenschutzverletzung überhaupt erkannt wird, kann sie behandelt werden. Diese Maßnahmen sollten regelmäßig wiederholt werden.

Die konkrete Ausgestaltung sollte sich an Art und Umfang der im Unternehmen durchgeführten Datenverarbeitungen und an der Unternehmensgröße orientieren, wobei die neuesten Trends und Warnungen vor z.B. Cyberangriffen oder anderen Sicherheitsvorfällen aufgegriffen werden sollten. Ein geplantes Schulungskonzept ist hier von großem Vorteil.

Lesen Sie dazu auch unsere ausführliche Anleitung zum Umgang mit Datenschutznotfällen und Pannen.

Fazit: Rasch und richtig handeln ist gefragt

Die Beurteilung, welches Risiko eine Datenschutzverletzung in sich birgt, ist schwer. Der EDPB und die DSK können hierfür nur eine Entscheidungshilfe bieten. Die Konsequenzen einer verspäteten Meldung oder eines unterschätzten Risikos trägt allein der Verantwortliche. Wohin das führen kann, zeigt beispielhaft der Fall von Booking.com.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Sie wollen ausführliche Informationen zum Datenschutz bei E-Mailmarketing und Newsletter? Dann laden Sie sich jetzt unser kostenloses Whitepaper herunter!

Geschrieben am:

Aufgedrängte Daten: Datenschutz, Verarbeitung und Löschung

Es gibt zahlreiche Situationen, in denen Unternehmen ungefragt personenbezogene Daten erhalten. Doch was genau gehört zu diesen sogenannten aufgedrängten Daten? Ab wann greifen die Vorschriften des Datenschutzrechts? Wie sollten Mitarbeiter mit den aufgedrängten Daten umgehen?

Begriff der aufgedrängten Daten

Um aufgedrängte Daten handelt es sich, wenn ein Unternehmen Daten ohne aktives Zutun erhält oder wenn mehr Informationen an das Unternehmen gesendet werden, als überhaupt angefragt wurden. Folgende Beispiele, die vermutlich in vielen Unternehmen praktisch relevant sind, illustrieren das Vorkommen aufgedrängter Daten:

  • Bei Freitextfeldern in Kontaktformularen besteht das Risiko, dass der Absender dort personenbezogene Daten hinzufügt. Da nicht beschränkt wird, welche Informationen dort eingetragen werden können, kommt es unter Umständen zur Übermittlung von nicht angefragten personenbezogenen Daten. Das ist insbesondere bei Arztpraxen und ähnlichen Unternehmen schwierig, wenn etwa medizinische Diagnosen ungefragt übermittelt werden.
  • Bei Online-Bewerbungen wird mit dem Lebenslauf ein Foto des Bewerbers übermittelt. In Deutschland ist es rechtlich nicht zulässig, ein Bild im Lebenslauf einer Bewerbung zu fordern. Es steht dem Bewerber also frei ein Bild mitzuschicken. Daher handelt es sich bei diesem Bild streng genommen um eine aufgedrängte Information.

Rechtliche Einordnung der aufgedrängten Daten

Zunächst bleibt festzuhalten, dass es sich selbstverständlich auch bei aufgedrängten Daten um personenbezogene Daten handeln kann. Nicht so klar ist die Anwendbarkeit der Datenschutz-Grundverordnung (DSGVO). Der sachliche Anwendungsbereich nach Art. 2 DSGVO ist in der Regel eröffnet, da die meisten Verarbeitungstätigkeiten zumindest teilweise automatisiert erfolgen.

Einzig bei analogen Unterlagen, etwa in Papierform, kann etwas Anderes gelten, wenn noch keine Einordnung dieser Daten in ein Dateisystem vorgenommen wurde oder geplant ist. Wie sich jedoch gleich zeigen wird, muss keine vertiefte Prüfung dieses Punktes erfolgen.

