Datenschutz bei Retargeting & Social Sharing – Dürfen Werbetechnologien Dritter in Websites eingebunden werden?

Im Rahmen des Online-Marketings werden auf Unternehmenswebsites häufig Dienste von Dritten eingesetzt. Dabei handelt es sich zum Beispiel um Analysetools, Produktwerbungsdienste (insbesondere zum Retargeting) oder sogenannte Social Plugins. Zu Letzteren hat sich das Landgericht Düsseldorf in einem aktuellen Urteil positioniert und eine unzulässige Einbindung durch den beklagten Websitebetreiber (ein bekannter Onlineshop) festgestellt. Der Beitrag beleuchtet die datenschutzrechtlichen Fallstricke für Websitebetreiber bei der Einbindung von Werbetechnologien und zeigt auf, wie eine rechtskonforme Nutzung möglich ist.

Online-Werbetechnologien ermöglichen es, den Besuch einer Person auf einer Website zu analysieren und, wie im Fall einiger Social Plugins, Verknüpfungen mit anderen Datenbeständen wie dem Facebook-Profil des Websitebesuchers herzustellen. Der Websitebetreiber braucht hierfür meist nur ein Skript in den Quellcode seiner Seiten einzubinden. Das Skript sorgt dann dafür, dass die Daten über den Besuch der Person direkt an den Anbieter der Werbetechnologie gesendet werden (so z.B. bei Facebook Custom Audiences Website).

Ist der Websitebetreiber für die Datenerhebung verantwortlich?

Aus datenschutzrechtlicher Perspektive ist zunächst fraglich, ob der Websitebetreiber für die Einbindung des Skripts verantwortlich ist. Denn der Websitebetreiber erhält selbst meist keinen Zugriff auf die erhobenen Daten. Das braucht er auch nicht, denn ggf. anschließende Werbemaßnahmen lassen sich viel effektiver durch den Anbieter der Werbetechnologie durchführen, dem in der Regel noch zahlreiche andere Daten zum Besucher vorliegen. Diese Daten können (wie im Fall von Facebook) entweder aus dem hauseigenen Netzwerk stammen oder aber über andere Websites erhoben werden, in die dieselbe Werbetechnologie eingebunden ist und die ebenfalls von der Person besucht wurden.

Da der Websitebetreiber keinen Zugriff auf die Daten erhält, war in Literatur und Rechtsprechung bisher weitgehend unklar, wer aus datenschutzrechtlicher Sicht die „verantwortliche Stelle“ für die Datenverarbeitung ist. Gemäß § 3 Abs. 7 Bundesdatenschutzgesetz (BDSG) ist verantwortliche Stelle, „jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.“

Während unstrittig war, dass für das Verarbeiten und Nutzen der Daten ausschließlich der Werbetechnologieanbieter verantwortlich ist, war unklar, ob dies auch für das Erheben der Daten gilt. Die entscheidende Frage war hier, ob eine Datenerhebung die Zugriffsmöglichkeit auf die Daten voraussetzt, die im Falle des Websitebetreibers nicht gegeben ist.

Landgericht Düsseldorf: Mitverantwortlichkeit trotz fehlender Zugriffsmöglichkeit

Das Landgericht Düsseldorf hat nun klargestellt, dass der Websitebetreiber trotz fehlender Zugriffsmöglichkeit für die Datenverarbeitung mitverantwortlich ist. Eine Zugriffsmöglichkeit auf die Daten sei für die Mitverantwortlichkeit ebenso wenig erforderlich, wie die Verfügungsmacht über die Daten:

„Allein, dass die Beklagte keinen direkten Einfluss auf die Funktionsweise des Buttons und die Verarbeitung der Daten hat, ihr deren Umfang sogar unbekannt sein mag, und dass sich ihre aktive Tätigkeit auf die Einbindung des Plugins erschöpft, steht dem ebenso wenig entgegen, wie die Tatsache, dass nicht die Beklagte an sie übermittelte und in ihrem Besitz stehende Daten an [das soziale Netzwerk] weiterleitet, sondern die Erfassung der IP-Adresse unmittelbar durch [das soziale Netzwerk] erfolgt.“

Mit dieser Einschätzung setzt sich das Gericht über die herrschende Literaturmeinung hinweg, die sowohl die Verfügungsmacht als auch die Kenntnis der Daten als Voraussetzung für ein Erheben ansieht. Es bleibt daher abzuwarten, wie sich andere Gerichte zu der Frage äußern.

Die europäische Datenschutz-Grundverordnung, die ab 2018 den Datenschutz in Europa neu regeln wird, enthält eine sehr weite Definition des Begriffs „Verarbeiten“. In diesem geht nicht nur der Begriff des Erhebens auf, sondern auch vage Begriffe wie der der „Verknüpfung“, die nicht unbedingt auf eine Zugriffsmöglichkeit hindeuten.

Werden überhaupt personenbezogene Daten erhoben?

Eine ganz andere, aber ebenso entscheidende Frage ist, ob mithilfe der eingebundenen Werbetechnologien überhaupt personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes erhoben werden. Ist dies nicht der Fall, findet das Datenschutzrecht keine Anwendung. Eine Erhebung und Verarbeitung der Daten wäre dann, ganz gleich durch wen, gänzlich unproblematisch.

Im angesprochenen Gerichtsverfahren ging es neben der unzweifelhaft personenbezogenen Facebook-Nutzer-ID insbesondere um die Verarbeitung der IP-Adresse und Nutzungsdaten wie den Browser-String, die ohne jegliches Zutun des Websitebesuchers (auch ohne Anklicken des Social-Plugin-Buttons) beim Besuch der Webseite an Facebook gesendet werden. Auch hier vertritt das Gericht eine restriktive Haltung, indem es jedenfalls die IP-Adresse als personenbezogenes Datum einordnet. Das Gericht folgt damit einer Entscheidung des Bundesgerichtshofs, in der IP-Adressen ebenfalls als personenbezogene Daten angesehen werden. Manche Werbedienste verarbeiten daher IP-Adressen nur in gekürzter Form, sodass ein Rückschluss auf eine bestimmte Person nicht mehr möglich ist.

Personenbezogene Daten wie die ungekürzte IP-Adresse dürfen ohne vorangehende Einwilligung des Websitebesuchers grundsätzlich nur dann verarbeitet werden, wenn die Daten für den Betrieb und die Nutzung der Website erforderlich sind (§ 15 Abs. 1 S. 1 TMG). Dies ist freilich weder bei der Datenverarbeitung im Rahmen von Social Plugins noch im Rahmen sonstiger eingebundener Marketingtechnologien der Fall.

Sehr umstritten ist, ob bei der Erstellung von Nutzungsprofilen durch Dritte – z. B. Facebook oder einen anderen Werbetechnologieanbieter – die Ausnahmeregelung des § 15 Abs. 3 TMG greift, die eine Profilerstellung unter Pseudonym für Werbezwecke durch den sogenannten „Diensteanbieter“ erlaubt. Die Datenschutzaufsichtsbehörden vertreten hier eine sehr restriktive Haltung. Ihnen zufolge scheidet die Anwendbarkeit der Ausnahmeregelung zumindest dann aus, wenn ungekürzte IP-Adressen verarbeitet werden.

Wie ist eine datenschutzkonforme Einbindung von Technologien Dritter möglich?

Das Urteil des Landgerichts Düsseldorf erhöht den Druck auf Websitebetreiber, Inhalte Dritter rechtskonform in die eigene Website einzubinden. Für Marketers besteht die größte Herausforderung darin, Technologien so zu integrieren, dass die Einbindung einerseits rechtskonform ist, andererseits aber auch eine werbestrategische Wirkung entfalten kann. Wie dies bei Social Plugins und Retargeting-Anbietern möglich ist, wird im Folgenden kurz erläutert.

Social Plugins: verschiedene Privacy-Technologien auf dem Markt

In Hinblick auf Social Plugins könnten Technologien die Lösung sein, die eine Aktivierung des Plugins – und damit den Datenaustausch zwischen dem Browser des Websitebesuchers und dem Server des Technologieanbieters – erst dann auslösen, wenn der Besucher den Datenaustausch durch einen Klick bestätigt. Das Plugin wird somit durch einen Klick des Besuchers „aktiviert“.

Ein solches Vorgehen ermöglicht z.B. die sogenannte Zwei-Klick-Lösung von heise.de, die mittlerweile von zahlreichen Websites (u.a. von dem beklagten Shop im oben erwähnten Urteil) eingesetzt wird. Auch bei Verwendung der Zwei-Klick-Lösung bleibt der Websitebetreiber allerdings für die Datenerhebung mitverantwortlich. Er steht daher weiterhin vor der Herausforderung, gemäß §§ 12 Abs. 1, 13 Abs. 1 TMG über eine Datenverarbeitung zu informieren, zu der ihm vom Technologieanbieter oft nur unzureichende Informationen zur Verfügung gestellt werden.

Noch besser als die Zwei-Klick-Lösung ist daher die Shariff-Lösung von c’t, die zum Beispiel auch als WordPress-Plugin auf der activeMind Website eingesetzt wird. Hierbei braucht der Websitebetreiber gar keine Technologie der sozialen Netzwerke in die eigene Website einbinden. Stattdessen werden verlinkte Bilder in den jeweiligen Farben bzw. mit den Logos der Netzwerke eingebunden. Erst, wenn der Besucher auf das Bild klickt, werden Daten an das Netzwerk übermittelt. Shariff kann auf Wunsch des Websitebetreibers darüber hinaus während des Ladevorgangs der Webseite über ein Skript beim sozialen Netzwerk abfragen, wie oft die Webseite im Netzwerk bereits geteilt wurde. Da über die Website keine Daten erhoben werden, ist der Websitebetreiber bei der Shariff-Lösung nicht als verantwortliche Stelle anzusehen.

Retargeting-Anbieter: Auf das richtige Siegel kommt es an

Neben Social Plugins erfreuen sich verschiedenste Retargeting-Technologien im Online-Marketing großer Beliebtheit. Auch in diesem Bereich sind inzwischen einige datenschutzkonforme Technologien auf dem Markt zu finden. Viele Technologie-Anbieter versuchen, die Datenschutzkonformität ihrer Technologie mit einem Datenschutzsiegel zu belegen. Hier ist jedoch Vorsicht geboten, da leider nicht alle auf dem Markt auffindbaren Datenschutzsiegel das Datenschutzniveau bezeugen, das von den Aufsichtsbehörden verlangt wird.

Dies lässt sich gut an der Übersicht zu den vergebenen Siegeln des Anbieters ePrivacy GmbH verdeutlichen: Während das ePrivacyseal-Siegel den Anspruch hat, die Einhaltung gesetzlicher Regelungen zu belegen, bezeugt das EDAA Trust Seal zunächst einmal nur die Einhaltung eines (von der europäischen Datenschutzaufsicht bemängelten) Branchenstandards der Werbeindustrie. Eine allgemeine Übersicht zu Zertifizierungen und Gütesiegeln im Datenschutz findet sich bei der Stiftung Datenschutz.

Da trotz „gutem“ Siegel nicht immer klar ist, ob personenbezogene Daten verarbeitet werden, sollte in jedem Fall ein Hinweis in der Datenschutzerklärung zur jeweils eingebundenen Technologie erfolgen. Dies gilt auch für den datenschutzkonformen Einsatz von Social Plugins. Bei der Zwei-Klick-Lösung ist ein Hinweis zwingend erforderlich, beim Shariff empfiehlt er sich jedenfalls aus Marketingsicht.

Fazit: Datenschutz ins Marketing integrieren!

Auf den ersten Blick ist das Urteil des Landgerichts Düsseldorf ein schwerer Schlag für Marketers. Bei genauerem Hinsehen wird jedoch deutlich: Die Entscheidung konkretisiert, jedenfalls in den meisten Punkten, nur das, was die Aufsichtsbehörden bereits seit langem vertreten. Aus einer nachhaltigen Marketingperspektive heraus ist es daher sinnvoll, den Datenschutz von Anfang zu berücksichtigen und Datenschutz als Werbeinstrument zu begreifen, das langfristig Vertrauen schafft.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Privacy by Design: Mit datenschutzkonformer IT gegenüber Mitbewerbern punkten und hohe Bußgelder vermeiden

Datenschutz, das war und ist für viele Unternehmen noch immer etwas, um das man sich kümmert, wenn alles steht: die Cloud, die teuer beauftragte Entwicklung einer App und das aufwendig programmierte Logistiksystem. Spätestens mit Anwendbarkeit der EU-Datenschutz-Grundverordnung ab 25. Mai 2018 sollten Unternehmen bereits bei der Auswahl von IT-Lösungen berücksichtigen, inwieweit diese datenschutzrechtlichen Anforderungen genügen. Die Verordnung verpflichtet Unternehmen, beim Einsatz von IT und Software zu prüfen, ob diese nach Datenschutzmaßstäben entwickelt wurden („Privacy by Design“). Ein Verstoß dagegen kann mit einem hohen Bußgeld belegt werden. Welchen Nutzen Privacy by Design für Unternehmen und Betroffene haben kann und welche gesetzlichen Änderungen mit der Datenschutz-Grundverordnung auf die verantwortliche Stelle zukommen, lesen Sie in diesem Beitrag.