Es ist nämlich schon fraglich, ob überhaupt eine Verarbeitung der aufgedrängten Informationen im Sinne des Art. 4 Nr. 2 DSGVO vorliegt. Zu denken wäre zumindest an ein Erheben oder ein Erfassen dieser Daten. Allerdings gehen die Aufsichtsbehörden und die vorherrschende Literatur davon aus, dass für das Erheben ein aktives Handeln des Verantwortlichen erforderlich ist. Auch für das Erfassen, wenn ein solches überhaupt vorliegen sollte, ist ein aktives Tun notwendig.

Hiernach zeigt sich bereits, dass beim bloßen Erhalt aufgedrängter Daten keine Verarbeitung personenbezogener Daten vorliegt und der Erhalt zunächst keine datenschutzrechtlichen Folgen auslöst.

Allerdings muss mit den aufgedrängten Daten irgendetwas passieren. In den meisten Fällen wird es daher entweder zu einer Löschung oder einer Speicherung kommen. Beides ist zwar nach Art. 4 Nr. 2 DSGVO eine Verarbeitung. Allerdings wird das Löschen in diesem Fall nicht als zielgerichtete Verarbeitung gewertet. Wenn schon kein Erheben bei aufgedrängten Daten vorliegt, dann kann auch die Löschung keine datenschutzrechtlichen Pflichten begründen. Denkbar ist auch eine Unkenntlichmachung der überflüssigen Informationen, etwa durch Schwärzen, sofern eine Löschung insgesamt nicht zielführend ist. Die reine Kenntnisnahme des ausführenden Mitarbeiters ist hierbei ebenfalls noch kein Verarbeitungsvorgang.

Anders verhält es sich, wenn die Daten gespeichert werden. In diesem Fall muss eine Rechtsgrundlage gefunden werden und es folgen Pflichten, wie die Erfüllung der Informationspflichten nach Art. 13 f. DSGVO.

Praktisches Vorgehen beim Erhalt aufgedrängter Daten

Wie in vielen Bereichen des Datenschutzes ist eine Schulung der Mitarbeiter hinsichtlich des Umgangs mit aufgedrängten Daten unerlässlich, wenn klar ist, dass diese mit solchen in Berührung kommen können. Wissen Beschäftigte nicht, wie sie sich verhalten müssen, werden sie diese Daten vermutlich zunächst speichern, um später darüber zu entscheiden. Das darf jedoch gerade nicht passieren, da in diesem Fall bereits datenschutzrechtliche Pflichten ausgelöst werden. Diese entfallen auch nicht durch eine spätere Löschung. Mitarbeiter sollten also die klare Vorgabe erhalten, dass alle unaufgefordert erhaltenen und nicht benötigten Daten unverzüglich zu löschen sind.

Sollte das nicht erfolgen bzw. der Mitarbeiter diese Entscheidung nicht treffen können oder die Daten gar erwünscht sein, dann gilt es eine Rechtsgrundlage zu finden und die betroffene Person zu informieren. Je nach Daten kann dies ohne großen Mehraufwand möglich sein, etwa, wenn zusätzlich eine Telefonnummer zur Kontaktaufnahme mitgeschickt wird. In diesem Fall ist ggf. auch das bereits vorliegende Informationsschreiben ausreichend, sollte jedoch im Einzelfall noch geprüft werden.

Bei aufgedrängten Daten sprechen im Rahmen der Interessenabwägung auch einige Argumente für die Annahme eines berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO. Anders verhält sich dies bei besonders sensiblen Daten gem. Art. 9 Abs. 1 DSGVO. Dort ist in vielen Fällen eine Einwilligung die einzige Möglichkeit, die personenbezogenen Daten rechtmäßig zu verarbeiten, wenn dies überhaupt statthaft ist.

Ein praktisches Beispiel: Wenn ein Bewerber im Bewerbungsgespräch ungefragt über bestehende Krankheiten berichtet, die irrelevant für die Tätigkeit sind, sollte nichts dazu notiert oder anderweitig gespeichert werden. In diesem Fall wäre selbst die Verarbeitung mit Einwilligung mangels Zwecks nicht statthaft.

Erhalt aufgedrängter Daten minimieren

Bevor es überhaupt zur Notwendigkeit des Umgangs mit aufgedrängten Daten kommt, sollte deren Erhalt nach Möglichkeit verhindert werden. Das kann durch verschiedene Wege erreicht werden, etwa durch Folgendes:

  • Bei Bewerbungen sollte entweder darauf hingewiesen werden, dass ein Foto nicht erwünscht ist. Alternativ kann das Informationsschreiben für Bewerber so angepasst werden, dass der Erhalt eines Fotos direkt abgedeckt ist. Es sollte allerdings darauf geachtet werden, dass das Foto freiwillig mitgeschickt werden kann und nicht durch die Datenschutzerklärung quasi zur Pflicht erklärt wird.
  • Bei Formularen sollte darauf geachtet werden, dass nur erforderliche Felder vorhanden sind. Wird etwa die Telefonnummer nicht benötigt, dann sollte es hierfür auch kein Feld geben. Das wäre im Rahmen des Art. 25 DSGVO bereits nach dem Grundsatz von Privacy by Design erforderlich. Wer ganz genau sein möchte, der weist noch gesondert darauf hin, dass nach Möglichkeit personenbezogene Daten im Freitextfeld zu vermeiden sind.

Fazit: Aufgedrängte Daten sind handhabbar

Aufgedrängte Daten stellen prinzipiell kein Problem dar, solange der erforderliche Umgang mit ihnen allen Mitarbeitern klar ist. Zunächst sollte eine Löschung bzw. Vernichtung angedacht werden. Ist das nicht möglich, dann kann auch eine Unkenntlichmachung in Betracht gezogen werden.

Ist beides nicht umsetzbar oder soll nicht durchgeführt werden, müssen eine Rechtsgrundlage gefunden und die Informationspflichten nach Art. 13 f. DSGVO eingehalten werden. Besser ist es jedoch, bereits im Vorfeld den Erhalt aufgedrängter Daten aktiv zu minimieren.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Bußgeld wegen verspäteter Meldung einer Datenpanne

Die niederländische Aufsichtsbehörde hat gegen die Übernachtungs- und Reisevermittlungsplattform Booking.com ein Bußgeld von 475.000 Euro verhängt, weil ein Datenschutznotfall nicht rechtzeitig gemeldet wurde.

Hintergrund der DSGVO-Geldbuße

Im Jahr 2019 hatten Hacker 4.000 Datensätze erbeutet, darunter Personalausweis- und Kreditkartendaten einschließlich der Sicherheitsnummer. Die Hacker hatten die Daten über Mitarbeiterkonten mehrerer Hotels in den Vereinigten Arabischen Emiraten erlangt.

Begründung des Bußgeldes

Booking.com hatte den Vorfall erst 25 Tage nach Bekanntwerden gemeldet. Der Vize-Präsident der niederländischen Datenschutzbehörde beurteilte dies als schweren Verstoß gegen die Meldepflichten der Datenschutz-Grundverordnung (DSGVO).

Tipp: Wir kommentieren regelmäßig verhängte DSGVO-Bußgelder und erläutern, was andere Unternehmen tun können, um solche Strafen zu vermeiden!

Datenschutzrechtliche Einschätzung

Booking.com behauptet, dass die Daten nicht über die eigene IT-Infrastruktur abgegriffen worden seien. Stattdessen hätten die Hacker per Social-Engineering, also durch menschliche Einflussnahme die Daten abgegriffen. Die Hacker hatten sich als Booking.com-Mitarbeiter ausgegeben und waren in telefonischen Kontakt zu den betroffenen Kunden getreten.