Privacy by Design als Lösung moderner Datenschutzprobleme

Personenbezogene Daten, so eine beliebte Aussage, sind das Gold des 21. Jahrhunderts. Bei genauerem Hinsehen hinkt der Vergleich allerdings, da Daten im Gegensatz zu Gold weder nach Belieben angehäuft noch eingesetzt werden dürfen. Auch sind Daten nicht wie Gold übertragbar: sie verbleiben stets Persönlichkeitsmerkmal eines Betroffenen. Dieser Betroffene soll, so besagt es das Recht auf informationelle Selbstbestimmung, stets Herr seiner Daten bleiben.

Doch wie lässt sich diese Forderung in einer Welt realisieren, in der personenbezogene Daten faktisch wohl deutlich „fungibler“ sind als Gold? In einer Welt, in der Betroffene Einwilligungserklärungen für eine Verarbeitung ihrer Daten kurzerhand „abhaken“, weil sie keine Zeit oder Lust haben, sich mit den umfangreich beschriebenen Risiken (z. B. Weitergabe an Dritte, Datenübermittlung in einen unsicheren Drittstaat) auseinanderzusetzen?

Datenschutz als echter Standard

Privacy by Design – die datenschutzkonforme Konzeption und Entwicklung von IT-Systemen – kann hier eine Lösung darstellen. Eine App soll etwa so konzipiert sein, dass sie standardmäßig nur solche Daten verarbeitet, die für die Basisfunktionalität erforderlich sind. Alle weiteren Funktionen, für die weitere Daten des Betroffenen benötigt würden, müssen vom Nutzer aktiviert werden, wenn er dies wünscht. Vor jeder einzelnen Aktivierung wäre der Nutzer in wenigen Sätzen über den Nutzen, die zugriffsberechtigten Empfänger und die Speicherdauer der jeweiligen Daten zu informieren.

Für den Fall, dass der Nutzer jederzeit auf die Standardkonfiguration der App zurückkehren kann, wären Änderungen oder Ergänzungen des Zwecks einzelner wählbarer Funktionen bedenkenlos umsetzbar. Der Betroffene bliebe so stets Herr seiner Daten, weil er zu jeder Zeit genau wüsste, welche App-Funktion welche seiner Daten zu welchem Zweck benötigt, und weil er einzelne Funktionen aktivieren oder deaktivieren könnte.

Beispiel: Compliance im Unternehmen durch Privacy by Design

Als besonders nützlich könnte sich Privacy by Design im beruflichen Bereich erweisen: Soll etwa die angesprochene App im Unternehmen eingesetzt werden und entspricht die Standardkonfiguration dem, was der Arbeitgeber von seinem Arbeitnehmer vertraglich erwarten darf (z. B. Verwendung der App zu Kommunikationszwecken), kann hinsichtlich der Einwilligung in Zusatzfunktionen (z. B. Aktivierung eines verknüpften Geburtstagskalenders) von einer freiwilligen Entscheidung des Arbeitnehmers ausgegangen werden. Dieser willigt dann zwar in die Verarbeitung seines Geburtsdatums ein. Dies tut er jedoch nicht, weil er andernfalls die App als solche nicht nutzen kann – und deswegen Konsequenzen des Arbeitgebers fürchten müsste. Der Arbeitgeber wiederum müsste nicht fürchten, eine rechtswidrige Einwilligung eingeholt zu haben.

Das Beispiel zeigt, wie es technisch möglich ist, durch den Einsatz von Privacy-by-Design-Systemen das informationelle Selbstbestimmungsrecht des Betroffenen zu wahren. So entsteht eine Win-Win-Situation: Auf Seiten des Betroffenen führt der Einsatz von Privacy-Enhancing-Technologies zu einer höheren Akzeptanzbereitschaft; auf Seiten des Unternehmens zu mehr Rechtssicherheit.

Die datenschutzrechtlichen Prinzipien von Privacy by Design

Für die Entwicklung und den Einsatz datenschutzkonformer IT konkretisiert die europäische Datenschutz-Grundverordnung Datenschutzprinzipien, die in der Literatur unter dem Stichwort „Privacy by Design“ seit Langem diskutiert werden. Die drei wesentlichsten Grundsätze sind:

  1. Transparenz der Datenverarbeitung und Kontrollmöglichkeit durch den Betroffenen;
  2. Einsatz von Verfahren, die technischen Sicherheitsstandards genügen;
  3. Datenschutzkonforme Voreinstellungen (Privacy by Default); hierzu gehört insbesondere die Umsetzung der Grundsätze von Datenvermeidung und Datensparsamkeit.

Ein weiteres, nicht zwingend datenschutzrechtliches Prinzip, ist die leichte Bedienbarkeit eines Systems, einschließlich der Freigabe und dem Entzug von Berechtigungen, die insbesondere eine Diskriminierung älterer und behinderter Menschen verhindern soll.

Je nach dem, welchem Privacy-by-Design-Modell man in der Literatur folgen möchte, kommen weitere Prinzipien hinzu. Diese können aber, wie etwa die „befristete Gültigkeit von Zertifikaten“ oder „sichere Authentifizierungsverfahren“ auch den drei bereits genannten Prinzipien untergeordnet werden.

Transparenz-Prinzip in BDSG & Datenschutz-Grundverordnung

Das datenschutzrechtliche Transparenzprinzip ist bereits in zahlreichen Pflichten und Rechten des Bundesdatenschutzgesetzes (BDSG) verkörpert. Hervorzuheben ist das Auskunftsrecht nach § 19 Abs. 1 BDSG. Danach ist dem Betroffenen auf Antrag Auskunft zu erteilen über

  • die zu seiner Person gespeicherten Daten,
  • die Empfänger, an die die Daten weitergegeben werden, und
  • den Zweck der Speicherung.

Das Auskunftsrecht kann in der Praxis zu einer teuren und zeitraubenden Last für die verantwortliche Stelle werden, da der Betroffene die Auskunft grundsätzlich unentgeltlich einholen kann. Könnte der Betroffene dagegen, wie in Erwägungsgrund 61 S. 3 der europäischen Datenschutz-Grundverordnung vorgesehen, eigenständig im datenverarbeitenden System einsehen, welche seiner Daten von wem zu welchem Zweck gerade verarbeitet werden, würde dies die verantwortliche Stelle entlasten, da eine gesonderte Auskunftseinholung aus Sicht des Betroffenen wohl meist entbehrlich wäre.

Prinzip der Datensicherheit in BDSG & Datenschutz-Grundverordnung

Neben dem Transparenzprinzip ist auch der Einsatz von Verfahren, die technischen Sicherheitsstandards genügen, im geltenden Datenschutzrecht mehr oder weniger explizit geregelt. So sieht die Anlage zu § 9 BDSG vor, dass eine rechtskonforme Zugangs- Zugriffs- und Weitergabekontrolle „insbesondere [durch] die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren“ sichergestellt werden kann.

Erwägungsgrund 46 der EU-Datenschutzrichtlinie verlangt zudem (umfassender) „unter Berücksichtigung des Standes der Technik und der […] entstehenden Kosten ein Schutzniveau [zu] gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist“. In der Praxis erweisen sich diese Regelungen allerdings immer wieder als problematisch, da die verantwortliche Stelle bei einmal eingesetzten IT-Systemen, die sie nicht selbst entwickelt hat, kaum Anpassungsspielraum hat, geschweige denn, eine Verschlüsselungstechnologie nachträglich implementieren kann.

Die Datenschutzgrundverordnung fordert die verantwortliche Stelle daher dazu auf, „unter Berücksichtigung des Stands der Technik und der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die persönlichen Rechte und Freiheiten […] sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung angemessene technische und organisatorische Maßnahmen“ sicherzustellen (Artikel 23 Abs. 1 DSGVO).

Ferner sollen, gemäß Erwägungsgrund 61 der Verordnung, „die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Auslegung der Produkte, Dienste und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen, dass die für die Verarbeitung Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen.“

Auch wenn von einer Pflicht der Hersteller im Verordnungstext selbst keine Rede mehr ist, dürfte sich die Pflicht der verantwortlichen Stelle, den Einsatz datenschutzkonformer Systeme zu prüfen, jedenfalls mittelbar auf die Hersteller von IT-Systemen auswirken.

Prinzip datenschutzkonformer Voreinstellungen in der Grundverordnung

Im geltenden Recht nicht ausdrücklich wiederzufinden ist die Pflicht in Artikel 23 Abs. 2 der Datenschutz-Grundverordnung, durch Voreinstellung eines Systems sicherzustellen, dass nur solche personenbezogenen Daten verarbeitet werden, die für den jeweils bestimmten Verarbeitungszweck erforderlich sind. Konkret soll dies für den Umfang der erhobenen Daten, den Umfang der Verarbeitung, die Speicherfrist und die Zugänglichkeit der Daten gelten. So darf eine Person, welche die Teilnahme an einem sozialen Netzwerk wünscht, nicht dazu gezwungen werden, ihr Profil vorab mit Daten zu füllen, die für die vertragsgemäße Teilnahme an diesem Netzwerk gar nicht erforderlich sind.

Darüber hinaus verlangt Artikel 23 DSGVO, dass ein einmal erstelltes Profil nicht ohne Eingreifen einer natürlichen Person (z. B. den Betroffenen oder einen Kundenbetreuer des Netzwerkes) „einer unbestimmten Zahl natürlicher Personen“ zugänglich gemacht wird. Hier wird der grundlegende Gedanke von Privacy by Design deutlich, wonach der Betroffene (oder eine von ihm beauftragte Person) über Umfang und Art der Verarbeitung seiner Daten entscheiden soll.

Der allgemeine Grundsatz, nur solche Daten zu erheben, die für eine Datenverarbeitung erforderlich sind, kann freilich bereits dem Datensparsamkeitsgrundsatz aus § 3a BDSG entnommen werden. Desgleichen findet sich die Verwendung von Pseudonymisierungstechniken als Umsetzung des Datensparsamkeitsgrundsatzes bereits in § 3a BDSG. Der Grundsatz der Datensparsamkeit erweist sich derzeit allerdings als „zahnloser Tiger“, da eine Nichtbefolgung der verantwortlichen Stelle – z. B. der bewusste Verzicht auf Pseudonymisierungstechniken, obwohl diese problemlos umsetzbar wären – im Offlinebereich nicht sanktioniert werden kann. Dies ändert sich mit der Datenschutz-Grundverordnung.

Datenschutzwidrige Technik im neuen Recht empfindlich sanktionierbar

Setzt eine verantwortliche Stelle trotz Vorhandenseins datenschutzkonformer Alternativen auf unsichere bzw. datenschutzkritische IT, muss sie gemäß Artikel 79 Abs. 3 DSGVO mit einem Bußgeld von bis zu 10.000.000 Euro (im Fall eines Unternehmens von bis zu 2 % seines weltweiten Jahresumsatzes, falls dieser Betrag höher ist) rechnen. Hersteller datenschutzwidriger Systeme werden es somit künftig noch schwerer haben, ihre Produkte loszuwerden. Verantwortliche Stellen sollten daher bei der Auswahl von Systemen besonders darauf achten, dass diese zumindest in der Standardeinstellung möglichst wenige personenbezogene Daten verarbeiten bzw. durch Einsatz von Pseudonymisierungstechnik die Aussagekraft der verarbeiteten Daten gezielt begrenzen.

Kommt es demgegenüber trotz Privacy by Design zu einem Datenschutzverstoß, muss die Aufsichtsbehörde den Einsatz datenschutzfreundlicher IT gemäß Artikel 79 Abs. 2a (e) DSGVO bei der Entscheidung über eine Geldbuße und deren Höhe berücksichtigen. Dies dürfte wohl insbesondere für den Fall gelten, in dem ein Unternehmen sich bei der Anschaffung und dem Einsatz von Geräten an Verhaltensregeln bezüglich Datensicherheit orientiert, die gemäß Artikel 38 Abs. 1a (ee) DSGVO von Branchenverbänden und -vereinigungen erstellt werden können. Ist nach außen hin bekannt bzw. erkennbar, dass Privacy-Enhancing-Technologies Anwendung finden, dürfte zudem das Risiko unangemeldeter Kontrollen von Aufsichtsbehörden sinken.

Wirkt Privacy by Design wirtschaftshemmend oder -fördernd?