Doch selbst wenn Booking.com damit für die technische Schwachstelle keine Verantwortung tragen sollte, hätte eine Datenpanne in diesem Ausmaß gemäß Art. 33 Abs. 1 DSGVO der niederländischen Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden bei Booking.com gemeldet werden müssen.

Booking.com kann gegen das Bußgeld noch Widerspruch einlegen, hat aber bereits über seinen Sprecher erklären lassen, das Bußgeld zu akzeptieren. Booking.com wies zudem darauf hin, dass es keine Kompromittierung der Booking.com-Datenbanken gegeben habe und dass das Bußgeld lediglich für das Verstreichen der Meldefristen verhängt worden sei.

Hinweise zum richtigen Umgang mit Datenpannen und Bußgeldern

Das Bußgeld zeigt, dass Aufsichtsbehörden die DSGVO ernst nehmen und nicht nur prüfen ob ausreichende Maßnahmen zur Verhinderung einer Datenpanne getroffen werden, sondern auch sanktionieren, wenn Verantwortliche die Datenpanne nicht ordnungsgemäß behandeln und sie der Aufsichtsbehörde oder den Betroffenen rechtzeitig melden.

Deshalb sollten Unternehmen sich ausreichend auf Datenschutznotfälle bzw. Datenpannen vorbereiten:

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Profiling und automatisierte Entscheidungsfindung in der DSGVO

Das Thema Profiling erreicht immer mal wieder die breite Öffentlichkeit – meist unter negativen Vorzeichen. So etwa durch die Änderung der Nutzungsbedingungen und Datenschutzrichtlinie von WhatsApp Anfang Februar 2021. Aber was genau ist eigentlich Profiling? Welche Regelungen trifft die Datenschutz-Grundverordnung (DSGVO) dazu? Was müssen Unternehmen bei der Bildung von Profilen datenschutzrechtlich berücksichtigen?

Am Anfang des Profilings steht das Sammeln von Daten

Kurz gesagt, verbirgt sich hinter dem Begriff Profiling das Sammeln von Daten über eine bestimmte natürliche Person aus ggf. mehreren Quellen, um aufgrund dieser gesammelten Daten besser mit der Person zu interagieren. Der erste Schritt zum Profiling ist also das Sammeln von Daten.

Im Kontext des Onlinemarketings findet das Sammeln in der Regel mittels Tracking statt. Ziel ist es, sich ein möglichst genaues Bild über die Nutzer machen zu können. Dadurch lässt sich ein Online-Angebot interessengerecht anpassen und verspricht somit mehr Aufmerksamkeit zu bekommen.

Zum Verständnis: Der Begriff des Trackings taucht in der DSGVO nicht ausdrücklich auf. Man kann ihn aber aus den Erwägungsgründen der Verordnung ableiten. Tracking im Sinne der DSGVO ist das Nachverfolgen eines individuellen Verhaltens von Nutzern. Dies kann sogar geräteübergreifend stattfinden. Daten, die beim Tracking gesammelt werden, sind zum Beispiel IP-Adressen, MAC-Adressen und Seriennummern eines Mobilgeräts. Das wohl bekannteste Tracking-Tool ist Google Analytics. Hier sollte man sich nicht davon verwirren lassen, dass die englische Bezeichnung Analytics eigentlich für Reichweitenmessung (einer Website) steht. Bei der Reichweitenmessung geht es um die Frage, wie häufig eine Website bzw. ein spezifischer Inhalt aufgerufen wird. Der individuelle Nutzer spielt dabei keine große Rolle.

Neben dem Tracking ist eine weitere Methode der Datensammlung das Zusammentragen von kundenspezifischen Informationen in sog. Auskunfteien. Bekanntestes Beispiel für eine Auskunftei ist die Schufa. Gängig sind Auskunfteien vor allem in der Banken-, Immobilien- oder Versicherungsbranche.

Wie weitreichend die Datensammlungen in solche Auskunfteien seien können, verdeutlicht der kürzlich veröffentlichte Beschluss der Datenschutzkonferenz (DSK) zum Energieversorgerpool. Eine Überlegung der Energieversorger war in Auskunfteien auch Positivdaten über Kunden zu speichern. Darin ließen sich Vertragsanzahl und -dauer von Energieverträgen vermerken. Die DSK sieht dies als zu weitreichend an:

„Jede Bürgerin und jeder Bürger hat jedoch das Recht, den Wettbewerb zwischen den Energieversorgern zu nutzen und am Markt nach günstigen Angeboten zu suchen. Der Wunsch, vermeintliche ‚Schnäppchenjäger‘ in einem zentralen Datenpool zu erfassen, um sie bei Vertragsanbahnung als solche identifizieren und ggf. von Angeboten ausschließen zu können, stellt kein berechtigtes Interesse i. S. d. Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO dar.“

Bewertung des Profils aufgrund gesammelter Daten

Wenn die Daten zur Bildung eines Profils gesammelt sind, fängt das eigentliche Profiling an. Die DSGVO versteht unter Profiling

„jede Art der automatischen Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.“ (Art. 4 Nr. 4 DSGVO)

Auf Grundlage der gesammelten und zusammengeführten Daten einer Person findet also eine Bewertung dieser statt. Um das Beispiel Tracking wieder aufzugreifen: Mithilfe des Trackings lassen sich Informationen sammeln und mithilfe von Profiling Benutzerprofile erstellen, die u.a. für Marketingzwecke geeignet sind. So können Unternehmen auf den Nutzer zugeschnittene Werbung schalten, weil sie analysiert und bewertet haben, für was sich der Nutzer besonders interessiert.

Im sogenannten Lead-Management werden Nutzerprofile auch aufgrund der Häufigkeit ihrer Interaktionen bewertet. Hat ein Profil einen bestimmten Reifegrad erreicht, kann der Vertrieb den Nutzer ansprechen.

Auch bei der Abfrage von Auskunfteien wird häufig ein sogenanntes Scoring-Verfahren durchgeführt. Dadurch wird einer Person nach Bewertung der über ihn verfügbaren Informationen ein Wert zugeordnet, der z.B. eine Auskunft über die Zahlungsfähigkeit im Onlinehandel gibt.

Automatisierte Entscheidung im Einzelfall

Eine Möglichkeit mit den gesammelten Daten zu arbeiten, ist eine Entscheidung auf Grundlage des erstellten Profils zu treffen. Art. 22 DSGVO regelt dabei die automatisierte Entscheidungsfindung im Einzelfall einschließlich Profiling:

  • Im Rahmen des Profilings kann einerseits eine automatisierte Entscheidung getroffen werden.
  • Andererseits ist es möglich, dass eine Entscheidung zwar unter Zuhilfenahme von Profiling erfolgt, aber der Entscheidungsträger selbst abwägt, wie die Entscheidung ausfallen soll.

Beide Konzepte sind voneinander zu unterscheiden.

Eine automatisierte Entscheidung liegt nach der DSGVO vor, wenn sie „ohne jegliches menschliche[s] Eingreifen“ erfolgt (Erwägungsgrund 71 DSGVO). Ein Bespiel für eine automatische Entscheidung ist, wenn alleine wegen des vergebenen Scoring-Werts ein Vertragsschluss zustande kommt oder eben nicht.

Grundsätzlich ist eine solche automatisierte Entscheidung zunächst unzulässig, wenn sie eine rechtliche Wirkung entfaltet oder den Betroffenen in ähnlicher Weise erheblich beeinträchtigt (Art. 22 Abs. 1 DSGVO). Beispielsweise soll ein Online-Kreditantrag oder ein Online-Einstellungsverfahren nicht ausschließlich auf einer automatisierten Entscheidung beruhen (Erwägungsgrund 71).