Wirtschaftlicher Wert personenbezogener Daten erschöpft sich nicht in der Aussagekraft des einzelnen Datums

Auf den ersten Blick scheint Privacy by Design nur die von vielen Unternehmen angestrebte Monetarisierung personenbezogener Daten zu hemmen. Der wirtschaftliche Wert eines personenbezogenen Datums, so könnte man denken, besteht darin, möglichst viele aus sich heraus aussagekräftige Daten über eine Person anzuhäufen. Vor dem Hintergrund, dass ein unkontrolliertes und unbegrenztes Anhäufen aber niemals zulässig war und mit der Datenschutz-Grundverordnung zudem empfindlich bestraft werden kann, ist hier ein Umdenken erforderlich.

Der wirtschaftliche Wert personenbezogener Daten erschöpft sich nicht in der Aussagekraft des einzelnen Datums. Es ist meist die kontextbezogene Verbindung einzelner Daten zu einer Person, die diese wertvoll machen. Weiß man, wie sich eine Person in bestimmten Situationen verhält oder welche Vorlieben sie zeigt, kann man auf ein Verhalten dieser Person in ähnlichen Situationen oder auf ähnliche Vorlieben schließen. So sind „statische“ schriftbasierte Angaben einer Person über sich selbst in vielen Konstellationen (z. B. Auswahlverfahren, Profilangaben in einem Netzwerk) in Hinblick auf das Kennlernen dieser Person in der Praxis oft weniger wert, als Daten, die diese Person in ihrem Verhalten in der Praxis zeigt.

Das Vertrauen auf vermeintlich aussagekräftige statische Daten, wie den Namen, um aus diesem z. B. auf kulturelle Vorlieben zu schließen, führt dagegen in einer globalisierten Welt zunehmend zu Fehlschlüssen. Die Pseudonymisierung von Daten widerspricht daher nur in seltenen Fällen wirtschaftlich effektiver Persönlichkeitsanalyse, was große Werbenetzwerke im Onlinebereich längst erkannt haben.

Datenschutzfreundliche Technologie als Wettbewerbsvorteil erkennen

Auch die im Privacy-by-Design-Ansatz angestrebte Verlagerung der Kontrolle vom Unternehmen hin zum Betroffenen sollten Unternehmen nicht fürchten. Zahlreiche Analyse-Apps (z. B. im Gesundheitsbereich) machen deutlich, dass Betroffene heute ein sehr großes Interesse daran haben, ihre Daten für Analyse- und Marketingzwecke freiwillig verfügbar zu machen. Je transparenter dabei das Verfahren für den Betroffenen ist, desto höher ist wohl seine Bereitschaft, auf Adblocker oder Ähnliches zu verzichten. Darüber hinaus haben bereits zahlreiche Unternehmen datenschutzfreundliche Technologie als wirksame Marketingstrategie erkannt.

Diese Entwicklung könnte darin münden, dass der Betroffene für Dienste bezahlt, deren Datenverarbeitung ausschließlich er selbst steuert. Ein aktuelles Beispiel ist das Projekt des „Workshops on Privacy in the Electronic Society“ mit dem Titel „UnLinked: Private Proximity-based Off-line OSN Interaction“. Ziel der Forscher war es, eine App zu entwickeln, mit der Nutzer des Netzwerkes LinkedIn offline unter Freigabe bestimmter Daten des eigenen Profils (z. B. Freunde, Unternehmensname) gegenüber einem Trustcenter Gemeinsamkeiten mit Personen feststellen können, die sich gerade in ihrer Nähe befinden. Die festgestellte Gemeinsamkeit konnte dann als Anknüpfungspunkt für ein Gespräch und / oder für die Verbindung in LinkedIn genutzt werden. Die Bereitstellung von Anonymisierungstechnik ermöglicht es hier, in datenschutzkonformer Weise einen Informationsabgleich durchzuführen, der sowohl für die Betroffenen als auch für das datensammelnde Netzwerk nützlich ist, jedoch ausschließlich von den Betroffenen kontrolliert wird.

Fazit: Einbindung des Betroffenen für mehr wirtschaftliche und rechtliche Sicherheit

Privacy by Design ist sowohl im geltenden als auch im künftigen Datenschutzrecht verankert. Ein Verstoß gegen das Gebot, möglichst datenschutzkonforme IT einzusetzen, ist nach künftigem Recht empfindlich sanktionierbar.

Unternehmen sollten jedoch nicht nur aus rechtlichen, sondern auch aus genuin wirtschaftlichen Gesichtspunkten auf datenschutzkonforme IT setzen. Denn da, wo der Betroffene über die Verwendung seiner Daten informiert ist und diese auch aktiv kontrollieren kann, ist mit seiner Akzeptanz und Einwilligungsbereitschaft zu rechnen. Intransparente, „monologische“ Datenverarbeitungen ohne Beteiligung des Betroffenen stärken dagegen das zunehmende Misstrauen der Bevölkerung in die Verarbeitung ihrer Daten.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geräteübergreifendes Tracking aus Sicht des Datenschutzes

Wenn ein Internetnutzer sich ein Produkt nicht nur auf dem Laptop, sondern auch auf dem Tablet oder dem Smartphone ansieht, ist das ein Problem für Analyse- und Werbedienste: Sie erhalten kein einheitliches Bild mehr vom Verhalten des Nutzers. Die Lösung ist das „Cross-Device-Tracking“, also Technologien, die eine geräteübergreifende Profilbildung des Nutzers ermöglichen. Was technisch mittlerweile möglich ist, muss deswegen aber noch lange nicht datenschutzkonform sein. Deshalb analysiert dieser Artikel zunächst die wesentlichen rechtlichen Gesichtspunkte von Nachverfolgungstechnik, um anschließend die datenschutzrechtliche Zulässigkeit unterschiedlicher Cross-Device-Tracking-Technologien zu besprechen.

Ausgangspunkt: Persönlichkeitsprofile im Marketing

Ziel moderner Online-Werbung ist es, Nutzer möglichst individualisiert anzusprechen. Denn je näher eine Werbung den Interessen eines Nutzers kommt, desto wahrscheinlicher ist es, dass dieser die eingeblendete Werbung beachtet, anklickt und sich sogar mit dem darin beworbenen Produkt näher auseinandersetzt. Die individualisierte Ansprache ist also der Türöffner für die weitere Kommunikation mit dem Nutzer im Netz.

Voraussetzung für individualisierte Werbung sind personenbezogene Daten. Daten also, die dem Verhalten oder dem Wesen eines einzigen Menschen zugeordnet werden können. Nach Ansicht der Datenschutzaufsichtsbehörden liegen personenbezogene Daten bereits dann vor, wenn durch In-Beziehung-Setzen einzelner zeitlich voneinander getrennter Verhaltensabläufe, die isoliert noch nichts Einzigartiges über eine Person besagen (z.B.: „Besuch der Webseite XY am 18.01.2016 um 10:15 Uhr“), auf eine identische Person geschlossen werden kann. Das In-Beziehung-Setzen einzelner Verhaltensabläufe einer Person in einem Verhaltensprofil ist in diesem Sinn mehr, als die Momentaufnahme eines einzelnen Verhaltensablaufes.

Folgendes analoges Beispiel soll dies verdeutlichen: Betrachte ich in der S-Bahn eine unbekannte Person, handelt es sich hier um eine Momentaufnahme. Begegne ich dieser Person später durch Zufall wieder, „kenne“ ich die Person zwar noch immer nicht (ihr Name, ihre Telefonnummer etc. sind mir weiterhin unbekannt), jedoch weiß ich, dass die Person wenige Stunden vorher in der S-Bahn unterwegs war. Ich habe somit (ungewollt) bereits ein kleines Profil der Person gebildet.

Tracking in bestimmten Grenzen zulässig

Erfolgt eine solche Profilbildung durch Einsatz automatisierter Nachverfolgungstechnik im Netz (Tracking), ist aus datenschutzrechtlicher Sicht im Zweifel von der Erhebung personenbezogener Daten auszugehen. Personenbezogene Daten liegen demzufolge dann vor, wenn es möglich ist, eine Person auf ihr Verhalten in der Vergangenheit gezielt anzusprechen. Dies ist auch dann möglich, wenn der Name oder andere eindeutige Identifikationsmerkmale der Person nicht bekannt sind, sie aber schon früher beobachtet wurde und man eben dieses weiß.

Im Gesetz ist nicht geregelt, welche Trackingtechnologien unter welchen Umständen angewandt werden dürfen. Geregelt ist dagegen insbesondere,

  1. dass nur Nutzungsdaten – z. B. Daten zum Klickverhalten auf einer Website – für eine Profilerstellung genutzt werden dürfen und
  2. dass diese Nutzungsdaten nur pseudonymisiert gesammelt und verarbeitet werden dürfen.

Eine Zusammenführung der Nutzungsdaten mit eindeutigen Identifikationsmerkmalen wie dem Namen oder der Telefonnummer ist somit nicht erlaubt. Da nach der Rechtsprechung des Bundesgerichtshofs (BGH) auch die dynamische IP-Adresse als personenbezogenes Datum einzuordnen sind – und in ihr insoweit ein „Datum über den Träger des Pseudonyms“ (§ 15 Abs. 3 TMG) gesehen werden kann – darf die ungekürzte IP-Adresse nicht in das Nutzungsprofil einfließen.

Eine Zusammenführung von eindeutigen Identifizierungsmerkmalen und Nutzungsdaten kann mit einem Bußgeld von bis zu 50.000 Euro bestraft werden. Grundsätzlich darf ferner nur Online-Verhalten, nicht jedoch Offline-Verhalten für die Erstellung der Nutzungsprofile erfasst werden.

In Rechtsprechung und Literatur ist nach wie vor ungeklärt, wie lange die erstellten Nutzungsprofile aufbewahrt werden dürfen und von wem sie eigenverantwortlich erstellt werden dürfen. Ist es nur dem Websitebetreiber erlaubt, Nutzungsprofile zu erstellen? Oder auch, wie es zumeist der Fall ist, einem Werbenetzwerk, dem der Websitebetreiber Zugang zu den Daten verschafft?

Geräteübergreifendes Tracking mit Vertrag – der Marketingvorteil sozialer Netzwerke & Konsumplattformen

Anbieter großer Werbenetzwerke wie Google und Facebook und große Konsumplattformen wie Amazon können im Gegensatz zu kleinen Websitebetreibern auf sehr viele detaillierte Profile zugreifen. Darüber hinaus haben sie einen ganz entscheidenden weiteren Vorteil: Sie stehen mit den vielen, wenn nicht sogar mit den meisten der Personen, die ihre Website oder eine Website ihrer Kooperationspartner besuchen, in einer vertraglichen Beziehung. Wer bei Amazon etwas kaufen möchte, muss zuvor ein Konto anlegen. Ebenso muss sich registrieren, wer sich bei Facebook mit seinen Freunden vernetzen oder aber über Google-Play eine App installieren möchte. Mit der Registrierung willigt der Nutzer darin ein, getrackt zu werden. So ist bei Amazon die Anmeldung nur möglich, wenn man den „Bestimmungen zu Cookies & Internet-Werbung“ zustimmt, in denen u.a. folgende Passage zu finden ist:

„Cookies werden von uns außerdem noch zu anderen Zwecken verwendet. Zum Beispiel können wir: […] Sie automatisch erkennen, wenn Sie sich auf unserer Website anmelden. Dadurch können wir Ihnen gezielte Produktempfehlungen geben, auf Sie individuell zugeschnittene Inhalte anzeigen, Sie als Prime-Kunden erkennen und Ihnen die Option „Bestellung mit 1-Click®“ sowie zahlreiche weitere Funktionen und Dienste anbieten.“

Da sich der Nutzer über alle Amazon-Applikationen und Websites mit dem gleichen Konto anmeldet, ist es für Amazon sehr leicht, Daten über die Nutzung seiner unterschiedlichen Dienste zusammenzuführen und auszuwerten. Dies gilt natürlich auch für das Cross-Device-Tracking, also die Erstellung eines Nutzungsprofils auf Basis von Daten unterschiedlicher Geräte. So können Daten, die über ein Log-In eines stationären Geräts in einem Cookie gespeichert werden, mit Daten zusammengeführt werden, die Tablet oder Smartphone derselben Person über eine Werbe-ID erfassen. Anschließend kann z. B. ausgewertet werden, welche Kategorie von Produkten die getrackte Person auf welchem Gerät kauft und über welchen Werbekanal sie zu welcher Zeit am besten erreichbar ist. Um den Nutzer schließlich zu bewerben, braucht dieser gar nicht mehr eingeloggt sein. Die Informationen zu ihm sind ja bereits auf seinem Betriebssystem in der Werbe-ID bzw. im Cookie gespeichert und können jederzeit ausgelesen werden.

Geräteübergreifendes Tracking ohne Vertrag

Der Predictive-Ansatz – Wahrscheinlichkeiten auf Basis vieler Daten

Schwierig wird das geräteübergreifende Tracking hingegen, wenn mit dem Nutzer keine vertragliche Beziehung und somit auch kein identifizierbares Nutzerkonto besteht.

Führen wir das obige Beispiel aus der analogen Welt fort: Möchte ich jemanden mit dem Beobachten der von mir mehrfach gesehenen Person beauftragen, muss dieser Jemand wissen, wie er die Person identifizieren kann. Die nächstliegende Methode wäre hier, möglichst genaue Informationen zu der Person zu übermitteln, damit gezielt nach einer Person Ausschau gehalten werden kann, die diesem Profil entspricht. Ein solches Profil könnte etwa wie folgt lauten: „Männliche Person mit heller Jeans, grauer Jacke und schwarzem Hut steigt morgens um 08:15 Uhr an der S-Bahnstation Heidelberger Platz in den ersten Wagen der S41“. Der Beobachter hätte so konkrete Anhaltspunkte und eine gewisse Wahrscheinlichkeit, die beschriebene Person am Folgetag in der S-Bahnstation anzutreffen.

Ganz ähnlich funktioniert das geräteübergreifende Tracking mit der „Probalistic-Predictive-Method“: Anhand von massenhaft gesammelter Daten zu Standort, technischen Eigenschaften und aufgerufenen Websites schaffen es Unternehmen wie Drawbridge, AdTruth und TapAd nach eigenen Aussagen, Auswertungen verschiedener Geräte einer einzigen Person zuzuordnen und so eine durchgehende Customer-Journey (also den Weg des Kunden auf verschiedenen Endgeräten) aufzuzeigen. Die Probalistic-Predictive-Method lässt sich auch mit der Log-In-Methode (Deterministic-Method) verbinden, indem einer Person, die bereits über ein Log-In identifiziert wurde, weitere (wahrscheinliche) Interessen zugeschrieben werden.

Die Silverpush-Technologie – wenn TV & Smartphone kommunizieren

Allein der Kontext eines durch den Nutzer aufgerufenen Mediums verrät oft schon viel über dessen (vermeintliche) Vorlieben. Entscheidet sich eine Person etwa dazu, eine bestimmte Fernsehsendung zu sehen, nimmt sie damit bestimmte Werbeeinblendungen in Kauf, von denen die Werbetreibenden annehmen, dass sie zur Sendung und dem durchschnittlichen Zuschauer passen. So ist es durchaus nicht unwahrscheinlich, dass sich eine Person, die ein FC Bayern München-Spiel im Fernsehen verfolgt und in der Werbepause einen Werbespot der Paulaner Brauerei anschaut (die favorisierte Biermarke des Vereins), sich für Bier interessiert und deswegen für die im Spot beworbene Marke zu gewinnen ist. Wäre es da nicht praktisch, wenn der Fernsehzuschauer noch während des Spiels zusätzliche Informationen zum Bier und ein dazu passendes Gewinnspiel auf seinem Smartphone erhielte?

Mit der Silverpush-Technologie ist das – aus technischer Sicht – kein Problem mehr, denn der Fernseher kann mit dem Smartphone des Fußballfans kommunizieren, das neben diesem auf dem Sofa liegt. Das TV-Gerät informiert das Smartphone (genauer gesagt: bestimmte Apps, in die die Silverpush-Technologie integriert ist) z. B. über den Werbeinhalt, über die Fernsehsendung und über technische Daten des Fernsehgeräts. Die App sendet diese Daten dann inklusive Daten zum Smartphones (z. B. MAC-Adresse, Geräte-ID, Telefonnummer) weiter an Silverpush.

Die Auswertung der Daten ermöglicht es u.a. festzustellen, wann der Fernsehzuschauer von einem Programm zum nächsten zappt oder aber aktiv auf dem Smartphone nach weiteren Informationen zum beworbenen Produkt sucht. Der Fernsehzuschauer erfährt hiervon gar nichts, da die Kommunikation zwischen Fernseher und Smartphone über hochfrequente, für das menschliche Ohr nicht wahrnehmbare Signale erfolgt. Diese Klangschnipsel, sogenannte Sound-Beacons, werden direkt in den Werbespot eingebettet.

Welches geräteübergreifende Tracking ist rechtskonform?

Ob eine Tracking-Methode zulässig ist, hängt zunächst davon ab, ob entweder eine gesetzliche Erlaubnis für die Datenverarbeitung besteht oder der Betroffene in die Datenverarbeitung eingewilligt hat. Für die Profilbildung mittels Nutzungsdaten sieht das Gesetz die bereits angesprochene Erlaubnis vor (§ 15 Abs. 3 TMG). Da im Falle des Trackings registrierter Nutzer jedoch in der Regel nicht nur Nutzungsdaten, sondern auch Bestandsdaten und Inhaltsdaten verarbeitet werden (und somit ein von den Aufsichtsbehörden so bezeichnetes „explizites Profil“ vorliegt) ist die Erlaubnisnorm hier nicht anwendbar; eine Einwilligung des Nutzers ist erforderlich.

Bei der Probalistic-Predictive-Method werden zwar nach Aussage der Anbieter lediglich statistische Daten verarbeitet. Da das Ziel der Datenverarbeitung jedoch – wie bei herkömmlichen Tracking-Verfahren – das Erstellen eines möglichst präzisen Persönlichkeitsprofils ist, sollte aus rechtlicher Sicht von der Verarbeitung personenbezogener Daten ausgegangen werden. Dies trifft allemal dann zu, wenn IP-Adressen verarbeitet werden.

Davon zu trennen ist die Frage nach der Kategorie der Daten: Werden ausschließlich Nutzungsdaten verarbeitet, also keine Bestands- und Inhaltsdaten, kann die Probalistic-Predictive-Method auf § 15 Abs. 3 TMG gestützt werden. Nach derzeitiger Rechtslage besteht hier allerdings das Problem, dass nicht klar ist, ob nur der jeweilige Websitebetreiber oder aber auch der Anbieter der Probalistic-Predictive-Technologie (hierbei kann es sich zum Beispiel um das Werbenetzwerk Adform handeln, das die AdTruth-Technologie nutzt) die Daten eigenverantwortlich verarbeiten darf. Fraglich ist auch, wie lange die erstellten Nutzungsprofile aufbewahrt werden dürfen.

In jedem Fall müsste der Nutzer gemäß § 13 Abs. 1 TMG über Art, Umfang und Zwecke der Erhebung und Verwendung seiner Daten sowie über die ggf. erfolgende Verarbeitung in Drittstaaten (= Staaten außerhalb des EU- bzw. EWR-Raums) und sein jederzeitiges Widerspruchsrecht aufgeklärt werden. Die Unterrichtung muss in allgemein verständlicher Form erfolgen. Neben diesen Hinweisen empfiehlt es sich, eine skriptbasierte Widerspruchsmöglichkeit (mit der Wirkung eines Cross-Screen-Opt-outs) in die Datenschutzerklärung einzubinden.

Die Informationspflicht resultiert aus dem datenschutzrechtlichen Transparenzprinzip. Die Anwendung dieses Prinzips soll den Betroffenen befähigen, gegen eine ggf. rechtswidrige Verarbeitung seiner Daten vorzugehen. Transparente Informationen über eine Datenverarbeitung ermöglichen so erst, dass der Betroffene sein grundrechtlich geschütztes Recht auf informationelle Selbstbestimmung wahrnehmen kann. Der Betroffene soll, so jedenfalls die Idee, Herr seiner Daten bleiben.

Dies ist beim aktuell praktizierten Einsatz der Silverpush-Sound-Beacon-Methode ganz offensichtlich nicht der Fall. Denn der Betroffene weiß hier gar nicht, dass eine Datenverarbeitung stattfindet. Ein rechtskonformer Einsatz von Sound-Beacons würde daher voraussetzen, dass der Nutzer in allgemein verständlicher Weise über den Einsatz der Technologie und über die übrigen in § 13 Abs. 1 TMG genannten Angaben informiert wird. Allerdings werden beim Einsatz von Silverpush ohnehin nicht nur Nutzungs-, sondern auch Bestands- und Inhaltsdaten (z. B. Telefonnummern) verarbeitet, weshalb der Einsatz der Technologie ohne aktive Einwilligung des Betroffenen nach europäischem Recht klar rechtswidrig ist.

Trotz fehlender Einwilligungsmöglichkeit ist die Technologie derzeit einer Stellungnahme des Center for Democracy and Technology (CDT) zufolge in sechs bis sieben Apps integriert, die wiederum auf 18 Millionen Smartphones installiert sind. Hier ist es nur folgerichtig, dass etwa das Antiviren-Unternehmen Avira die Notbremse zog, die Silverpush-Lösung als Trojaner klassifizierte und entsprechend blockiert. Die fehlende Rechtssicherheit verfügbarer Cross-Device-Methoden ist sicher auch ein Grund dafür, dass nach einer Studie des deutschen Werbenetzwerkes intelliAD gerade einmal 15 % der Verantwortlichen für Online-Marketing in Deutschland Cross-Device-Technologien nutzen.

Fazit: Datenschutz von Anfang an berücksichtigen

Aus Sicht werbetreibender Unternehmen bleibt zu hoffen, dass die Hersteller moderner Tracking-Technologien wie den Sound-Beacons in Zukunft von Anfang an das Datenschutzrecht beachten und von sich aus auf einen datenschutzkonformen Einsatz ihrer Technologie hinwirken. Andernfalls besteht die Gefahr, dass vielversprechende und kreative Technologien als nicht-einsatzfähig verworfen werden, weil etwa die Möglichkeit einer rechtskonformen und gleichzeitig userfreundlichen Einwilligung unberücksichtigt bleibt. Anders formuliert: Selten ist eine datenverarbeitende Technologie als solche rechtswidrig; auf ihren rechtskonformen Einsatz kommt es an!

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

ISO 27001 Zertifizierung von E-Mail-Marketing- und Lead Management-Anbieter SC-Networks [Best Practice]

E-Mail-Marketing und die (teil-)automatisierte Vertiefung von Kundenbeziehungen mit Inhalten (Lead-Management) erfordern aufgrund ihrer Komplexität ausgereifte technische Lösungen. Außerdem sollte bei solchen Angeboten als Software as a Service (SaaS) in besonderem Maße auf IT-Sicherheit und Datenschutz geachtet werden. So ist es etwa datenschutzrechtlich spätestens seit dem Ende von Safe Harbor schwierig, auf US-amerikanische Anbieter zu setzen. Stattdessen lohnt es sich, E-Mail-Marketing-Anbieter aus Deutschland in Erwägung zu ziehen. Einer davon ist die SC-Networks GmbH mit dem Produkt Evalanche. Bereits seit einigen Jahren ist ein Experte der activeMind AG bei SC-Networks als externer Datenschutzbeauftragter bestellt. Nun begleiteten wir das Unternehmen als externer IT-Sicherheitsbeauftragter auch zur erfolgreichen ISO 27001 Zertifizierung. SC-Networks Geschäftsführer Martin Philipp erklärt im Best Practice Interview, welche Anforderungen und Maßnahmen gemeinsam mit der activeMind AG umgesetzt werden konnten.

Welche besonderen Anforderungen hat SC-Networks an Datenschutz und Datensicherheit?

Grundsätzlich sind Datenschutz und IT-Sicherheit ja für jedes Unternehmen, das personenbezogene Daten verarbeitet, speichert und nutzt, äußerst relevante Aufgaben. Für unser Unternehmen gilt zusätzlich, dass beim E-Mail-Marketing und Lead-Management besonders sensible Daten erhoben werden. So kombinieren wir beispielsweise Nutzungsdaten und Identifikationsmerkmale der Kunden unserer Kunden. Hierfür gibt das Bundesdatenschutzgesetz (BDSG) sehr strenge Richtlinien vor.

Unsere größten Anliegen sind in der Folge der Schutz der Vertraulichkeit, Verfügbarkeit und Integrität dieser Daten, so dass unsere Kunden stets in Übereinstimmung mit dem Gesetz und bestmöglich gefeit vor Missbrauch der Daten sind. Zu den spätestens seit dem NSA-Skandal gestiegenen Sicherheitsansprüchen bei den Kunden kommen aktuelle Entwicklungen wie das Ende des Safe-Harbor-Abkommens und damit verbunden verstärkte Prüfungen durch die Datenschutz-Aufsichtsbehörden.

Generell sehen wir uns als Dienstleister in der Verantwortung, die Daten unserer Kunden mittels modernster Technologie und optimiertem Management zu schützen. Denn nur dann können unsere Kunden das auch ihren Kunden anbieten. Das sehr erfolgreiche Ergebnis ist Evalanche – eine datenschutzkonforme Software, die jedem Anwender umfangreiche Funktionalitäten und Konfigurationsmöglichkeiten für rechtssicheres E-Mail-Marketing und Lead-Management bietet.

Wenn IT-Sicherheit einen solchen Stellenwert in Ihrem Unternehmen hat, warum haben Sie die Implementierung der ISO 27001 Anforderungen nicht durch eigene Mitarbeiter realisiert, sondern extern beauftragt?

Wer IT-Sicherheit gewährleisten will, muss nicht nur über technologische Expertise verfügen, sondern auch viele rechtliche Vorgaben beachten. Da ist es durchaus schwer, den Überblick zu behalten, auch weil der Gesetzgeber etwa mit dem neuen IT-Sicherheitsgesetz nicht gerade zur Klarheit beiträgt.

Die Unterstützung durch einen professionellen Dienstleister lag also nahe. Die activeMind AG kennen wir als langjährigen Partner aus dem Bereich Datenschutz und konnten demnach gut einschätzen, was uns erwartet. Ein weiterer Vorteil ist, dass Datensicherheit und Datenschutz kaum zu trennen sind und ein Partner, der beides beherrscht, demzufolge die optimale Lösung darstellt. Außerdem ist SC-Networks so für die ab ca. 2018 zu erwartenden, strengeren gesetzlichen Regelungen der europäischen Datenschutz-Grundverordnung bestens gerüstet.

Welche konkreten IT-Sicherheits-Maßnahmen konnten Sie gemeinsam mit der activeMind AG umsetzen?

Wir lassen den TÜV alle datenschutz- und datensicherheitsrelevanten Unternehmensbereiche von SC-Networks – vom Rechenzentrum bis hin zu den einzelnen Mitarbeitern – prüfen. Um uns auf die Zertifizierung nach ISO/IEC 27001:2013 vorzubereiten, fanden zunächst mehrere interne Auditierungen statt. Hierbei erwies es sich aus unserer Perspektive als sehr hilfreich, dass Klaus Foitzick von der activeMind AG selbst berufener Auditor des TÜV ist und somit genau wusste, was zu tun war.

Es folgte die Umsetzung organisatorischer und technischer Maßnahmen, um alle Anforderungen der ISO 27001 zu erfüllen. Der Erfolg war dann unmittelbar sichtbar: Beim Zertifizierungs-Audit verzeichneten die Prüfer für SC-Networks keine einzige Abweichung von den Vorgaben für das Informationssicherheits-Managementsystem (ISMS).

Wie haben die Mitarbeiter und Kunden von SC-Networks auf die Zertifizierung reagiert?

Wir haben die ISO 27001-Zertifizierung über Pressemeldungen, Newsletter, unseren Corporate-Blog und soziale Netzwerke kommuniziert. Viele Erfahrungen flossen sogar direkt in ein E-Book zum rechtssicheren E-Mail-Marketing ein.

Das Feedback war natürlich durchweg positiv. Für unsere Kunden hat das ja auch nur Vorteile, weil hohe Verfügbarkeit unserer IT-Systeme, sichere Integrität aller betrieblichen Informationen und optimaler Schutz von vertraulichen Daten nun offiziell nachgewiesen wurden.

Die ISO 27001 bestätigt aber nicht nur die aktuelle Qualität und Sicherheit der IT-Systeme und Geschäftsprozesse, die wir unseren Kunden und Partnern zur Verfügung stellen. Sie gewährleistet darüber hinaus auch regelmäßige und fortlaufende Kontrollen durch den TÜV.

Würden Sie activeMind weiterempfehlen?

Unbedingt! Ich denke jedes Unternehmen kann vom umfassenden Know-how der Mitarbeiter von activeMind profitieren. Hier werden juristischer Sachverstand und technisches Wissen kombiniert. Man lernt also nicht nur was man tun muss, um dem Gesetz zu genügen, sondern auch noch wie das am besten geht. Ein weiterer Pluspunkt: Bei der activeMind AG hat man seinen ganz persönlichen Ansprechpartner, der nicht erst in einer Akte nachsehen muss, wer man überhaupt ist. Stattdessen kennt er das Unternehmen und seine speziellen Anforderungen an Datenschutz und Datensicherheit. Das ist für mich als Kunden sehr sympathisch!

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Schadensersatz & Datenschutz: Deutsches Recht vs. EU-Datenschutz-Grundverordnung

Fügt ein Unternehmen einer Person durch eine rechtswidrige Datenverarbeitung einen Schaden zu, hat diese Person in bestimmten Fällen Anspruch auf Schadensersatz. Doch welche Bedingungen müssen erfüllt sein, damit das datenschutzrechtliche Schadensersatzrecht greift? Und welches Unternehmen ist unter welchen Umständen für eine rechtswidrige Datenverarbeitung verantwortlich? Antworten auf diese Fragen finden Sie im folgenden Artikel. Dabei gehen wir auf das geltende Datenschutzrecht in Deutschland ebenso ein, wie auf die voraussichtlich 2018 in Kraft tretende europäische Datenschutz-Grundverordnung.

Bedingungen: Wann greift datenschutzrechtliches Schadensersatzrecht?

Bedingungen nach geltendem Datenschutzrecht

Maßgeblich für das Bestehen eines Schadensersatzanspruchs ist nach geltendem Recht zunächst,

  1. ob es sich um einen immateriellen Schaden oder um einen Vermögensschaden handelt und
  2. ob der Schaden durch eine EDV-unterstützte oder aber durch eine Papierdatenverarbeitung verursacht wurde.

Ein immaterieller Schaden ist derzeit nur gegenüber einer öffentlichen Stelle ersatzfähig (hierzu zählen auch öffentlich-rechtliche Wettbewerbsunternehmen) und dann auch nur, wenn er durch eine EDV-unterstützte Verarbeitung verursacht wurde.

Bei einem Vermögensschaden ist die Verarbeitungsform dagegen nicht relevant: Sowohl gegenüber öffentlichen als auch gegenüber nichtöffentlichen Unternehmen kann ein Betroffener hier den Schaden geltend machen.

Unerheblich ist in jedem Fall die Art der datenschutzrechtlichen Vorschrift, gegen die verstoßen wurde: Es kann sich um eine Regelung des Bundesdatenschutzgesetzes, eine Datenschutzvorschrift eines anderen Gesetzes oder aber um eine datenschutzrelevante Regelung einer Betriebsvereinbarung handeln. Im Bundesdatenschutzgesetz ist der Schadensersatz in den §§ 7 und 8 BDSG geregelt.

Bedingungen nach der Datenschutz-Grundverordnung

Der offensichtlichste Unterschied zu geltendem Recht ist, dass materielle und immaterielle Schäden gleichermaßen einen Schadensersatzanspruch begründen können.

Diese Aufwertung immaterieller Schäden dürfte den Schadensersatz im Datenschutzrecht erheblich bedeutsamer machen. Denn die meisten Schäden, die aus einer fehlerhaften Datenverarbeitung resultieren, beinhalten einen Eingriff in das Persönlichkeitsrecht und sind somit vornehmlich immaterieller Art.

Da die Datenschutz-Grundverordnung nicht mehr zwischen öffentlichen und nichtöffentlichen Unternehmen unterscheidet, bestehen auch in dieser Hinsicht keine Unterschiede mehr.

Schadensnachweis: Wann haftet ein Unternehmen?

Schadensnachweis nach geltendem Datenschutzrecht

Möchte der Betroffene nach geltendem Recht Schadensersatz gegenüber einem nichtöffentlichen Unternehmen geltend machen, muss er nachweisen, dass ein Schaden entstanden ist und ihm dieser durch eine rechtswidrige Datenverarbeitung des Unternehmens zugefügt wurde. Gelingt ihm das, wird dem Unternehmen unterstellt, dass es die Datenverarbeitung verschuldet hat. Der Betroffene braucht somit nicht auf die genauen Umstände der rechtswidrigen Datenverarbeitung im Unternehmen einzugehen. Dies ist vielmehr Aufgabe des Unternehmens, wenn es sich von der Schadensersatzpflicht befreien möchte. Das Unternehmen müsste dann nachweisen, dass der Schaden eingetreten ist, obwohl es stets sorgfältig gehandelt hat.

Anders ist dies, wenn der Schaden durch eine EDV-unterstützte Datenverarbeitung einer öffentlichen Stelle verursacht wurde. Hier ist die Stelle zum Schadensersatz verpflichtet – unabhängig davon, ob sie die rechtswidrige Verarbeitung zu vertreten hat oder nicht.

Mit den aus Unternehmenssicht insgesamt günstigen Nachweisregeln hat der deutsche Gesetzgeber den Umsetzungsspielraum der europäischen Datenschutzrichtlinie aus dem Jahr 1995 ausgenutzt. Denn die Richtlinie differenziert weder zwischen EDV-unterstützten- und Papier-Datenverarbeitungen, noch zwischen öffentlichen und nichtöffentlichen Stellen. Auch eine Einschränkung auf die Schadensart (immateriell bzw. materiell) ist der Richtlinie nicht zu entnehmen. Nach der Richtlinie sind zudem nicht nur solche Personen schadensersatzberechtigt, deren Daten verarbeitet wurden, sondern „jede Person, der wegen einer rechtswidrigen Verarbeitung […] ein Schaden entsteht“.

Schadensnachweis nach der Datenschutz-Grundverordnung

Da die Datenschutz-Grundverordnung im Gegensatz zur EU-Richtlinie den Mitgliedstaaten keinen Umsetzungsspielraum lässt, darf der deutsche Gesetzgeber hier keine Einschränkungen vornehmen.

Nach der Verordnung wird es für Unternehmen schwieriger sein, sich von der Haftung mit Verweis auf die eigene Sorgfalt zu befreien. Denn dies ist nach Artikel 77 der Grundverordnung nur noch dann möglich, wenn das Unternehmen jede Verantwortlichkeit für das den Schaden auslösende Ereignis von sich weisen kann. Vorstellbar wäre etwa höhere Gewalt oder ein rechts- oder vertragswidriges Verhalten des Betroffen.

Haftung: Wer ist für die rechtswidrige Verarbeitung verantwortlich?

Haftung nach geltendem Datenschutzrecht

Nach geltendem Datenschutzrecht haftet zunächst einmal die verantwortliche Stelle im Sinne von § 3 Abs. 7 BDSG. Nur ausnahmsweise kommt auch eine Haftung eines von der verantwortlichen Stelle beauftragten Datenverarbeiters infrage.

Der beauftragte Datenverarbeiter ist dann verantwortlich, wenn er die Daten eigenmächtig – entgegen den Weisungen des Auftraggebers – verarbeitet. Der Auftragnehmer wird dann aus datenschutzrechtlicher Sicht zu einer eigenen verantwortlichen Stelle; er verarbeitet die ihm anvertrauten Daten buchstäblich nicht mehr „im Auftrag“. Dies trifft auch dann zu, wenn der Auftragnehmer die Daten für eigene Zwecke verwendet.

Darüber hinaus haftet der Auftragnehmer, wenn er weiß, dass eine Weisung seines Auftraggebers rechtswidrig ist und er es unterlässt, den Auftraggeber darauf hinzuweisen.

Umstritten ist, ob der Auftragnehmer eine aus seiner Sicht rechtswidrige Datenverarbeitung aussetzen muss, wenn er den Auftraggeber auf die Rechtswidrigkeit hinweist, dieser aber an der Datenverarbeitung festhält. Nach der hier vertretenen Auffassung entsteht auf Seiten des Auftragnehmers in diesem Fall keine (haftungsbegründende) Verantwortlichkeit, da das Gesetz lediglich eine Hinweispflicht, nicht aber eine Unterlassungspflicht für den bundesdatenschutzrechtlich nicht-verantwortlichen Auftragnehmer vorsieht.

Haftung nach der Datenschutz-Grundverordnung

Die Beschränkung der Haftung auf die verantwortliche Stelle im Bundesdatenschutzgesetz birgt für den Geschädigten erhebliche praktische Probleme. Denn in vielen Fällen dürfte ihm unklar sein, wer für die Datenverarbeitung rechtlich die Verantwortung trägt; bekannt ist ihm oft nur die Stelle, die seine Daten erhoben und verarbeitet hat.

Die Grundverordnung versucht hier der Praxis gerecht zu werden, indem sie sowohl die verantwortliche Stelle (controller) als auch den Auftragnehmer (processor) als Haftende vorsieht. Ähnlich der derzeitigen Rechtslage ist der Auftragsdatenverarbeiter allerdings nur dann schadensersatzpflichtig, wenn er gegen eine in der Verordnung geregelte Auftragnehmerpflicht verstößt oder aber weisungswidrig handelt.

Neben der Haftung einer verantwortlichen Stelle oder eines Auftragnehmers kommt nach der Grundverordnung auch eine gesamtschuldnerische Haftung mehrerer Datenverarbeiter in Frage. Hier kann es sich, wie in der klassischen Auftragsdatenverarbeitung, um eine verantwortliche Stelle und einen oder mehrere Auftragnehmer handeln. Möglich ist aber gemäß Artikel 24 der Grundverordnung auch, dass es für eine Datenverarbeitung mehrere verantwortliche Stellen gibt (derzeit findet sich eine solche Regelung nur in den Landesdatenschutzgesetzen, die nur für Landesbehörden gelten).

Solche „Joint Controllers“ zeichnet aus, dass sie gemeinsam die Zwecke und Mittel der Datenverarbeitung festlegen. Gemeinsam verantwortliche Stellen sind verpflichtet, ihre jeweiligen Verantwortlichkeiten hinsichtlich der Datenverarbeitung aufzuteilen und vertraglich festzuhalten. Auch wenn somit grundsätzlich jede verantwortliche Stelle gleichermaßen gegenüber dem Betroffenen zum Schadensersatz verpflichtet ist, besteht zwischen den Joint Controllers, entsprechend der vertraglichen Aufgabenzuweisung, eine geteilte Verantwortung. Artikel 77 Abs. 5 der Verordnung räumt daher einem Unternehmen, das den vollen Schadensersatz geleistet hat, einen Rückgriff auf die übrigen verantwortlichen Stellen ein.

Vor welchem Gericht kann ein Schaden geltend gemacht werden?

Die „Europäisierung“ des Datenschutzrechts durch die Grundverordnung führt nicht dazu, dass der Betroffene zur Geltendmachung seines Schadensersatzrechts in ein anderes Land reisen muss. Dies stellt Artikel 75 Abs. 2 der Grundverordnung klar, wonach sowohl verantwortliche Stellen als auch Auftragsdatenverarbeiter entweder an deren Niederlassungsort oder am Aufenthaltsort des Betroffenen verklagt werden können. Zuständig sind – wie auch nach geltendem Recht – in Deutschland die Zivilgerichte, in Arbeitnehmer-Arbeitgeber-Streitigkeiten die Arbeitsgerichte. Von dieser Regelung ausgenommen ist nur nationales Behördenhandeln, hier muss der Betroffene vor das heimische Gericht der Behörde ziehen.

Fazit: Das Schadensersatzrecht wird bedeutsamer

Das Schadensersatzrecht ist – neben dem Recht auf Löschung, Sperrung und Berichtigung – das Wiedergutmachungsrecht des Betroffenen bei Datenschutzverstößen eines Unternehmens. Derzeit erweist sich das Recht für Unternehmen allerdings noch als harmlos. Mit der Möglichkeit, immaterielle Schäden auch gegenüber nichtöffentlichen Unternehmen geltend machen zu können, verschafft die Grundverordnung dem Schadensersatzrecht einen Bedeutungszuwachs, auf den sich Unternehmen frühzeitig einstellen sollten.

Die ausdrückliche Erlaubnis, die Verantwortung für eine Datenverarbeitung aufzuteilen, birgt für Unternehmen große Vorteile, bedarf allerdings einer sauberen vertraglichen Grundlage um entsprechend wirksam zu sein. Der erforderliche datenschutzrechtliche Sachverstand sollte frühzeitig hinzugezogen werden.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Die Datenschutzprüfung anhand des Standard-Datenschutzmodells

Das von den deutschen Aufsichtsbehörden entwickelte Standard-Datenschutzmodell (SDM) soll in vier Schritten zur selbsttätigen Prüfung und Verbesserung des Datenschutzes im Unternehmen befähigen: Auf die Kontextanalyse der Datenverarbeitung sowie eine rechtliche Bewertung der einzelnen Datenverarbeitungen folgt die Spezifizierung der Gewährleistungsziele, um anschließend einen Soll-Ist- bzw. Soll-Plan-Vergleich durchführen zu können. Im dritten Beitrag der activeMind Artikelserie erläutern wir Ihnen die erfolgreiche Anwendung des Standard-Datenschutzmodells inklusive aller notwendigen Prüfschritte.

1. Schritt: Kontextanalyse der Datenverarbeitung

Die Kontextanalyse dient dazu, die praktischen Umstände der Datenverarbeitung zu erfassen. Wichtig ist hier zunächst, die Personen zu ermitteln, die an der Datenverarbeitung beteiligt sind. Danach ist die interne und ggf. externe Verantwortlichkeit zu klären: Wer leitet das Verfahren? Welche Dienstleister sind an der Verarbeitung beteiligt und wie sind hier die Verantwortlichkeiten geregelt?

Anschließend muss die Rechtsgrundlage der Datenverarbeitung bestimmt werden. Hierbei kann es sich um ein vertragliches oder vertragsähnliches Verhältnis handeln oder aber um eine Einwilligung des Betroffenen.

Mit der Rechtsgrundlage eng verzahnt sind die Zwecke, also das Warum, der Datenverarbeitung. Auch diese sollten möglichst konkret definiert werden. Schließlich gilt es, die technische Infrastruktur, also das Wie, der Datenverarbeitung für die folgende rechtliche Prüfung festzuhalten.

Die Kontextanalyse der Datenverarbeitung dient vorwiegend der Dokumentation, um im nächsten Schritt die Rechtmäßigkeitsprüfung vornehmen zu können.

2. Schritt: Rechtliche Prüfung der Datenverarbeitungen

Die rechtliche Prüfung ist der zweite Vorbereitungsschritt zur eigentlichen Anwendung des Standard-Datenschutzmodells. Zunächst sollte geprüft werden, ob die in der vorangehenden Kontextanalyse definierten Zwecke rechtlich legitim sind.

Ein weiterer Prüfpunkt sind Datenübermittlungen: Welchen Personen bzw. Stellen dürfen personenbezogene Daten bekannt gemacht werden? Schließlich müssen die umgesetzten technischen und organisatorischen Maßnahmen rechtlich bewertet werden.

Die rechtliche Prüfung soll im Ergebnis die Frage beantworten, ob die vorgesehene Datenverarbeitung grundsätzlich zulässig ist bzw. welchen rechtlichen Anforderungen sie unterliegt.

3. Schritt: Spezifizierung der Gewährleistungsziele

Dieser Schritt ist der Hauptanwendungsschritt des Standard-Datenschutzmodells. In ihm geht es im Wesentlichen darum, eine über die grobe rechtliche Analyse hinausgehende Wertung der Datenverarbeitung zu erreichen, um anschließend Verbesserungsmaßnahmen entwickeln zu können. Hierzu müssen die im Standard-Datenschutzmodell definierten Gewährleistungsziele auf die einzelnen Datenverarbeitungen angewendet werden. Dabei sind sowohl qualitative Parameter (z. B. Bestimmung der Zugriffsberechtigten) als auch quantitative Parameter (z. B. Verfügbarkeitsanforderungen) anzulegen.

Der wohl wichtigste Schritt innerhalb der Spezifizierungsphase ist die Durchführung der sogenannten Schutzbedarfsanalyse einer Datenverarbeitung. Durch Zuordnung von Schutzbedarfskategorien („normal“, „hoch“ und „sehr hoch“) zu sogenannten Schadensszenarien, wird der Eingriff in das Persönlichkeitsrecht eines Betroffenen bewertet. Die Schutzbedarfsanalyse als Kern der Datenschutzprüfung lohnt einer genaueren Betrachtung:

Welche Schadensszenarien gibt es im Standard-Datenschutzmodell?

Das Datenschutzmodell sieht folgende sechs Schadensszenarien vor:

  1. Unrechtmäßige Datenverarbeitung (Verstoß gegen Gesetze / Vorschriften / Verträge),
  2. Beeinträchtigungen für informationelle Selbstbestimmung,
  3. Beeinträchtigungen des Ansehens und der Reputation des / der Betroffenen,
  4. Beeinträchtigungen der persönlichen Unversehrtheit des / der Betroffenen,
  5. Finanzielle Auswirkungen für den / die Betroffenen und
  6. Auswirkungen auf nicht unmittelbar Betroffene (Grundrechtsausübung).

Wie erfolgt die Zuordnung von Schutzbedarfskategorien zu Schadensszenarien?

Anschließend stellt sich die Frage, nach welchen Kriterien die Zuordnung der Schutzbedarfskategorien zu den Schadensszenarien erfolgen kann. Maßgeblich sind u. a. die Erwartungshaltung des Betroffenen hinsichtlich der Datenverarbeitung, die Möglichkeit zur Intervention des Betroffenen, die Tolerabilität der Datenverarbeitung und das (unmittelbare) Schadenspotential.

Was ist das Ergebnis der Zuordnung zu den Schadensszenarien?

Folgende Praxisfragen lassen sich mithilfe der Zuordnung von Schutzbedarfskategorien zu Schadensszenarien für eine konkrete Datenverarbeitung beantworten:

  • Für welchen Zeitraum ist der Verlust der Verfügbarkeit der Daten für die Betroffenen in welchem Grad tolerabel?
  • Mit welcher Verzögerung soll die Aktualität der Daten garantiert werden?
  • Mit welcher zeitlichen Präzision muss die Verarbeitung im Nachhinein nachvollzogen werden können?
  • In welchem zeitlichen Rahmen muss die verantwortliche Stelle in der Lage sein, die jeweiligen Betroffenenrechte zu gewähren?

Neben der Beantwortung solcher Praxisfragen erlaubt die Schutzbedarfsanalyse eine Abwägung zwischen den Persönlichkeitsinteressen des Betroffenen und dem Datenschutzaufwand des verantwortlichen Unternehmens. Auch lassen sich Restrisiken abschätzen, die aus der (nur begrenzten) Erfüllung eines Gewährleistungsziels resultieren.

4. Schritt: Soll-Ist- bzw. Soll-Plan-Vergleich

Den Abschluss der Prüfung auf Grundlage des Standard-Datenschutzmodells bildet ein Soll-Ist-Vergleich. Darin werden die von der verantwortlichen Stelle eingeleiteten oder sogar bereits umgesetzten Datenschutzmaßnahmen den Maßnahmen gegenüberstellt, die das SDM mit seinen Gewährleistungszielen und generischen Maßnahmen als optimale Umsetzung definiert. Der Soll-Ist-Vergleich ermöglicht es somit, die Weiterentwicklung des Datenschutzes im Detail umzusetzen.

Fazit: Ein solides, aber etwas sperriges Modell

Bei konsequenter Anwendung des Standard-Datenschutzmodells schafft dieses nicht nur Klarheit über den faktischen Stand des Datenschutzes im eigenen Unternehmen, sondern ermöglicht auch die Gewichtung einzelner (ggfs. noch zu ergreifender) Schutzmaßnahmen. Hierzu bieten die Schutzbedarfskategorien und die Schadensszenarien eine gute Hilfestellung.

Vor allem mit Blick auf den europäischen und internationalen Raum bleibt allerdings fraglich, ob sich das Standard-Datenschutzmodell in seiner teilweise starren und abstrakten Form in der datenschutzrechtlichen Praxis behaupten wird.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Die neue Vorratsdatenspeicherung: Was erwartet speicherpflichtige Unternehmen?

Der Deutsche Bundestag hat im Oktober 2015 gegen großen Widerstand von Datenschützern ein neues Gesetz zur Vorratsdatenspeicherung verabschiedet. Anbieter von Telefon- und Internetdiensten – nachfolgend: „verpflichtete Unternehmen“ – müssen spätestens ab 1. Juli 2017 sowohl Verbindungsdaten als auch Standortdaten von Nutzern für eine bestimmte Dauer speichern. Die Daten sollen von Behörden zur Aufklärung von Straftaten genutzt werden können. Auch wenn noch unklar ist, ob das Gesetz vor dem Bundesverfassungsgericht Bestand haben wird, sollten speicherpflichtige Unternehmen frühzeitig aktiv werden, um keine Bußgelder zu riskieren. Die wichtigsten Punkte zum neuen Gesetz haben wir nachfolgend für Sie zusammengefasst.

Welche Unternehmen sind von der Vorratsdatenspeicherung betroffen?

Dem Gesetzeswortlaut zufolge müssen ausschließlich „Erbringer öffentlich zugänglicher Telefondienste“ sowie „Erbringer öffentlich zugänglicher Internetzugangsdienste“ auf Vorrat speichern. Erbringer zeichnen sich dadurch aus, dass sie ihren Kunden dauerhaft einen eigenen Telekommunikationsanschluss zur Verfügung stellen. Dies betrifft der Gesetzesbegründung zufolge bundesweit ca. 1.000 Unternehmen.

Nicht betroffen von der Vorratsdatenspeicherung sind Hotels, Restaurants, Cafés u. a., da diese ihren Gästen nur einen kurzweiligen Zugang zu Internet und / oder Telefon ermöglichen. Ebenfalls aus dem Raster fallen unternehmensinterne Netze, da diese – z.B. im Gegensatz zu Anbietern eines öffentlichen WLANs – nicht öffentlich zugänglich sind.

Auf Vorrat speichern müssen somit nur Anbieter, die ihren Kunden einen Telefon- bzw. Internet-Anschluss zur zeitlich unbestimmten und selbstständigen Nutzung bereitstellen.

Die wichtigsten Regelungen zur Vorratsdatenspeicherung

Zwei Datenkategorien sind von der Vorratsdatenspeicherung betroffen: Verbindungsdaten und Standortdaten.

Zu den Verbindungsdaten zählen unter anderem die Rufnummer des Anrufenden und des angerufenen Anschlusses, das Datum und die Urzeit von Beginn und Ende der Verbindung sowie Angaben zum genutzten Telekommunikationsdienst. Darüber hinaus müssen im Falle von Mobilfunkkommunikation die internationalen Kennungen der an der Kommunikation beteiligten Geräte bzw. Anschlüsse gespeichert werden. Handelt es sich um einen Prepaid-Dienst, muss zudem das Aktivierungsdatum dokumentiert werden. Wird Internet-Telefonie wie zum Beispiel Skype genutzt, müssen ferner die IP-Adressen und die Benutzerkennungen der Gesprächspartner gespeichert werden.

Die gleichen Regelungen gelten für den SMS- bzw. MMS-Versand, wobei hier der Versand- und der Empfangszeitpunkt vorzuhalten sind. Wird ein Internetdienst genutzt (z. B. ein öffentliches WLAN), muss der Anbieter die IP-Adresse, die Anschluss- und Benutzerkennungen sowie Datum und Uhrzeit von Beginn und Ende der Internetnutzung speichern. Von der Vorratsdatenspeicherung ausgenommen sind – im Gegensatz zur früheren Gesetzesversion von 2007 – Daten zur E-Mailkommunikation.

Neben den Verbindungsdaten verlangt das Gesetz das Speichern von Standortdaten, wenn ein mobiler Telefondienst oder ein öffentlich zugänglicher Internetzugangsdienst genutzt werden. Hier müssen die Funkzellen des Anrufers und des Angerufenen bzw. des Internetnutzers bei Beginn der Verbindung gespeichert werden. Hinzu kommen Angaben über die die Funkzelle versorgenden Funkantennen.

Nicht gespeichert werden dürfen Daten von Berufsgeheimnisträgern (z. B. Ärzte und Rechtsanwälte) oder aber von Stellen, die bei Kommunikationspartnern entsprechende Vertraulichkeitserwartungen begründen (z. B. aus dem kirchlichen oder sozialen Bereich). Derzeit ist jedoch weitgehend unklar, wie diese negative Pflicht, eine solche Speicherung zu unterlassen, praktisch realisiert werden kann.

Im Gegensatz zu bereits bestehenden Regelungen fordert das neue Gesetz keine anlassbezogene sondern eine anlassfreie Speicherung von Daten. Die Speicherungspflicht setzt also keine behördliche Anordnung voraus, sondern muss qua Gesetz umgesetzt werden. Wichtig ist, dass die Speicherfristen eingehalten werden: Verbindungsdaten müssen zehn Wochen, Standortdaten vier Wochen lang gespeichert werden.

Die gespeicherten Daten müssen unverzüglich, spätestens jedoch binnen einer Woche nach Ablauf der jeweiligen Frist irreversibel gelöscht werden.

Der starke Grundrechtseingriff der Vorratsdatenspeicherung erfordert besondere Sicherheitsmaßnahmen. Hierzu zählt der Einsatz besonders sicherer Verschlüsselungstechniken, die Verwendung gesonderter Speicher, ein hoher Schutz vor dem Internetzugriff auf vom Internet entkoppelte Datenverarbeitungssysteme, die Beschränkung des Zutritts zu den Datenverarbeitungsanlagen auf besonders ermächtigte Personen und die Mitwirkung von mindestens zwei Personen beim Datenzugriff.

Die Sicherheitsanforderungen müssen dem Gesetz zufolge stets dem Stand der Technik entsprechen, weshalb einmal umgesetzte Maßnahmen regelmäßig überprüft und ggf. einem neuen Standard angepasst werden müssen. Der erste Anforderungsstandard muss von der Bundesnetzagentur bis zum 1. Januar 2017 erstellt worden sein.

Keine gesonderten Sicherheitsbestimmungen gelten dagegen für die Behörden, die die Daten anfordern.

Grundsätzlich müssen die speicherverpflichteten Unternehmen die Kosten tragen, die die Umsetzung der neuen Regelungen in die unternehmerische Praxis zur Folge hat. Kostenintensiv dürfte in erster die Linie das Schaffen einer ausreichenden Sicherheitsinfrastruktur sein. Da die Sicherheitsmaßnahmen stets dem Stand der Technik gemäß aktuell gehalten werden müssen, ist hier auch mit dauerhaften Kosten zu rechnen.

Nur für den Fall, dass die Umsetzung für das verpflichtete Unternehmen eine „unbillige Härte“ beinhaltet, ist eine angemessene Entschädigung auf Basis eines Beschlusses der Bundesnetzagentur möglich.

Weitere Kosten können auch aus der Überprüfung durch eine unabhängige Stelle oder nationale Behörde folgen.

Den Aufwand der Bereitstellung der Daten gegenüber den anfragenden Behörden kann sich das Unternehmen dagegen erstatten lassen. Im Justizvergütungs- und -Entschädigungsgesetz (JVEG) wurden hierzu verschiedene Pauschalen in Höhe von acht bis 1.120 Euro festgelegt. Diese Kosten trägt somit der Steuerzahler.

Das Gesetz zur Vorratsdatenspeicherung erlaubt zunächst Übermittlungen an Strafverfolgungs- und Gefahrenabwehrbehörden der Länder. Wenn diese die Herausgabe von Vorratsdaten verlangen, muss das verpflichtete Unternehmen diese Daten – mit Ausnahme von Daten zu Berufsgeheimnisträgern – herausgeben. Einer richterlichen Anordnung bedarf es nicht. Die Behörden müssen lediglich auf eine gesetzliche Bestimmung verweisen, die ihnen die Datenübermittlung gestattet. Somit muss das verpflichtete Unternehmen nur prüfen (lassen), ob die genannte Vorschrift tatsächlich eine Datenübermittlung rechtfertigt.

Auch an Verfassungsschutzbehörden des Bundes und der Länder, an den Militärischen Abschirmdienst und an den Bundesnachrichtendienst müssen unter bestimmten rechtlichen Voraussetzungen Daten übermittelt werden. Hier gilt allerdings der Richtervorbehalt. Die Anfrage muss in diesem Fall zudem grundsätzlich in Textform erfolgen. Sämtliche Zugriffe auf die Daten müssen protokolliert werden; die Protokolle sind ein Jahr lang aufzubewahren.

Die besonderen Sicherheitsmaßnahmen müssen im allgemeinen Sicherheitskonzept des verpflichteten Unternehmens dokumentiert werden. Daneben sind die Systeme, mit denen die Vorratsdatenspeicherung betrieben wird, zu benennen. Aus der Beschreibung muss auch deutlich werden, welche Gefahren von den Systemen ausgehen und inwieweit die getroffenen Maßnahmen den Gefahren gerecht werden. Das Konzept muss der Bundesnetzagentur unverzüglich nach Beginn der Vorratsdatenspeicherung und unverzüglich bei jeder Änderung des Konzepts vorgelegt werden. Erfolgen keine Änderungen am Konzept, muss dies der Bundesnetzagentur alle zwei Jahre schriftlich erklärt werden.

Die Bundesnetzagentur kann zudem eine Überprüfung der im Unternehmen getroffenen Sicherheitsmaßnahmen durch eine qualifizierte unabhängige Stelle oder eine zuständige nationale Behörde anordnen. Im Anschluss muss das verpflichtete Unternehmen eine Kopie des Überprüfungsberichts an die Bundesnetzagentur übermitteln.

Das Gesetz zur Vorratsdatenspeicherung ist ein sogenanntes Änderungsgesetz: Es verlangt Anpassungen bereits bestehender Gesetze. Die wichtigsten angepassten Gesetze sind die Strafprozessordnung (geänderte Normen: § 100g, § 101a und § 101b) und das Telekommunikationsgesetz (§§ 113a-113g). Darüber hinaus wurden Änderungen im Einführungsgesetz zur Strafprozessänderung, im Justizvergütungs- und Entschädigungsgesetz und im Strafgesetzbuch (hier: Einführung einer Regelung zur Datenhehlerei) vorgenommen.

Insbesondere die Änderungen in der Strafprozessordnung und im Telekommunikationsgesetz stehen im Konflikt mit Artikel 10 Grundgesetz, der das Fernmeldegeheimnis schützt. Die Oppositionsparteien im Deutschen Bundestag und die FDP haben daher bereits Klage vor dem Bundesverfassungsgericht angekündigt.

Fazit: Vorratsdatenspeicherung erfordert strategisches Vorgehen

Die neuen Regelungen zur Vorratsdatenspeicherung stehen im Spannungsfeld zwischen gewünschter effektiver Strafverfolgung und Datenschutz. Eine rechtskonforme Speicherung setzt voraus, dass die Daten ausreichend sicher gespeichert und nur an berechtigte Stellen herausgegeben werden. Die speicherpflichtigen Unternehmen sollten frühzeitig eine kostenschonende und nachhaltige Strategie für die Umsetzung der Vorratsdatenspeicherung entwickeln bzw. entwickeln lassen. Diese Strategie sollte auch ein eventuelles Scheitern der Speicherpflicht vor dem Bundesverfassungsgericht berücksichtigen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Unternehmen im datenschutzrechtlichen Würgegriff der US-Behörden

Wie stark nutzen US-amerikanische Behörden eigentlich ihr Recht, personenbezogene Daten von Unternehmen zu kontrollieren? Angesichts der spektakulären Entscheidung des Europäischen Gerichtshofs (EuGH), den Datentransfer in die USA auf Grundlage des Safe-Harbor-Abkommens für unwirksam zu erklären, gewinnt diese Frage neue Brisanz. Immerhin führte das Gericht die massenhaften und unkontrollierten Überprüfungsaktivitäten US-amerikanischer Behörden als wichtiges Argument an. Denn dies sei nicht mit den datenschutzrechtlichen Regelungen der EU vereinbar, so der EuGH. Wie aktuelle Veröffentlichungen zeigen, lag der Gerichtshof mit seiner Urteils-Begründung noch näher an der Realität, als zu befürchten war.

Überwachung mittels Patriot Act (jetzt Freedom Act)

Nach den Anschlägen vom 11. September 2001 erlaubte der USA Patriot Act (mittlerweile durch den USA Freedom ACT abgelöst) amerikanischen Behörden von Unternehmen Informationen einzuholen, die von nationalem Interesse für die USA sein könnten. Dies betraf auch Informationen über Personen außerhalb der USA, da die Vereinigten Staaten in diesem Zusammenhang das Territorialprinzip nicht anerkennen.

Das Zugriffrecht auf diese Informationen konnten Behörden unabhängig ausüben, also ohne dass eine weitere, z. B. richterliche Prüfung vorgesehen war. Im Rahmen des Safe-Harbor-Urteils des EuGHs wurde unter anderem dieser Umstand als unverhältnismäßig gerügt, da damit eine vorbehaltlose und unkontrollierte Überprüfung von personenbezogenen Daten ohne jeglichen Zweckvorbehalt Tür und Tor geöffnet wurde. Die Richter des EuGHs sollten Recht behalten.

Datenüberwachung per „National Security Letter“

Inzwischen hat sich herausgestellt, dass US-amerikanische Behörden für ihre Überwachungsaktivitäten massenhaft sogenannte „National Security Letter“ (NSL) verschickt haben. Mittels dieser brieflichen Anordnungen werden Unternehmen zu Auskünften über ihre Kunden gezwungen. Selbst ein Konzern wie Microsoft scheiterte damit, gerichtlich gegen die Anordnungen vorzugehen, obwohl man mit der Unrechtmäßigkeit einer solchen Verfügung argumentierte.

Besonders heikel ist an den NSL, dass die betroffenen Unternehmen ihre Kunden über diese Anordnung nicht in Kenntnis setzen dürfen. Deshalb setzte sich im englischsprachigen Raum schnell die Bezeichnung „Gag Order“ – zu Deutsch etwa „Würge-Anordnung“ – durch.

Was fragt ein „National Security Letter“ alles ab?

Für die europäische Öffentlichkeit ist es besonders interessant, dass nun nach jahrelangem Rechtsstreit in den USA ein solcher „National Security Letter“ an einen kleinen Internet-Service-Provider veröffentlicht werden durfte. Der Inhalt des NSL macht die Ausmaße der Überwachung deutlich, denn angefragt wurden in diesem beispielhaften Fall äußerst umfassende Daten:

  • DSL-Account Informationen;
  • Radius Protokolle;
  • Teilnehmername und die dazugehörigen Teilnehmerinformationen;
  • Kontonummer;
  • Datum, an dem das Konto geöffnet oder geschlossen wurde;
  • Adressen im Zusammenhang mit dem Konto;
  • Teilnehmer-Telefonnummern (tags/abends);
  • Kontonamen oder andere Online-Namen im Zusammenhang mit dem Konto;
  • Bestellformulare;
  • Aufzeichnungen über Bestellungen und Versandinformationen der letzten 180 Tage;
  • alle Rechnungen in Bezug auf das Konto;
  • Internet Service Provider (ISP);
  • Alle E-Mail-Adressen verknüpft mit (IP)-Adressen des Kontos;
  • Alle Webseiteninformationen zu dem Konto;
  • Web Adressen (URL) des Kontos;

und, nicht zu vernachlässigen:

  • alle sonstigen Informationen, von denen der Provider glaubte, dass es sich um eine elektronische Kommunikation handelt.

An dieser Stelle sollte nicht unerwähnt belieben, dass der veröffentlichte NSL auf das Jahr 2004 datiert ist. Es entzieht sich jeglicher Kenntnis, was mittlerweile darüber hinaus noch alles abgefragt wird. Bekannt ist nur, dass allein zwischen 2003 und 2005 ca. 140.000 solcher Briefe verschickt wurden.

Fazit: Quo vadis internationaler Datenverkehr?

Natürlich handelt es sich bei den angeforderten Informationen ausschließlich um personenbezogene Daten. Nach EU-Regelungen und auch nach dem Verständnis des Bundesdatenschutzgesetzes (BDSG) dürfen solche Daten aber nur zweckbezogen verarbeitet werden und der Vorgang muss insgesamt verhältnismäßig sein. Zusätzlich steht die Erlaubnis, die personenbezogenen Daten einer Person (ohne deren Einwilligung) einzusehen, unter dem Vorbehalt einer richterlichen Prüfung.

Unter anderem wegen des Ausmaßes und der Unkontrollierbarkeit der Dateneinsicht kippte der EuGH die Regelungen zu Safe Harbor. Der veröffentlichte NSL zeigt auf, welche Arten von Daten US-amerikanische Behörden anfragen. Angesichts der schieren Menge – sowohl der Daten, als auch der versandten NSL – liegt der EuGH mit seinem Urteil über das Safe-Harbor-Abkommen sicher richtig.

Derzeit bemüht sich die Europäische Kommission um ein erneuertes Abkommen mit den USA, um den Datentransfer in die Vereinigten Staaten zu ermöglichen. Nach letzten Aussagen von EU-Justizkommissarin Věra Jourová soll der neue Beschluss noch im Januar 2016 verabschiedet werden. Dabei bleibt aus europäischer Datenschutz-Perspektive zu hoffen, dass die Erkenntnisse rund um die NSL bei den Verhandlungen berücksichtigt werden.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Vom Patriot Act zum Freedom Act: Datenschutz in den USA

Am 2. Juni 2015 einigte sich der US-Senat auf den Freedom Act, eine gesetzliche Regelung, die Teile des abgelaufenen Patriot Acts ablöst. Die Neufassung unter anderem der Teile, die die Telekommunikationsdaten und ihre Überwachung betreffen, war notwendig geworden, um der amerikanischen Öffentlichkeit nach den Enthüllungen Edward Snowdens das Vertrauen in ihre Behörden wiederzugeben. Gemäß dem Freedom Act dürfen amerikanische Behörden (z. B. die NSA) nicht mehr massenhaft Daten von Betroffenen sammeln. Vor dem Hintergrund der vernichtenden Entscheidung des EuGH über das Safe-Harbor-Abkommen stellt sich nun für Unternehmen die Frage, ob durch den Freedom Act der internationale Datentransfer zwischen EU-Staaten und den USA ermöglicht, bzw. erleichtert wird?

Was regelte der Patriot Act?

Der Patriot Act betraf unter anderem das Sammeln, Speichern und Auswerten von Telekommunikationsdaten. So durften beispielsweise die Länge eines Gesprächs, der Standort, der Name, die Adresse und die Rechnungen des Teilnehmers gespeichert und ausgewertet werden. Einmal gespeicherte Daten dieser Teilnehmer standen amerikanischen Behörden zur freien Verfügung.

Nach deutschem und europäischem Recht handelt es sich bei diesen Daten aber um personenbezogenen Daten, die dem Datenschutz unterfallen. Eine Verarbeitung solcher Daten darf zumindest in Deutschland nur erfolgen, falls der Betroffene der Verarbeitung zugestimmt hat oder eine gesetzliche Grundlage für die Verarbeitung vorliegt. Außerdem muss das Land, das die Daten verarbeitet, ein Datenschutzniveau erfüllen, das dem der EU entspricht. Letzteres wurde für Unternehmen in den USA, die dem Safe-Harbor-Abkommen beigetreten waren, als erfüllt angesehen. Genau diese Abkommen kippte jedoch kürzlich der Europäische Gerichtshof (EuGH) aufgrund mangelnden Schutzes vor behördlichen Eingriffen auf personenbezogene Daten und machte damit einen Datentransfer in die USA unmöglich.

Datenschutzrelevante Änderungen des USA Freedom Act

Es stellt sich also die Frage, ob der USA Freedom Act (die Abkürzung steht für: Uniting and Strengthening America by Fulfilling Rights and Ensuring Effective Discipline Over Monitoring Act) die Daten von Telekommunikationsteilnehmern nun besser schützt. Falls ja, ließe sich so das notwendige Datenschutzniveau unter Umständen bejahen und ein neues Safe-Harbor-Abkommen wäre obsolet oder zumindest leichter zu verhandeln. Aber weit gefehlt: Der Freedom Act beinhaltet zwar Änderungen, jedoch sind diese nicht in der Lage das Datenschutzniveau auf ein akzeptables Level anzuheben.

Dabei liest sich der Freedom Act aus europäischer Datenschutzperspektive zunächst gut. Amerikanische Behörden dürfen Telekommunikationsdaten nicht mehr selber speichern und haben keinen direkten Zugriff mehr darauf. Bei genauerer Prüfung trübt sich das Bild jedoch sofort wieder: Telekommunikationsdaten werden unter dem Freedom Act zukünftig bei Telekommunikationsanbietern gespeichert und können auf Verlangen auch an amerikanische Behörden weitergegeben werden. Zwar müssen amerikanische Behörden zumindest einen Verdachtsfall vortragen, etwa, dass der Betroffene eine potentielle Gefahr darstellen könnte. Aber abgesehen davon steht einer massenhaften Überwachung und Auswertung von Telekommunikationsdaten nichts im Wege. Daran vermag auch der Umweg über den Anbieter nichts zu ändern.

Ein Schritt in Richtung Datenschutz – aber nur einer

Die Änderungen durch den Freedom Act sind auf jeden Fall als ein Schritt in die richtige Richtung zu werten. Aber datenschutzrechtlich und in Bezug auf die gefallene Safe-Harbor-Regelung machen die Änderungen kaum einen Unterschied. Die Kritik an Safe Harbor bezog sich eben gerade auf das massenhafte Speichern und Verarbeiten von Daten, ohne dass eine Zweckbindung für die Verarbeitung vorlag oder dass Betroffene irgendwelche Rechte gegen eine willkürliche Verarbeitung geltend machen konnten. Der Freedom Act hilft dem leider nicht ab. Das Safe-Harbor-Dilemma ist demnach nicht gelöst.

USA Freedom Act vs. Vorratsdatenspeicherung in Deutschland

Insgesamt fällt eine gewisse Ähnlichkeit des Freedom Acts zur gerade verabschiedeten Vorratsdatenspeicherung in Deutschland auf. Man könnte sogar sagen, die Unterschiede zu den Regelungen im Freedom Act sind marginal. Die neue Vorratsdatenspeicherung erlaubt den deutschen Telekommunikationsanbietern Verbindungsdaten zu speichern. Behörden können durch richterliche Anweisung diese Daten dann ebenfalls einsehen und auswerten. Lediglich der richterliche Prüfungsvorbehalt, die Aufbewahrungsdauer der Daten und bestehende Rechtsmittel sind hier das Zünglein an der Waage. Es bleibt daher abzuwarten, ob die Vorratsdatenspeicherung in diesem Lichte einer rechtlichen Überprüfung standhält. Im Jahr 2010 war ihr das vor dem Bundesverfassungsgericht nicht gelungen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Safe Harbor: Das Datenschutzabkommen und sein Ende

Safe Harbor war ein Datenschutzabkommen zwischen den USA und der EU. Es ermöglichte den internationalen Datentransfer in die USA als sogenanntes Drittland. Das Safe-Harbor-Abkommen wurde 2015 durch ein Urteil des Europäischen Gerichtshofs (EuGH) für ungültig erklärt.

Hintergrund: Was war Safe Harbor?

Seit dem 26. Juli 2000 bestand eine Vereinbarung zwischen der EU und dem Handelsministerium der USA (Department of Commerce) zu den Grundsätzen des sog. „sicheren Hafens“ (Safe Harbor). Diese Vereinbarung sollte ein angemessenes Datenschutzniveau bei US-amerikanischen Unternehmen sicherstellen, indem sich Unternehmen auf die im Safe-Harbor-Abkommen vorgegebenen Grundsätze verpflichteten.

Zweck von Safe Harbor war es, dass personenbezogene Daten legal in die USA übermittelt werden konnten. Ausgangspunkt für diese Vereinbarung bildeten die Vorschriften der Art. 25 und 26 der europäischen Datenschutzrichtlinie (mittlerweile abgelöst durch die DSGVO), nach denen ein Datentransfer in Drittstaaten verboten war, die nicht über ein dem EU-Recht vergleichbares Datenschutzniveau verfügten. Hiervon waren auch die USA betroffen, da es dort keine dem europäischen Standard entsprechende Regelungen zum Datenschutz gab.

Um den Datenaustausch zwischen der EU und einem ihrer wichtigsten Handelspartner nicht zum Erliegen zu bringen, wurde deshalb nach einem Weg gesucht, wie ein Datentransfer in die USA ermöglicht werden konnte, obwohl dort kein dem Niveau der EU vergleichbarer Datenschutzstandard vorlag. Zur Überbrückung dieser Systemunterschiede wurde das Safe-Harbor-Modell entwickelt. Nachdem das US-Handelsministerium am 21. Juli 2000 gewisse Prinzipien im Bereich Datenschutz festgelegt hatte, erließ die Europäische Kommission am 26. Oktober 2000 eine Entscheidung, nach der in den USA tätige Organisationen über ein angemessenes Datenschutzniveau verfügen, wenn sie sich gegenüber der Federal Trade Commission (FTC) öffentlich und unmissverständlich zur Einhaltung dieser der Prinzipien verpflichteten.

Auch wenn der Beitritt freiwillig erfolgte, waren die Unternehmen danach verpflichtet, sich an die Grundsätze des Safe Harbor zu halten und mussten dies der FTC jährlich mitteilen. Im Fall, dass ein Unternehmen gegen diese Grundsätze verstieß, konnte die FTC entsprechende Maßnahmen ergreifen, wie etwa die Datenverarbeitung zu stoppen oder Sanktionen zu verhängen.

Vernichtendes Urteil des EuGH

Schon lange vor dem Urteil wurde hinter vorgehaltener Hand darüber spekuliert, mit dem Urteil des EuGH vom 6. Oktober 2015 wurde es wahr: Das Safe-Harbor-Abkommen zwischen der EU-Kommission und den USA wurde für unwirksam erklärt .

In seinem Urteil bezog sich der EuGH im Kern auf die Offenlegungen und Folgen des NSA-Skandals. Durch den Skandal wurde bekannt, dass von US-Stellen mehr oder weniger vorbehaltlos und massenhaft persönliche Daten aus allen möglichen Quellen gespeichert und ausgewertet werden konnten. Hiergegen bestanden noch nicht einmal angemessene Rechtsschutzmöglichkeiten. Der Gerichtshof stellte klar, dass damit ein dem Niveau der EU vergleichbares Datenschutzniveau in den USA nicht gegeben war. Das Recht auf informationelle Selbstbestimmung wurde nicht gewahrt – sondern sogar de facto verletzt.

Damit konnte ab dem Zeitpunkt des Urteils für einen Datenaustausch mit den USA nicht mehr auf Safe Harbor zurückgegriffen werden. Das betraf ca. 4.000 in den USA ansässige Unternehmen, die unter dem Safe-Harbor-Abkommen Daten von EU-Bürgern in die USA transferierten.

Nachfolger von Safe Harbor: EU-U.S. Privacy Shield

Nach dem Aus von Safe Harbor wurde das sog. EU-U.S. Privacy Shield als Mechanismus für eine Datenübertragung in die USA geschaffen. Im Kern ist dieses „Schutzschild“ den Regelungen des Safe-Harbor-Abkommens nachempfunden und deshalb bei Datenschützern von Anfang an umstritten.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.