Ausnahmen davon statuiert Art. 22 Abs. 2 und Abs. 3 DSGVO. Sofern eine automatisierte Entscheidung für den Abschluss oder die Erfüllung eines Vertrags erforderlich ist oder mit ausdrücklicher Einwilligung des Betroffenen erfolgt, sind trotzdem angemessene Maßnahmen zu treffen, um die Rechte und Freiheiten sowie das berechtigte Interesse des Betroffenen zu wahren. Dafür muss zumindest das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gewährleistet sein.

Bezüglich der besonderen Kategorien personenbezogener Daten ist Art. 22 Abs. 4 DSGVO zu berücksichtigen. Dieser schränkt die Möglichkeit automatisierter Entscheidungen mit rechtlicher Wirkung in höherem Maße ein.

Rechtliche Voraussetzungen zur Anwendung von Profiling

Neben den besonderen Voraussetzungen bei der automatisierten Entscheidung mit rechtlicher Wirkung, sind beim Sammeln und Verwerten von Daten auch die grundsätzlichen Vorgaben der DSGVO zu beachten.

Rechtsgrundlage

Für die Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten bedarf es einer Rechtsgrundlage. Das betrifft sowohl das Sammeln von Daten als auch das Verwerten von Daten und die evtl. damit verbundene automatisierte Entscheidungsfindung. In jedem dieser Schritte liegt eine Verarbeitung im Sinne der DSGVO vor.

Wie der oben erwähnte Beschluss der DSK bezüglich der Auskunfteien der Energieversorger zeigt, ist z.B. im Fall eines berechtigten Interesses an der Verarbeitung genau zu prüfen, wie weitereichend dieses ist. Nicht jegliches Datum, das gespeichert werden soll, wird von einem überwiegenden berechtigten Interesse umfasst. Die Positivdaten von Kunden der Energieversorger gehören laut DSK nicht dazu. Hier überwiegt das Interesse der Kunden an der Nichtverarbeitung.

Informationspflicht

Bei jeder Verarbeitung personenbezogener Daten hat der Verantwortliche die Betroffenen gem. Art. 13 DSGVO über Rechtsgrundlage, Zweck und Dauer der Speicherung zu informieren. Als zusätzlichen Schutz im Falle der automatisierten Entscheidungsfindung einschließlich Profiling legt die DSGVO eine erweiterte Informationspflicht (Art. 13 Abs. 2 lit. f) DSGVO) fest. Demnach hat der Verantwortliche eine faire und transparente Verarbeitung zu gewährleisten. Er muss Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung aufzeigen. Unter Logik sind die angewendeten Methoden und Kriterien der Datenverarbeitung zu verstehen. So muss z.B. die Funktionsweise des Algorithmus erklärt werden, die zur Ermittlung des Scoring-Wertes führt.

Betroffenenrechte

Wie bei jeder Verarbeitung stehen Betroffenen weitreichende Rechte zu. So auch im Falle von Profiling. Bei jeder Verarbeitung besteht das Recht auf Auskunft, Berichtigung, Löschung, Übertragbarkeit, Einschränkung der Verarbeitung und ein Widerspruchsrecht.

Fazit: Profiling ist ein sensibles Thema

Profiling ist ein sehr nützliches Tool, um Verarbeitungsprozesse effizienter zu gestalten und um auch sonst einen größeren Nutzen aus der Verarbeitung von Daten zu ziehen. Profiling ist zwar gesetzlich erlaubt, allerdings mit deutlichen Einschränkungen versehen.

Um den besonderen Anforderungen an Rechtsgrundlage, Information der Betroffenen und Transparenz der Verarbeitung gerecht zu werden, sollten Sie vor Einsatz eines Profilings unbedingt Ihren Datenschutzbeauftragten involvieren und ggfs. externe datenschutzrechtliche Beratung hinzuziehen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am: