Medizinischer Datenschutz bei iPrax Systems [Best Practice]

Unternehmen, die im Gesundheitssektor aktiv sind, können sich derzeit über zwei sehr interessante Megatrends freuen: Zum einen ermöglicht die Individualisierung medizinischer Bedürfnisse und gesundheitlicher Vorsorge eine Vielzahl neuer Geschäftsmodelle. Zum anderen hilft die Digitalisierung dabei, Interessierte immer gezielter anzusprechen und Kunden – Patienten ebenso wie Ärzte und Therapeuten – jederzeit mit passenden Dienstleistungen zu versorgen. Eine besonders große Herausforderung stellt jedoch der Datenschutz im medizinischen Bereich dar. Denn Daten über Diagnosen von Ärzten, Medikamente und Therapien sind besonders sensibel. Warum es sich für Gesundheitsunternehmen daher besonders lohnt, einen externen Datenschutzbeauftragten beratend hinzuzuziehen, erklärt Dirk Becker, Geschäftsführer von iPrax Systems im Best Practice Interview.

Welches Produkt bietet Ihr Unternehmen im Gesundheitsbereich an?

Wir vertreiben eine Praxis-Software für Physiotherapeuten, Ergotherapeuten, Logopäden und Podologen. Mit iPrax können Sie alle wichtigen Verwaltungsaktivitäten einer Praxis digital abwickeln: Terminplanung und -vergabe, Patientenmanagement, Rezepte und Abrechnung. Dabei ist es egal, ob Sie gerade in der Praxis sind oder unterwegs, denn mit iPrax haben Sie online wie offline mit Ihrem iPad oder Mac immer Zugriff auf alle relevanten Daten. Mehrere Endgeräte lassen sich einfach synchronisieren, wodurch auch die Zusammenarbeit im Team erleichtert wird.

Wie relevant ist der Datenschutz bei Ihrer Software?

Bei Praxissoftware spielt der Datenschutz natürlich eine sehr große Rolle. Schon die gesetzlichen Vorgaben sind hier besonders streng, weil ja sensible Daten von Patienten verarbeitet werden. Darüber hinaus gebietet unser unternehmerisches Selbstverständnis, alles organisatorisch und technisch Mögliche zu unternehmen, um den Schutz der über unsere Software verarbeiteten Daten zu gewährleisten.

Welche sensiblen Daten werden bei iPrax verarbeitet?

Neben den Stammdaten der Patienten speichern die anwendenden Therapeuten alle relevanten Gesundheitsdaten wie den ärztlichen Befund, die Behandlungsdokumentation und die Rezepthistorie.

Warum haben Sie sich für einen externen Datenschutzbeauftragen entschieden?

Über das Wissen für die Erstellung, Implementierung und Einhaltung eines Datenschutzkonzepts verfügt unserer Meinung nach nur ein Profi als externer Datenschutzbeauftragter. Dies trifft insbesondere auf kleinere Unternehmen zu, die ihre Personalressourcen sehr gezielt einsetzen müssen. Außerdem kann ein „professioneller Datenschützer“ die ganzen Prozesse viel schneller abwickeln – schließlich macht er das ja den ganzen Tag und verfügt über entsprechende Erfahrung.

Was hat sich durch die Beratung der activeMind AG in Ihrem Unternehmen verändert?

Wir konnten bei allen betroffenen Mitarbeitern das Bewusstsein zum Schutz von personenbezogenen Daten stark erhöhen.

Können Sie das erreichte Datenschutzniveau nutzen, um besser Neukunden zu gewinnen?

Indirekt hilft der bei iPrax umgesetzte Datenschutz sicherlich. Unsere Kunden prüfen uns zwar in der Regel nicht im Sinne einer Auftragsdatenverarbeitung. Sie gehen aber davon aus, dass alles technisch und organisatorisch Mögliche durch uns als Anbieter unternommen wird, um die gesetzlichen Vorgaben zum Schutz der Daten zu gewährleisten. Unser Datenschutzmanagement gewährleistet bestmöglich, dass wir dieses Vertrauen niemals aufs Spiel setzen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Zertifizierung nach ISO 27001 und ISO 9001 für MediaKom [Best Practice]

Wenn Unternehmen einen Dienstleister für Business-Process-Outsourcing (BPO) suchen, sollten die Faktoren Informationssicherheit, Datenschutz und Qualitätsmanagement eine ausschlaggebende Rolle spielen. Immerhin werden dem Anbieter meist sensible Geschäfts- und Kundendaten anvertraut. Dazu kommt, dass die DSGVO die Sicherstellung der Integrität, Verfügbarkeit und Sicherheit von Daten verlangt. Genau diese Anforderungen werden auch bei einer ISO 27001-Zertifizierung geprüft. Wie diese mithilfe der activeMind AG zu erlangen sind, erklärt Thomas Dittmar, Technischer Leiter der MediaKom GmbH & Co. KG – Gesellschaft für Informations- und Dialogmanagement im Best Practice Interview.

Warum spielen IT-Sicherheit und Datenschutz für Ihr Unternehmen eine besonders große Rolle?

Als Mailing- und BPO-Dienstleister verarbeiten wir täglich sensible personenbezogene Daten unserer Kunden, z. B. Krankenkassen, Gewerkschaften, Versicherungen, Kirchen oder Banken. Insofern stellen die Themen Datenschutz und Datensicherheit unternehmensweit eine übergeordnete Anforderung dar. Hierbei spielt die Einhaltung der strengen Vorgaben der Datenschutzgesetze sowie des Sozialgesetzbuches für uns die zentrale Rolle.

Welche Vorteile einer IT-Sicherheitszertifizierung nach ISO 27001 sehen Sie im B2B-Bereich?

Die ISO 27001 ist zwar keine gesetzliche Forderung, jedoch erfüllt sie umfangreiche gesetzliche Auflagen und bietet viele Vorteile. Gerade bei der Verarbeitung von sensiblen personenbezogenen Daten, die ein hohes Maß an Datenschutz und Datensicherheit erfordern, lässt sich mit ihr eindeutig nachweisen, dass beispielsweise Sicherheitsanforderungen nach § 11 BDSG erfüllt sind. Und in den letzten Jahren stellen wir fest, dass die ISO 27001 bei vielen unserer Kunden eine Mindestvoraussetzung für die Auftragsvergabe ist, was wir natürlich sehr begrüßen.

Wieso entschieden Sie sich bei der Vorbereitung für die Zertifizierung auf einen externen Dienstleister wie die activeMind AG zu setzen?

Zwar haben Datenschutz und IT-Sicherheit und die damit verbundene Einhaltung von gesetzlichen Anforderungen für uns schon immer eine sehr hohe Bedeutung, der Umgang mit den Anforderungen einer ISO-Norm war jedoch zum damaligen Zeitpunkt für uns neu. Als wir uns im Jahr 2010 für die Zertifizierung nach DIN ISO/IEC 27001 entschieden, suchten wir also einen Dienstleister, der uns vollumfänglich beim Aufbau unseres Informationssicherheits-Managementsystems (ISMS) unterstützt und dementsprechend auch über ausreichend Erfahrung verfügt – die activeMind AG.

Wie verlief die Zertifizierung vom Erstkontakt bis zum finalen Audit?

Im Dezember 2010 beauftragten wir die activeMind mit der Durchführung einer Erstaufnahme im Bereich Informationssicherheit und Qualitätsmanagement. Auf Basis der bestehenden Unterlagen wurde uns im Januar/Februar 2011 der umfangreiche Dokumentenrahmen – angepasst auf die Bedürfnisse unseres Unternehmens – durch die activeMind zur Verfügung gestellt.

Im Rahmen einer Kick-Off-Veranstaltung für alle Mitarbeiter und die Geschäftsführung wurde das Unternehmen auf die kommenden Schritte bis zur Zertifizierungsreife vorbereitet. Schulungen durch die activeMind AG für Qualitätsmanagement- und Sicherheitsbeauftragte halfen bei der Einarbeitung in die anspruchsvollen Themengebiete der Normen.

Bereits im März 2011 wurde eine umfangreiche Risikoanalyse durchgeführt. Auf Basis der Ergebnisse konnten zusätzliche Schwachstellen erkannt und bestehende Maßnahmen priorisiert werden. Im Mai 2011 erfolgte eine vollständige interne Auditierung nach ISO/IEC 27001 und DIN ISO 9001 unter Zertifizierungsbedingungen durch activeMind. Dieses Audit zeigte den aktuellen Status der Umsetzung und bereitete die Mitarbeiter optimal auf das kommende Zertifizierungsaudit vor.

Ende Juni 2011 erfolgte dann die Auditierung durch den TÜV Hessen. Das Ergebnis war die uneingeschränkte (!) Empfehlung der Auditoren für beide Zertifikate ohne Abweichungen.

In welchem Zeitrahmen konnten Sie Ihr ISO 27001-Zertifikat erlangen?

Vom Zeitpunkt der Entscheidung uns nach ISO/IEC 27001 und zusätzlich DIN ISO 9001 zertifizieren zu lassen bis zur Zertifizierung durch den TÜV Hessen benötigte es ca. sechs Monate.

Die erste Re-Zertifizierung haben Sie bereits erfolgreich absolviert. Inwiefern konnten Sie Ihr Informationssicherheits-Managementsystem noch verbessern?

Die wesentliche Verbesserung sehen wir darin, dass die Anforderungen der Norm mittlerweile vollständig in unsere Geschäftsprozesse integriert sind und vor allem auch bei den Mitarbeiterinnen und Mitarbeitern das Bewusstsein für Datenschutz und Datensicherheit noch einmal deutlich gesteigert werden konnte. Aber natürlich wurden in den letzten Jahren auch viele Sicherheitsmechanismen überarbeitet, denn ein ISMS ist ein dynamischer Prozess und lebt von der regelmäßigen Auditierung. Die activeMind AG unterstützt uns dabei kontinuierlich, indem Sie jährlich interne Audits zur Vorbereitung auf die Zertifizierungsaudits durchführt.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

EU-Standardvertragsklauseln für die Datenverarbeitung durch außereuropäische Dienstleister

Der Transfer personenbezogener Daten an einen Dienstleister in einem sogenannten unsicheren Drittstaat bedarf zusätzlich zur Transfergrundlage einer eigenen Datenschutzgarantie. Für US-Dienstleister kann hier seit dem 1. August 2016 auf das EU-US-Privacy-Shield zurückgegriffen werden, sofern sich der gewünschte Dienstleister (bereits) entsprechend verpflichtet hat. Für datenverarbeitende Dienstleister in anderen unsicheren Drittländern wie z. B. China oder Indien muss auch weiterhin auf die sogenannten EU-Standardvertragsklauseln zurückgegriffen werden. Der Beitrag zeigt auf, in welchen Konstellationen ein Abschluss der Klauseln möglich und sinnvoll ist und was dabei insbesondere aus deutscher Sicht zu beachten ist.

Wozu dienen Standardvertragsklauseln?

Möchte ein Unternehmen Daten an ein anderes Unternehmen weitergeben, bedarf es für diese Weitergabe stets einer eigenen Rechtsgrundlage sowie eines adäquaten Datenschutzrechts im Land des datenempfangenden Unternehmens.

Als Rechtsgrundlage infrage kommen insbesondere die Erforderlichkeit zur Durchführung eines Vertrags mit dem Betroffenen (z. B. Weitergabe an ein vom Betroffenen gebuchtes Hotel durch das Reisebüro, § 28 Abs. 1 S. 1 Nr. 1 Bundesdatenschutzgesetz [BDSG]), ein überwiegendes Unternehmensinteresse (z. B. bei der Erstellung eines konzernweiten Telefonverzeichnisses durch die datenempfangende Konzernmutter, § 28 Abs. 2 Nr. 2a BDSG) oder eine ausdrückliche Einwilligung des Betroffenen (z. B. in die Bonitätsprüfung eines Onlineshops durch eine Auskunftei, § 4 Abs. 1, 3 i. V. m. § 4a Abs. 1 BDSG).

Zusätzliche Herausforderungen können sich dem datenweitergebenden Unternehmen dann stellen, wenn die Daten vom datenempfangenden Unternehmen in einem sogenannten unsicheren Drittstaat ohne adäquates Datenschutzrecht verarbeitet werden sollen. Hierbei handelt es sich um Staaten außerhalb der EU und des EWR, die kein dem europäischen Recht vergleichbares Datenschutzniveau aufweisen. Zu diesen Ländern zählen auch die bedeutsamen Datenverarbeiter-Länder USA, China und Indien. Bei einer Datenverarbeitung in diesen Ländern sind die Daten des Betroffenen erhöhten Datenschutzrisiken ausgesetzt. Erteilt der Betroffene daher nicht mittelbar (wie beim Datentransfer zum Zwecke der Vertragsdurchführung) oder ausdrücklich (wie bei einer ausreichend informativen Einwilligungserklärung) sein Einverständnis in den Datenexport in ein solches Drittland, muss er durch zusätzliche Maßnahmen geschützt werden. Eine solche zusätzliche Maßnahme stellt insbesondere der Abschluss der Standardvertragsklauseln dar.

Was sind Standardvertragsklauseln?

Bei den Standardvertragsklauseln handelt es sich um von der Europäischen Kommission verabschiedete Vertragswerke. Unterzeichnet der Datenimporteur einen solchen Standardvertrag, verpflichtet er sich damit auf die Einhaltung europäischer Datenschutzstandards. Standardvertragsklauseln gibt es für zwei verschiedene Konstellationen:

In der einen Konstellation sollen Daten an ein Unternehmen weitergegeben werden, das – so, wie auch das weitergebende Unternehmen selbst – für die (weitere) Verarbeitung der Daten verantwortlich ist. Hierbei kann es sich zum Beispiel um die außereuropäische Konzernmutter des weitergebenden Unternehmens handeln, wenn diese ein konzernweites Telefonverzeichnis anlegen möchte und hierfür die entsprechenden Daten der Mitarbeiter der deutschen Tochter braucht. Als Rechtsgrundlage kommen hier u. U. die berechtigten Interessen der Mutter an einer Datenweitergabe infrage. Durch Unterzeichnen der Standardvertragsklauseln verpflichtet sich die Mutter darauf, die weitergebebenen Daten nach denselben Datenschutzstandards zu verarbeiten, denen auch ihre Tochter als Arbeitgeberin der betroffenen Mitarbeiter unterliegt.

In der zweiten Konstellation sollen Daten an ein Unternehmen gegeben werden, das die Daten nicht wie die Konzernmutter eigenverantwortlich, sondern als Dienstleister (z.B. Cloud-Dienstleister) – nur auf Weisung des weitergebenden Unternehmens – verarbeiten soll. Ein solches Verhältnis deutet auf eine Auftragsdatenverarbeitung hin. Diese ist jedoch, folgt man dem Wortlaut des deutschen Bundesdatenschutzgesetzes, mit Dienstleistern außerhalb des EU-/ EWR-Raums derzeit nicht möglich. Das Gesetz ist an der entsprechenden Stelle (§ 3 Abs. 8 S. 3 BDSG) unglücklich formuliert – und wurde bis heute nicht korrigiert. Eine Änderung der Gesetzeslage wird es erst mit der ab 2018 geltenden EU-Datenschutz-Grundverordnung geben.

Auftragsdatenverarbeitung mit außereuropäischen Dienstleistern – der Standardvertrag als Krücke

Dass es sich bei der deutschen Begrenzung der Auftragsdatenverarbeitung auf den EU-/ EWR-Raum aller Voraussicht nach um einen Gesetzesfehler handelt, ist auch den deutschen Aufsichtsbehörden bewusst. Sie verweisen in einer gemeinsamen Stellungnahme auf die zahlreiche Parallelen zwischen den gesetzlichen Anforderungen an einen deutschen Auftragsdatenverarbeitungsvertrag und den Inhalten des Dienstleister-Standardvertrags. Das Regierungspräsidium Darmstadt (das bis 1. Juli 2011 die hessische Datenschutzaufsichtsbehörde für den nichtöffentlichen Bereich war) sieht die gesetzlichen Anforderungen an eine Auftragsdatenverarbeitung nach deutschem Recht zum Teil erfüllt, wenn der Dienstleister-Standardvertrag abgeschlossen wird.

Diese Feststellung der ehemaligen Datenschutzaufsichtsbehörde ist aus rechtsdogmatischer Sicht sehr bedenklich, da hier die Ebene der rechtlichen Übermittlungsgrundlage mit der Selbstverpflichtung des datenempfangenden Unternehmens auf ein europäisches Datenschutzniveau vermischt wird. Aus Unternehmenssicht ist diese Vermischung der Behörden jedoch sehr zu begrüßen, da sich aus ihr im Ergebnis der Standardvertrag als „neuer Auftragsdatenverarbeitungsvertrag“ entpuppt. Was nach deutschem Recht also eigentlich nicht geht, soll aus Sicht der Behörden durch die europäischen Standardvertragsklauseln – die eigentlich einem ganz anderen Zweck dienen – möglich sein.

Oft übersehen: Aufsichtsbehörden verlangen Ergänzungen zum Standardvertrag

So einfach soll es dann aber doch nicht sein. Bei den Standardvertragsklauseln handelt es sich um ein vorgefertigtes Vertragswerk, das, um wirksam zu sein, zunächst einmal nur ausgefüllt, nicht jedoch individuell angepasst werden darf. Erlaubt sind nach der Aussage der Europäischen Kommission lediglich auftragsspezifische Ergänzungen, solange diese den vorgefertigten Regelungen des Vertrags nicht widersprechen.

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI) verlangt in Anlehnung an die oben erwähnte Gegenüberstellung des Düsseldorfer Kreises, dass der Standardvertrag (mindestens) um Vertragselemente ergänzt wird, die das deutsche Recht für die Auftragsdatenverarbeitung vorsieht, die jedoch im vorgefertigten Text fehlen bzw. nur rudimentär geregelt sind. Hierbei handelt es sich insbesondere um Regelungen zur Genehmigung bereits eingesetzter Subdienstleister des Datenimporteurs, zum Inhalt, zum Umfang und zur Dauer der Datenverarbeitung, zu den Betroffenenrechten und zum Weisungsrecht des Datenexporteurs. Entsprechende Regelungen sollen den Vorstellungen der Aufsichtsbehörden zufolge entweder in den Annex 1 zum Standardvertrag in den dortigen Punkt „Processing operations“ („Verarbeitung“) aufgenommen oder aber in einer Zusatzvereinbarung festgehalten werden.

Sensible Daten dürfen auch mittels Standardvertragsklauseln nur in bestimmten Fällen transferiert werden

Das Regierungspräsidium Darmstadt, das mit seiner Stellungnahme zu den Standardvertragsklauseln wohl einen der ersten wirtschaftsfreundlichen Akzente setzte, ist sich der vorgenommenen Vermischung der sogenannten ersten Prüfstufe (Rechtsgrundlage für den Datentransfer als solchen) und der zweiten Stufe (Sicherstellung eines ausreichenden Datenschutzniveaus) wohl bewusst. Die weitgehende Deckungsgleichheit der Regelungen der Vertragsklauseln mit dem deutschen Auftragsdatenverarbeitungsvertrag soll dem Regierungspräsidium zufolge daher nur im Rahmen einer Interessenabwägung zwischen datentransferierendem Unternehmen und den schutzwürdigen Interessen des Betroffenen „berücksichtigt“ werden. Faktisch sendet die Behörde damit jedoch ein klares Signal, dass eine Auftragsdatenverarbeitung mit außereuropäischen Dienstleisters über die Standardvertragsklauseln möglich ist, sobald eine Datenweitergabe – unabhängig vom Exportland – zulässig ist.

Eine Interessenabwägung scheidet allerdings aus, wenn sensible Daten im Sinne von § 3 Abs. 9 BDSG transferiert werden sollen, da in diesem Fall besondere gesetzliche Übermittlungsvoraussetzungen (§ 28 Abs. 6-9 BDSG) beachtet werden müssen. Sofern die Datenübertragung daher nicht zur Abwicklung des Vertragsverhältnisses erforderlich ist und der Betroffene auch nicht in rechtskonformer Weise in den Datentransfer eingewilligt hat, scheidet dieser in den meisten Fällen aus. Für den Fall, dass eine Datenweitergabe doch (ausnahmeweise) möglich ist, verlangt der Standardvertrag darüber hinaus in Klausel 4f, dass

„die betroffene Person bei der Übermittlung besonderer Datenkategorien vor oder sobald wie möglich nach der Übermittlung davon in Kenntnis gesetzt worden ist oder gesetzt wird, dass ihre Daten in ein Drittland übermittelt werden könnten, das kein angemessenes Schutzniveau im Sinne der Richtlinie 95/46/EG bietet“.

Rechtskonformer Transfer von Mitarbeiterdaten auf Basis von Standardvertragsklauseln: kritisch, aber nicht unmöglich

Neben der Übermittlung der gesetzlich definierten sensiblen Datenkategorien erweist sich auch eine Übermittlung von Mitarbeiterdaten als kritisch. Denn auch bei Mitarbeiterdaten erlaubt das Gesetz – zumindest auf den ersten Blick – keine Interessenabwägung. Der bundesdatenschutzrechtliche Mitarbeiterparagraph (§ 32 BDSG) gestattet eine Datenverarbeitung nur, wenn diese zur Abwicklung des Arbeitsverhältnisses oder zur Aufdeckung von Straftaten des Mitarbeiters erfolgen soll. Beides ist jedoch meist auch möglich, ohne, dass die Daten an einen Dienstleister (insbesondere an einen außereuropäischen) übertragen werden. Eine Einwilligung als Rechtsgrundlage scheidet als Übermittlungsgrundlage meist ebenfalls aus, da diese frei widerruflich wäre und die Rechtswirksamkeit aufgrund des Abhängigkeitsverhältnisses zwischen Arbeitgeber und Arbeitnehmer von Behörden angezweifelt wird.

Die im bundesdatenschutzrechtlichen Mitarbeiterparagraphen fehlende Interessenabwägungsnorm ist wirtschaftsschädlich und widerspricht dem Anliegen der Europäischen Kommission sowie – wie oben gezeigt – auch der deutschen Aufsichtsbehörden, den Datenaustausch mit außereuropäischen Dienstleistern zu ermöglichen. Es ist daher sinnvoll, wie auch bei innereuropäischen Datentransfers, zumindest für den Austausch nichtsensibler Mitarbeiterdaten (Beispiel: konzernweites Telefonverzeichnis), eine Interessenabwägung als Rechtsgrundlage (§§ 28 Abs. 1 S. 1 Nr. 2, 28 Abs. 2 Nr. 2a BDSG) gelten zu lassen. Die sichere Alternative bleibt freilich der Einsatz eines europäischen Dienstleisters – sofern am Markt vorhanden.

Fazit: Datenaustausch mit außereuropäischen Dienstleistern erfordert Fingerspitzengefühl

Die Verarbeitung personenbezogener Daten durch einen Dienstleister in einem unsicheren Drittland ist – auch, wenn es auf den ersten Blick anders scheint – in sehr vielen Fällen rechtskonform möglich. Die deutschen Datenschutzbehörden erkennen eine Auftragsdatenverarbeitung mit außereuropäischen Dienstleistern auf Basis der Standardvertragsklauseln faktisch als Möglichkeit an. Dies sollte grundsätzlich auch für Mitarbeiterdaten gelten, solange keine sensiblen Daten betroffen sind. Letztere dürfen ohne ausreichend informierte Einwilligung des Betroffenen nur in den engen Grenzen des § 28 Abs. 6-9 BDSG exportiert werden.

 

Zuerst veröffentlicht am 6. Mai 2015, zuletzt aktualisiert am 5. September 2016

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

EU-U.S. Privacy Shield verabschiedet

Am 12. Juli 2016 verabschiedete die EU-Kommission das von allen Beteiligten sehnlichst erwartete EU-U.S. Privacy Shield. Es löst das durch Urteil des Europäischen Gerichtshofs für ungültig erklärte Safe-Harbor-Abkommen ab. Nachdem ein erster Entwurf für das Abkommen zur Ermöglichung von Datentransfers in die USA bereits Ende Februar 2016 auf dem Tisch lag, folgten noch weitere Abstimmungsrunden, bis das Regelwerk endlich von allen Seiten abgesegnet wurde. In einer Pressemitteilung verkündete die EU-Kommission nun ihren Beschluss zum EU-U.S. Privacy Shield.

EU-U.S. Privacy Shield bringt mehr Rechtssicherheit für europäische Unternehmen

Die gute Sache vorab: Mit Verabschiedung des EU-U.S. Privacy Shield kommt die Diskussion um den Datentransfer mit den Vereinigten Staaten vorübergehend wieder in ruhigere Gewässer. Die Europäische Kommission hat bei ihren Verhandlungen mit den USA einige Punkte in das neue Abkommen verhandelt, um der Kritik des Europäischen Gerichtshofes an dem für ungültig erklärten Safe-Harbor-Abkommen entgegenzuwirken. So sieht das neue Abkommen, das als Angemessenheitsentscheidung bezüglich des Datenschutzniveaus eines Drittlandes nach Artikel 25 EC/95/46 gilt, folgendes vor:

  • datenschutzrechtliche Pflichten und deren konsequente Durchsetzungsmöglichkeit in den USA;
  • klare Grenzen für und Schutzmaßnahmen gegen den Zugriff von amerikanischen Behörden auf Daten von EU-Bürgern;
  • Schutz von EU-Bürgern durch neue Rechtsmittel (z. B. Beschwerde, Streitbeilegung und Anrufung der eigenen Datenschutzbehörden, die mit den amerikanischen Behörden in Verbindung treten);
  • einen unabhängigen Ombudsmann, dessen Aufgabe es ist, die Einhaltung des EU-U.S. Privacy Shields zu überwachen und bei Beschwerden im Rechtsmittelweg mitzuwirken;
  • die Einführung eines jährlichen Überwachungssystems um die Effektivität des Privacy Shields zu gewährleisten.

EU-U.S. Privacy Shield bringt Pflichten für amerikanische Unternehmen

Auf der anderen Seite des Atlantiks werden sich nun die für den Datenschutz zuständigen Akteure in Unternehmen über folgende, zwingend zu erfüllende Voraussetzungen Gedanken machen müssen:

  • eine Erst- und sich jährlich wiederholende Anschlusszertifizierung unter dem EU-U.S. Privacy Shield;
  • die Einhaltung europäischer datenschutzrechtlicher Prinzipien, insbesondere:
    • Betroffenenrechte (Informations-, Korrektur-, Block- und Löschrechte);
    • Zweckbindung der Datenverarbeitung;
    • Einhaltung der Regeln zur Weiterleitung der Daten („Drittlandstransfer“);
    • das Recht, der Verarbeitung durch Dritte widersprechen zu können („opt-out“);
    • Sicherheitsrechtliche Gesichtspunkte (vergleichbar mit den „technischen und organisatorischen Maßnahmen“);
  • eine Frist von 45 Tagen, innerhalb derer auf Beschwerden von Betroffenen zu reagieren ist;
  • die Einführung einer Datenschutzerklärung auf der Website (Informationsrecht des Betroffenen wie seine Daten verarbeitet werden).

US-amerikanische Unternehmen können sich bereits ab dem 1. August 2016 unter dem EU-U.S. Privacy Shield selbst zertifizieren.

Das Ende einer mühseligen Geschichte?

Ob mit der Einführung des EU-U.S. Privacy Shield den Diskussionen rund um den Datentransfer in die USA nun Einhalt geboten ist, bleibt fraglich. Erste Stimmen kritisieren bereits, dass es sich bei dem neuen Abkommen immer noch um eine „Selbst-Zertifizierung“ handelt. Der unabhängige Ombudsmann, auch wenn durch die US-Regierung zugesichert und mit Kompetenzen zur Überprüfung ausgestattet, vermag kaum in der Lage sein, regelmäßig tausende von Unternehmen auf die Einhaltung der Regeln zu überprüfen. Außerdem bliebe es abzuwarten, wie US-amerikanische Behörden an der kurzen Leine gehalten werden können, da einige Zugriffe auf Daten dennoch möglich wären und niemand abzusehen vermag, inwieweit diese Kompetenzen interpretiert und potentiell ausgedehnt werden (Stichwort: US Freedom Act, vormals als US Patriot Act bekannt).

Fazit: Das Datenschutz-Abkommen ist ein Schritt in die richtige Richtung

Dennoch bleibt festzuhalten, dass mit dem EU-U.S. Privacy Shield neben den EU-Standardvertragsklauseln der Kommission und Binding Corporate Rules bis auf weiteres ein zusätzliches juristisches Mittel bereitsteht, um den Datentransfer mit amerikanischen Unternehmen auf rechtlich sichere und vorerst stabile Beine zu stellen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Asiens Interesse an der europäischen Datenschutz-Grundverordnung

Nachdem die Verabschiedung der EU-Datenschutz-Grundverordnung in Europa bereits viel Aufmerksamkeit auf sich zog, werden auch andere Regionen auf die neuen Vorschriften zum Datenschutz aufmerksam. Vor allem Artikel 3 der Datenschutz-Grundverordnung, der deren Anwendungsbereich auch auf Unternehmen erweitert, die keine Niederlassung in Europa haben, führt zu viel Aufregung, wie eine Präsentation der activeMind AG in Hongkong zeigte.

Im Juni 2016 lud die Hong Kong General Chamber of Commerce den Datenschutz-Experten Marc Placzek ein, die neue Datenschutz-Grundverordnung und mögliche Auswirkungen auf asiatische Unternehmen zu erläutern. Zu der Konferenz kamen die Mitglieder der Handelskammer, interessierte Vertreter aus der Wirtschaft sowie im Datenschutz- und Datensicherheitsbereich tätige Personen.

Dargestellt wurden vor allem der Anwendungsbereich der Grundverordnung, der Datentransfer ins Ausland sowie die in Europa geltenden Betroffenenrechte, die in Zukunft auch von Unternehmen im Ausland beachtet werden müssen, sofern sie in den Anwendungskreis der Datenschutz-Grundverordnung fallen. Für zusätzliche Aufmerksamkeit führte außerdem ein in einer Zeitung abgedrucktes Statement des Hong Kong Privacy Commissioner for Personal Data, Stephen Wong Kai-yi, der ankündigte, dass die Entwicklungen in Europa bei der Revision des Datenschutzrechtes in Honkong Beachtung finden werden.

Die Präsentation zur Grundverordnung wurde mit viel Interesse verfolgt. Im Anschluss fand eine lebhafte Diskussion zu den einzelnen Themenbereichen statt. Im Fokus standen dabei vor allem die Durchsetzbarkeit der DSGVO im nicht-europäischen Bereich sowie die Frage, wie nicht-europäische Unternehmen ohne Sitz in der EU in Zukunft mit den neuen Datenschutz-Vorgaben, inklusive den verlangten technischen und organisatorischen Maßnahmen zur Datensicherheit umgehen werden. Bei letzterem wurden insbesondere internationale Normen wie z. B. die ISO 27001 zur Informationssicherheit angesprochen, die in den Fokus rücken werden.

Der dargestellte Themenkomplex sollte aber durchaus auch von deutschen und europäischen Unternehmen mit Niederlassungen im Ausland im Auge behalten werden. Gerade ein Datentransfer aus der EU in Drittstaaten will wohlüberlegt sein. Und als ein solcher Drittstaat im Sinne des Datenschutzes wird nach dem Brexit sogar Großbritannien gelten.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Datenschutz bei Retargeting & Social Sharing – Dürfen Werbetechnologien Dritter in Websites eingebunden werden?

Im Rahmen des Online-Marketings werden auf Unternehmenswebsites häufig Dienste von Dritten eingesetzt. Dabei handelt es sich zum Beispiel um Analysetools, Produktwerbungsdienste (insbesondere zum Retargeting) oder sogenannte Social Plugins. Zu Letzteren hat sich das Landgericht Düsseldorf in einem aktuellen Urteil positioniert und eine unzulässige Einbindung durch den beklagten Websitebetreiber (ein bekannter Onlineshop) festgestellt. Der Beitrag beleuchtet die datenschutzrechtlichen Fallstricke für Websitebetreiber bei der Einbindung von Werbetechnologien und zeigt auf, wie eine rechtskonforme Nutzung möglich ist.

Online-Werbetechnologien ermöglichen es, den Besuch einer Person auf einer Website zu analysieren und, wie im Fall einiger Social Plugins, Verknüpfungen mit anderen Datenbeständen wie dem Facebook-Profil des Websitebesuchers herzustellen. Der Websitebetreiber braucht hierfür meist nur ein Skript in den Quellcode seiner Seiten einzubinden. Das Skript sorgt dann dafür, dass die Daten über den Besuch der Person direkt an den Anbieter der Werbetechnologie gesendet werden (so z.B. bei Facebook Custom Audiences Website).

Ist der Websitebetreiber für die Datenerhebung verantwortlich?

Aus datenschutzrechtlicher Perspektive ist zunächst fraglich, ob der Websitebetreiber für die Einbindung des Skripts verantwortlich ist. Denn der Websitebetreiber erhält selbst meist keinen Zugriff auf die erhobenen Daten. Das braucht er auch nicht, denn ggf. anschließende Werbemaßnahmen lassen sich viel effektiver durch den Anbieter der Werbetechnologie durchführen, dem in der Regel noch zahlreiche andere Daten zum Besucher vorliegen. Diese Daten können (wie im Fall von Facebook) entweder aus dem hauseigenen Netzwerk stammen oder aber über andere Websites erhoben werden, in die dieselbe Werbetechnologie eingebunden ist und die ebenfalls von der Person besucht wurden.

Da der Websitebetreiber keinen Zugriff auf die Daten erhält, war in Literatur und Rechtsprechung bisher weitgehend unklar, wer aus datenschutzrechtlicher Sicht die „verantwortliche Stelle“ für die Datenverarbeitung ist. Gemäß § 3 Abs. 7 Bundesdatenschutzgesetz (BDSG) ist verantwortliche Stelle, „jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.“

Während unstrittig war, dass für das Verarbeiten und Nutzen der Daten ausschließlich der Werbetechnologieanbieter verantwortlich ist, war unklar, ob dies auch für das Erheben der Daten gilt. Die entscheidende Frage war hier, ob eine Datenerhebung die Zugriffsmöglichkeit auf die Daten voraussetzt, die im Falle des Websitebetreibers nicht gegeben ist.

Landgericht Düsseldorf: Mitverantwortlichkeit trotz fehlender Zugriffsmöglichkeit

Das Landgericht Düsseldorf hat nun klargestellt, dass der Websitebetreiber trotz fehlender Zugriffsmöglichkeit für die Datenverarbeitung mitverantwortlich ist. Eine Zugriffsmöglichkeit auf die Daten sei für die Mitverantwortlichkeit ebenso wenig erforderlich, wie die Verfügungsmacht über die Daten:

„Allein, dass die Beklagte keinen direkten Einfluss auf die Funktionsweise des Buttons und die Verarbeitung der Daten hat, ihr deren Umfang sogar unbekannt sein mag, und dass sich ihre aktive Tätigkeit auf die Einbindung des Plugins erschöpft, steht dem ebenso wenig entgegen, wie die Tatsache, dass nicht die Beklagte an sie übermittelte und in ihrem Besitz stehende Daten an [das soziale Netzwerk] weiterleitet, sondern die Erfassung der IP-Adresse unmittelbar durch [das soziale Netzwerk] erfolgt.“

Mit dieser Einschätzung setzt sich das Gericht über die herrschende Literaturmeinung hinweg, die sowohl die Verfügungsmacht als auch die Kenntnis der Daten als Voraussetzung für ein Erheben ansieht. Es bleibt daher abzuwarten, wie sich andere Gerichte zu der Frage äußern.

Die europäische Datenschutz-Grundverordnung, die ab 2018 den Datenschutz in Europa neu regeln wird, enthält eine sehr weite Definition des Begriffs „Verarbeiten“. In diesem geht nicht nur der Begriff des Erhebens auf, sondern auch vage Begriffe wie der der „Verknüpfung“, die nicht unbedingt auf eine Zugriffsmöglichkeit hindeuten.

Werden überhaupt personenbezogene Daten erhoben?

Eine ganz andere, aber ebenso entscheidende Frage ist, ob mithilfe der eingebundenen Werbetechnologien überhaupt personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes erhoben werden. Ist dies nicht der Fall, findet das Datenschutzrecht keine Anwendung. Eine Erhebung und Verarbeitung der Daten wäre dann, ganz gleich durch wen, gänzlich unproblematisch.

Im angesprochenen Gerichtsverfahren ging es neben der unzweifelhaft personenbezogenen Facebook-Nutzer-ID insbesondere um die Verarbeitung der IP-Adresse und Nutzungsdaten wie den Browser-String, die ohne jegliches Zutun des Websitebesuchers (auch ohne Anklicken des Social-Plugin-Buttons) beim Besuch der Webseite an Facebook gesendet werden. Auch hier vertritt das Gericht eine restriktive Haltung, indem es jedenfalls die IP-Adresse als personenbezogenes Datum einordnet. Das Gericht folgt damit einer Entscheidung des Bundesgerichtshofs, in der IP-Adressen ebenfalls als personenbezogene Daten angesehen werden. Manche Werbedienste verarbeiten daher IP-Adressen nur in gekürzter Form, sodass ein Rückschluss auf eine bestimmte Person nicht mehr möglich ist.

Personenbezogene Daten wie die ungekürzte IP-Adresse dürfen ohne vorangehende Einwilligung des Websitebesuchers grundsätzlich nur dann verarbeitet werden, wenn die Daten für den Betrieb und die Nutzung der Website erforderlich sind (§ 15 Abs. 1 S. 1 TMG). Dies ist freilich weder bei der Datenverarbeitung im Rahmen von Social Plugins noch im Rahmen sonstiger eingebundener Marketingtechnologien der Fall.

Sehr umstritten ist, ob bei der Erstellung von Nutzungsprofilen durch Dritte – z. B. Facebook oder einen anderen Werbetechnologieanbieter – die Ausnahmeregelung des § 15 Abs. 3 TMG greift, die eine Profilerstellung unter Pseudonym für Werbezwecke durch den sogenannten „Diensteanbieter“ erlaubt. Die Datenschutzaufsichtsbehörden vertreten hier eine sehr restriktive Haltung. Ihnen zufolge scheidet die Anwendbarkeit der Ausnahmeregelung zumindest dann aus, wenn ungekürzte IP-Adressen verarbeitet werden.

Wie ist eine datenschutzkonforme Einbindung von Technologien Dritter möglich?

Das Urteil des Landgerichts Düsseldorf erhöht den Druck auf Websitebetreiber, Inhalte Dritter rechtskonform in die eigene Website einzubinden. Für Marketers besteht die größte Herausforderung darin, Technologien so zu integrieren, dass die Einbindung einerseits rechtskonform ist, andererseits aber auch eine werbestrategische Wirkung entfalten kann. Wie dies bei Social Plugins und Retargeting-Anbietern möglich ist, wird im Folgenden kurz erläutert.

Social Plugins: verschiedene Privacy-Technologien auf dem Markt

In Hinblick auf Social Plugins könnten Technologien die Lösung sein, die eine Aktivierung des Plugins – und damit den Datenaustausch zwischen dem Browser des Websitebesuchers und dem Server des Technologieanbieters – erst dann auslösen, wenn der Besucher den Datenaustausch durch einen Klick bestätigt. Das Plugin wird somit durch einen Klick des Besuchers „aktiviert“.

Ein solches Vorgehen ermöglicht z.B. die sogenannte Zwei-Klick-Lösung von heise.de, die mittlerweile von zahlreichen Websites (u.a. von dem beklagten Shop im oben erwähnten Urteil) eingesetzt wird. Auch bei Verwendung der Zwei-Klick-Lösung bleibt der Websitebetreiber allerdings für die Datenerhebung mitverantwortlich. Er steht daher weiterhin vor der Herausforderung, gemäß §§ 12 Abs. 1, 13 Abs. 1 TMG über eine Datenverarbeitung zu informieren, zu der ihm vom Technologieanbieter oft nur unzureichende Informationen zur Verfügung gestellt werden.

Noch besser als die Zwei-Klick-Lösung ist daher die Shariff-Lösung von c’t, die zum Beispiel auch als WordPress-Plugin auf der activeMind Website eingesetzt wird. Hierbei braucht der Websitebetreiber gar keine Technologie der sozialen Netzwerke in die eigene Website einbinden. Stattdessen werden verlinkte Bilder in den jeweiligen Farben bzw. mit den Logos der Netzwerke eingebunden. Erst, wenn der Besucher auf das Bild klickt, werden Daten an das Netzwerk übermittelt. Shariff kann auf Wunsch des Websitebetreibers darüber hinaus während des Ladevorgangs der Webseite über ein Skript beim sozialen Netzwerk abfragen, wie oft die Webseite im Netzwerk bereits geteilt wurde. Da über die Website keine Daten erhoben werden, ist der Websitebetreiber bei der Shariff-Lösung nicht als verantwortliche Stelle anzusehen.

Retargeting-Anbieter: Auf das richtige Siegel kommt es an

Neben Social Plugins erfreuen sich verschiedenste Retargeting-Technologien im Online-Marketing großer Beliebtheit. Auch in diesem Bereich sind inzwischen einige datenschutzkonforme Technologien auf dem Markt zu finden. Viele Technologie-Anbieter versuchen, die Datenschutzkonformität ihrer Technologie mit einem Datenschutzsiegel zu belegen. Hier ist jedoch Vorsicht geboten, da leider nicht alle auf dem Markt auffindbaren Datenschutzsiegel das Datenschutzniveau bezeugen, das von den Aufsichtsbehörden verlangt wird.

Dies lässt sich gut an der Übersicht zu den vergebenen Siegeln des Anbieters ePrivacy GmbH verdeutlichen: Während das ePrivacyseal-Siegel den Anspruch hat, die Einhaltung gesetzlicher Regelungen zu belegen, bezeugt das EDAA Trust Seal zunächst einmal nur die Einhaltung eines (von der europäischen Datenschutzaufsicht bemängelten) Branchenstandards der Werbeindustrie. Eine allgemeine Übersicht zu Zertifizierungen und Gütesiegeln im Datenschutz findet sich bei der Stiftung Datenschutz.

Da trotz „gutem“ Siegel nicht immer klar ist, ob personenbezogene Daten verarbeitet werden, sollte in jedem Fall ein Hinweis in der Datenschutzerklärung zur jeweils eingebundenen Technologie erfolgen. Dies gilt auch für den datenschutzkonformen Einsatz von Social Plugins. Bei der Zwei-Klick-Lösung ist ein Hinweis zwingend erforderlich, beim Shariff empfiehlt er sich jedenfalls aus Marketingsicht.

Fazit: Datenschutz ins Marketing integrieren!

Auf den ersten Blick ist das Urteil des Landgerichts Düsseldorf ein schwerer Schlag für Marketers. Bei genauerem Hinsehen wird jedoch deutlich: Die Entscheidung konkretisiert, jedenfalls in den meisten Punkten, nur das, was die Aufsichtsbehörden bereits seit langem vertreten. Aus einer nachhaltigen Marketingperspektive heraus ist es daher sinnvoll, den Datenschutz von Anfang zu berücksichtigen und Datenschutz als Werbeinstrument zu begreifen, das langfristig Vertrauen schafft.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Privacy by Design: Mit datenschutzkonformer IT gegenüber Mitbewerbern punkten und hohe Bußgelder vermeiden

Datenschutz, das war und ist für viele Unternehmen noch immer etwas, um das man sich kümmert, wenn alles steht: die Cloud, die teuer beauftragte Entwicklung einer App und das aufwendig programmierte Logistiksystem. Spätestens mit Anwendbarkeit der EU-Datenschutz-Grundverordnung ab 25. Mai 2018 sollten Unternehmen bereits bei der Auswahl von IT-Lösungen berücksichtigen, inwieweit diese datenschutzrechtlichen Anforderungen genügen. Die Verordnung verpflichtet Unternehmen, beim Einsatz von IT und Software zu prüfen, ob diese nach Datenschutzmaßstäben entwickelt wurden („Privacy by Design“). Ein Verstoß dagegen kann mit einem hohen Bußgeld belegt werden. Welchen Nutzen Privacy by Design für Unternehmen und Betroffene haben kann und welche gesetzlichen Änderungen mit der Datenschutz-Grundverordnung auf die verantwortliche Stelle zukommen, lesen Sie in diesem Beitrag.

Privacy by Design als Lösung moderner Datenschutzprobleme

Personenbezogene Daten, so eine beliebte Aussage, sind das Gold des 21. Jahrhunderts. Bei genauerem Hinsehen hinkt der Vergleich allerdings, da Daten im Gegensatz zu Gold weder nach Belieben angehäuft noch eingesetzt werden dürfen. Auch sind Daten nicht wie Gold übertragbar: sie verbleiben stets Persönlichkeitsmerkmal eines Betroffenen. Dieser Betroffene soll, so besagt es das Recht auf informationelle Selbstbestimmung, stets Herr seiner Daten bleiben.

Doch wie lässt sich diese Forderung in einer Welt realisieren, in der personenbezogene Daten faktisch wohl deutlich „fungibler“ sind als Gold? In einer Welt, in der Betroffene Einwilligungserklärungen für eine Verarbeitung ihrer Daten kurzerhand „abhaken“, weil sie keine Zeit oder Lust haben, sich mit den umfangreich beschriebenen Risiken (z. B. Weitergabe an Dritte, Datenübermittlung in einen unsicheren Drittstaat) auseinanderzusetzen?

Datenschutz als echter Standard

Privacy by Design – die datenschutzkonforme Konzeption und Entwicklung von IT-Systemen – kann hier eine Lösung darstellen. Eine App soll etwa so konzipiert sein, dass sie standardmäßig nur solche Daten verarbeitet, die für die Basisfunktionalität erforderlich sind. Alle weiteren Funktionen, für die weitere Daten des Betroffenen benötigt würden, müssen vom Nutzer aktiviert werden, wenn er dies wünscht. Vor jeder einzelnen Aktivierung wäre der Nutzer in wenigen Sätzen über den Nutzen, die zugriffsberechtigten Empfänger und die Speicherdauer der jeweiligen Daten zu informieren.

Für den Fall, dass der Nutzer jederzeit auf die Standardkonfiguration der App zurückkehren kann, wären Änderungen oder Ergänzungen des Zwecks einzelner wählbarer Funktionen bedenkenlos umsetzbar. Der Betroffene bliebe so stets Herr seiner Daten, weil er zu jeder Zeit genau wüsste, welche App-Funktion welche seiner Daten zu welchem Zweck benötigt, und weil er einzelne Funktionen aktivieren oder deaktivieren könnte.

Beispiel: Compliance im Unternehmen durch Privacy by Design

Als besonders nützlich könnte sich Privacy by Design im beruflichen Bereich erweisen: Soll etwa die angesprochene App im Unternehmen eingesetzt werden und entspricht die Standardkonfiguration dem, was der Arbeitgeber von seinem Arbeitnehmer vertraglich erwarten darf (z. B. Verwendung der App zu Kommunikationszwecken), kann hinsichtlich der Einwilligung in Zusatzfunktionen (z. B. Aktivierung eines verknüpften Geburtstagskalenders) von einer freiwilligen Entscheidung des Arbeitnehmers ausgegangen werden. Dieser willigt dann zwar in die Verarbeitung seines Geburtsdatums ein. Dies tut er jedoch nicht, weil er andernfalls die App als solche nicht nutzen kann – und deswegen Konsequenzen des Arbeitgebers fürchten müsste. Der Arbeitgeber wiederum müsste nicht fürchten, eine rechtswidrige Einwilligung eingeholt zu haben.

Das Beispiel zeigt, wie es technisch möglich ist, durch den Einsatz von Privacy-by-Design-Systemen das informationelle Selbstbestimmungsrecht des Betroffenen zu wahren. So entsteht eine Win-Win-Situation: Auf Seiten des Betroffenen führt der Einsatz von Privacy-Enhancing-Technologies zu einer höheren Akzeptanzbereitschaft; auf Seiten des Unternehmens zu mehr Rechtssicherheit.

Die datenschutzrechtlichen Prinzipien von Privacy by Design

Für die Entwicklung und den Einsatz datenschutzkonformer IT konkretisiert die europäische Datenschutz-Grundverordnung Datenschutzprinzipien, die in der Literatur unter dem Stichwort „Privacy by Design“ seit Langem diskutiert werden. Die drei wesentlichsten Grundsätze sind:

  1. Transparenz der Datenverarbeitung und Kontrollmöglichkeit durch den Betroffenen;
  2. Einsatz von Verfahren, die technischen Sicherheitsstandards genügen;
  3. Datenschutzkonforme Voreinstellungen (Privacy by Default); hierzu gehört insbesondere die Umsetzung der Grundsätze von Datenvermeidung und Datensparsamkeit.

Ein weiteres, nicht zwingend datenschutzrechtliches Prinzip, ist die leichte Bedienbarkeit eines Systems, einschließlich der Freigabe und dem Entzug von Berechtigungen, die insbesondere eine Diskriminierung älterer und behinderter Menschen verhindern soll.

Je nach dem, welchem Privacy-by-Design-Modell man in der Literatur folgen möchte, kommen weitere Prinzipien hinzu. Diese können aber, wie etwa die „befristete Gültigkeit von Zertifikaten“ oder „sichere Authentifizierungsverfahren“ auch den drei bereits genannten Prinzipien untergeordnet werden.

Transparenz-Prinzip in BDSG & Datenschutz-Grundverordnung

Das datenschutzrechtliche Transparenzprinzip ist bereits in zahlreichen Pflichten und Rechten des Bundesdatenschutzgesetzes (BDSG) verkörpert. Hervorzuheben ist das Auskunftsrecht nach § 19 Abs. 1 BDSG. Danach ist dem Betroffenen auf Antrag Auskunft zu erteilen über

  • die zu seiner Person gespeicherten Daten,
  • die Empfänger, an die die Daten weitergegeben werden, und
  • den Zweck der Speicherung.

Das Auskunftsrecht kann in der Praxis zu einer teuren und zeitraubenden Last für die verantwortliche Stelle werden, da der Betroffene die Auskunft grundsätzlich unentgeltlich einholen kann. Könnte der Betroffene dagegen, wie in Erwägungsgrund 61 S. 3 der europäischen Datenschutz-Grundverordnung vorgesehen, eigenständig im datenverarbeitenden System einsehen, welche seiner Daten von wem zu welchem Zweck gerade verarbeitet werden, würde dies die verantwortliche Stelle entlasten, da eine gesonderte Auskunftseinholung aus Sicht des Betroffenen wohl meist entbehrlich wäre.

Prinzip der Datensicherheit in BDSG & Datenschutz-Grundverordnung

Neben dem Transparenzprinzip ist auch der Einsatz von Verfahren, die technischen Sicherheitsstandards genügen, im geltenden Datenschutzrecht mehr oder weniger explizit geregelt. So sieht die Anlage zu § 9 BDSG vor, dass eine rechtskonforme Zugangs- Zugriffs- und Weitergabekontrolle „insbesondere [durch] die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren“ sichergestellt werden kann.

Erwägungsgrund 46 der EU-Datenschutzrichtlinie verlangt zudem (umfassender) „unter Berücksichtigung des Standes der Technik und der […] entstehenden Kosten ein Schutzniveau [zu] gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist“. In der Praxis erweisen sich diese Regelungen allerdings immer wieder als problematisch, da die verantwortliche Stelle bei einmal eingesetzten IT-Systemen, die sie nicht selbst entwickelt hat, kaum Anpassungsspielraum hat, geschweige denn, eine Verschlüsselungstechnologie nachträglich implementieren kann.

Die Datenschutzgrundverordnung fordert die verantwortliche Stelle daher dazu auf, „unter Berücksichtigung des Stands der Technik und der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die persönlichen Rechte und Freiheiten […] sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung angemessene technische und organisatorische Maßnahmen“ sicherzustellen (Artikel 23 Abs. 1 DSGVO).

Ferner sollen, gemäß Erwägungsgrund 61 der Verordnung, „die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Auslegung der Produkte, Dienste und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen, dass die für die Verarbeitung Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen.“

Auch wenn von einer Pflicht der Hersteller im Verordnungstext selbst keine Rede mehr ist, dürfte sich die Pflicht der verantwortlichen Stelle, den Einsatz datenschutzkonformer Systeme zu prüfen, jedenfalls mittelbar auf die Hersteller von IT-Systemen auswirken.

Prinzip datenschutzkonformer Voreinstellungen in der Grundverordnung

Im geltenden Recht nicht ausdrücklich wiederzufinden ist die Pflicht in Artikel 23 Abs. 2 der Datenschutz-Grundverordnung, durch Voreinstellung eines Systems sicherzustellen, dass nur solche personenbezogenen Daten verarbeitet werden, die für den jeweils bestimmten Verarbeitungszweck erforderlich sind. Konkret soll dies für den Umfang der erhobenen Daten, den Umfang der Verarbeitung, die Speicherfrist und die Zugänglichkeit der Daten gelten. So darf eine Person, welche die Teilnahme an einem sozialen Netzwerk wünscht, nicht dazu gezwungen werden, ihr Profil vorab mit Daten zu füllen, die für die vertragsgemäße Teilnahme an diesem Netzwerk gar nicht erforderlich sind.

Darüber hinaus verlangt Artikel 23 DSGVO, dass ein einmal erstelltes Profil nicht ohne Eingreifen einer natürlichen Person (z. B. den Betroffenen oder einen Kundenbetreuer des Netzwerkes) „einer unbestimmten Zahl natürlicher Personen“ zugänglich gemacht wird. Hier wird der grundlegende Gedanke von Privacy by Design deutlich, wonach der Betroffene (oder eine von ihm beauftragte Person) über Umfang und Art der Verarbeitung seiner Daten entscheiden soll.

Der allgemeine Grundsatz, nur solche Daten zu erheben, die für eine Datenverarbeitung erforderlich sind, kann freilich bereits dem Datensparsamkeitsgrundsatz aus § 3a BDSG entnommen werden. Desgleichen findet sich die Verwendung von Pseudonymisierungstechniken als Umsetzung des Datensparsamkeitsgrundsatzes bereits in § 3a BDSG. Der Grundsatz der Datensparsamkeit erweist sich derzeit allerdings als „zahnloser Tiger“, da eine Nichtbefolgung der verantwortlichen Stelle – z. B. der bewusste Verzicht auf Pseudonymisierungstechniken, obwohl diese problemlos umsetzbar wären – im Offlinebereich nicht sanktioniert werden kann. Dies ändert sich mit der Datenschutz-Grundverordnung.

Datenschutzwidrige Technik im neuen Recht empfindlich sanktionierbar

Setzt eine verantwortliche Stelle trotz Vorhandenseins datenschutzkonformer Alternativen auf unsichere bzw. datenschutzkritische IT, muss sie gemäß Artikel 79 Abs. 3 DSGVO mit einem Bußgeld von bis zu 10.000.000 Euro (im Fall eines Unternehmens von bis zu 2 % seines weltweiten Jahresumsatzes, falls dieser Betrag höher ist) rechnen. Hersteller datenschutzwidriger Systeme werden es somit künftig noch schwerer haben, ihre Produkte loszuwerden. Verantwortliche Stellen sollten daher bei der Auswahl von Systemen besonders darauf achten, dass diese zumindest in der Standardeinstellung möglichst wenige personenbezogene Daten verarbeiten bzw. durch Einsatz von Pseudonymisierungstechnik die Aussagekraft der verarbeiteten Daten gezielt begrenzen.

Kommt es demgegenüber trotz Privacy by Design zu einem Datenschutzverstoß, muss die Aufsichtsbehörde den Einsatz datenschutzfreundlicher IT gemäß Artikel 79 Abs. 2a (e) DSGVO bei der Entscheidung über eine Geldbuße und deren Höhe berücksichtigen. Dies dürfte wohl insbesondere für den Fall gelten, in dem ein Unternehmen sich bei der Anschaffung und dem Einsatz von Geräten an Verhaltensregeln bezüglich Datensicherheit orientiert, die gemäß Artikel 38 Abs. 1a (ee) DSGVO von Branchenverbänden und -vereinigungen erstellt werden können. Ist nach außen hin bekannt bzw. erkennbar, dass Privacy-Enhancing-Technologies Anwendung finden, dürfte zudem das Risiko unangemeldeter Kontrollen von Aufsichtsbehörden sinken.

Wirkt Privacy by Design wirtschaftshemmend oder -fördernd?

Wirtschaftlicher Wert personenbezogener Daten erschöpft sich nicht in der Aussagekraft des einzelnen Datums

Auf den ersten Blick scheint Privacy by Design nur die von vielen Unternehmen angestrebte Monetarisierung personenbezogener Daten zu hemmen. Der wirtschaftliche Wert eines personenbezogenen Datums, so könnte man denken, besteht darin, möglichst viele aus sich heraus aussagekräftige Daten über eine Person anzuhäufen. Vor dem Hintergrund, dass ein unkontrolliertes und unbegrenztes Anhäufen aber niemals zulässig war und mit der Datenschutz-Grundverordnung zudem empfindlich bestraft werden kann, ist hier ein Umdenken erforderlich.

Der wirtschaftliche Wert personenbezogener Daten erschöpft sich nicht in der Aussagekraft des einzelnen Datums. Es ist meist die kontextbezogene Verbindung einzelner Daten zu einer Person, die diese wertvoll machen. Weiß man, wie sich eine Person in bestimmten Situationen verhält oder welche Vorlieben sie zeigt, kann man auf ein Verhalten dieser Person in ähnlichen Situationen oder auf ähnliche Vorlieben schließen. So sind „statische“ schriftbasierte Angaben einer Person über sich selbst in vielen Konstellationen (z. B. Auswahlverfahren, Profilangaben in einem Netzwerk) in Hinblick auf das Kennlernen dieser Person in der Praxis oft weniger wert, als Daten, die diese Person in ihrem Verhalten in der Praxis zeigt.

Das Vertrauen auf vermeintlich aussagekräftige statische Daten, wie den Namen, um aus diesem z. B. auf kulturelle Vorlieben zu schließen, führt dagegen in einer globalisierten Welt zunehmend zu Fehlschlüssen. Die Pseudonymisierung von Daten widerspricht daher nur in seltenen Fällen wirtschaftlich effektiver Persönlichkeitsanalyse, was große Werbenetzwerke im Onlinebereich längst erkannt haben.

Datenschutzfreundliche Technologie als Wettbewerbsvorteil erkennen

Auch die im Privacy-by-Design-Ansatz angestrebte Verlagerung der Kontrolle vom Unternehmen hin zum Betroffenen sollten Unternehmen nicht fürchten. Zahlreiche Analyse-Apps (z. B. im Gesundheitsbereich) machen deutlich, dass Betroffene heute ein sehr großes Interesse daran haben, ihre Daten für Analyse- und Marketingzwecke freiwillig verfügbar zu machen. Je transparenter dabei das Verfahren für den Betroffenen ist, desto höher ist wohl seine Bereitschaft, auf Adblocker oder Ähnliches zu verzichten. Darüber hinaus haben bereits zahlreiche Unternehmen datenschutzfreundliche Technologie als wirksame Marketingstrategie erkannt.

Diese Entwicklung könnte darin münden, dass der Betroffene für Dienste bezahlt, deren Datenverarbeitung ausschließlich er selbst steuert. Ein aktuelles Beispiel ist das Projekt des „Workshops on Privacy in the Electronic Society“ mit dem Titel „UnLinked: Private Proximity-based Off-line OSN Interaction“. Ziel der Forscher war es, eine App zu entwickeln, mit der Nutzer des Netzwerkes LinkedIn offline unter Freigabe bestimmter Daten des eigenen Profils (z. B. Freunde, Unternehmensname) gegenüber einem Trustcenter Gemeinsamkeiten mit Personen feststellen können, die sich gerade in ihrer Nähe befinden. Die festgestellte Gemeinsamkeit konnte dann als Anknüpfungspunkt für ein Gespräch und / oder für die Verbindung in LinkedIn genutzt werden. Die Bereitstellung von Anonymisierungstechnik ermöglicht es hier, in datenschutzkonformer Weise einen Informationsabgleich durchzuführen, der sowohl für die Betroffenen als auch für das datensammelnde Netzwerk nützlich ist, jedoch ausschließlich von den Betroffenen kontrolliert wird.

Fazit: Einbindung des Betroffenen für mehr wirtschaftliche und rechtliche Sicherheit

Privacy by Design ist sowohl im geltenden als auch im künftigen Datenschutzrecht verankert. Ein Verstoß gegen das Gebot, möglichst datenschutzkonforme IT einzusetzen, ist nach künftigem Recht empfindlich sanktionierbar.

Unternehmen sollten jedoch nicht nur aus rechtlichen, sondern auch aus genuin wirtschaftlichen Gesichtspunkten auf datenschutzkonforme IT setzen. Denn da, wo der Betroffene über die Verwendung seiner Daten informiert ist und diese auch aktiv kontrollieren kann, ist mit seiner Akzeptanz und Einwilligungsbereitschaft zu rechnen. Intransparente, „monologische“ Datenverarbeitungen ohne Beteiligung des Betroffenen stärken dagegen das zunehmende Misstrauen der Bevölkerung in die Verarbeitung ihrer Daten.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geräteübergreifendes Tracking aus Sicht des Datenschutzes

Wenn ein Internetnutzer sich ein Produkt nicht nur auf dem Laptop, sondern auch auf dem Tablet oder dem Smartphone ansieht, ist das ein Problem für Analyse- und Werbedienste: Sie erhalten kein einheitliches Bild mehr vom Verhalten des Nutzers. Die Lösung ist das „Cross-Device-Tracking“, also Technologien, die eine geräteübergreifende Profilbildung des Nutzers ermöglichen. Was technisch mittlerweile möglich ist, muss deswegen aber noch lange nicht datenschutzkonform sein. Deshalb analysiert dieser Artikel zunächst die wesentlichen rechtlichen Gesichtspunkte von Nachverfolgungstechnik, um anschließend die datenschutzrechtliche Zulässigkeit unterschiedlicher Cross-Device-Tracking-Technologien zu besprechen.

Ausgangspunkt: Persönlichkeitsprofile im Marketing

Ziel moderner Online-Werbung ist es, Nutzer möglichst individualisiert anzusprechen. Denn je näher eine Werbung den Interessen eines Nutzers kommt, desto wahrscheinlicher ist es, dass dieser die eingeblendete Werbung beachtet, anklickt und sich sogar mit dem darin beworbenen Produkt näher auseinandersetzt. Die individualisierte Ansprache ist also der Türöffner für die weitere Kommunikation mit dem Nutzer im Netz.

Voraussetzung für individualisierte Werbung sind personenbezogene Daten. Daten also, die dem Verhalten oder dem Wesen eines einzigen Menschen zugeordnet werden können. Nach Ansicht der Datenschutzaufsichtsbehörden liegen personenbezogene Daten bereits dann vor, wenn durch In-Beziehung-Setzen einzelner zeitlich voneinander getrennter Verhaltensabläufe, die isoliert noch nichts Einzigartiges über eine Person besagen (z.B.: „Besuch der Webseite XY am 18.01.2016 um 10:15 Uhr“), auf eine identische Person geschlossen werden kann. Das In-Beziehung-Setzen einzelner Verhaltensabläufe einer Person in einem Verhaltensprofil ist in diesem Sinn mehr, als die Momentaufnahme eines einzelnen Verhaltensablaufes.

Folgendes analoges Beispiel soll dies verdeutlichen: Betrachte ich in der S-Bahn eine unbekannte Person, handelt es sich hier um eine Momentaufnahme. Begegne ich dieser Person später durch Zufall wieder, „kenne“ ich die Person zwar noch immer nicht (ihr Name, ihre Telefonnummer etc. sind mir weiterhin unbekannt), jedoch weiß ich, dass die Person wenige Stunden vorher in der S-Bahn unterwegs war. Ich habe somit (ungewollt) bereits ein kleines Profil der Person gebildet.

Tracking in bestimmten Grenzen zulässig

Erfolgt eine solche Profilbildung durch Einsatz automatisierter Nachverfolgungstechnik im Netz (Tracking), ist aus datenschutzrechtlicher Sicht im Zweifel von der Erhebung personenbezogener Daten auszugehen. Personenbezogene Daten liegen demzufolge dann vor, wenn es möglich ist, eine Person auf ihr Verhalten in der Vergangenheit gezielt anzusprechen. Dies ist auch dann möglich, wenn der Name oder andere eindeutige Identifikationsmerkmale der Person nicht bekannt sind, sie aber schon früher beobachtet wurde und man eben dieses weiß.

Im Gesetz ist nicht geregelt, welche Trackingtechnologien unter welchen Umständen angewandt werden dürfen. Geregelt ist dagegen insbesondere,

  1. dass nur Nutzungsdaten – z. B. Daten zum Klickverhalten auf einer Website – für eine Profilerstellung genutzt werden dürfen und
  2. dass diese Nutzungsdaten nur pseudonymisiert gesammelt und verarbeitet werden dürfen.

Eine Zusammenführung der Nutzungsdaten mit eindeutigen Identifikationsmerkmalen wie dem Namen oder der Telefonnummer ist somit nicht erlaubt. Da nach der Rechtsprechung des Bundesgerichtshofs (BGH) auch die dynamische IP-Adresse als personenbezogenes Datum einzuordnen sind – und in ihr insoweit ein „Datum über den Träger des Pseudonyms“ (§ 15 Abs. 3 TMG) gesehen werden kann – darf die ungekürzte IP-Adresse nicht in das Nutzungsprofil einfließen.

Eine Zusammenführung von eindeutigen Identifizierungsmerkmalen und Nutzungsdaten kann mit einem Bußgeld von bis zu 50.000 Euro bestraft werden. Grundsätzlich darf ferner nur Online-Verhalten, nicht jedoch Offline-Verhalten für die Erstellung der Nutzungsprofile erfasst werden.

In Rechtsprechung und Literatur ist nach wie vor ungeklärt, wie lange die erstellten Nutzungsprofile aufbewahrt werden dürfen und von wem sie eigenverantwortlich erstellt werden dürfen. Ist es nur dem Websitebetreiber erlaubt, Nutzungsprofile zu erstellen? Oder auch, wie es zumeist der Fall ist, einem Werbenetzwerk, dem der Websitebetreiber Zugang zu den Daten verschafft?

Geräteübergreifendes Tracking mit Vertrag – der Marketingvorteil sozialer Netzwerke & Konsumplattformen

Anbieter großer Werbenetzwerke wie Google und Facebook und große Konsumplattformen wie Amazon können im Gegensatz zu kleinen Websitebetreibern auf sehr viele detaillierte Profile zugreifen. Darüber hinaus haben sie einen ganz entscheidenden weiteren Vorteil: Sie stehen mit den vielen, wenn nicht sogar mit den meisten der Personen, die ihre Website oder eine Website ihrer Kooperationspartner besuchen, in einer vertraglichen Beziehung. Wer bei Amazon etwas kaufen möchte, muss zuvor ein Konto anlegen. Ebenso muss sich registrieren, wer sich bei Facebook mit seinen Freunden vernetzen oder aber über Google-Play eine App installieren möchte. Mit der Registrierung willigt der Nutzer darin ein, getrackt zu werden. So ist bei Amazon die Anmeldung nur möglich, wenn man den „Bestimmungen zu Cookies & Internet-Werbung“ zustimmt, in denen u.a. folgende Passage zu finden ist:

„Cookies werden von uns außerdem noch zu anderen Zwecken verwendet. Zum Beispiel können wir: […] Sie automatisch erkennen, wenn Sie sich auf unserer Website anmelden. Dadurch können wir Ihnen gezielte Produktempfehlungen geben, auf Sie individuell zugeschnittene Inhalte anzeigen, Sie als Prime-Kunden erkennen und Ihnen die Option „Bestellung mit 1-Click®“ sowie zahlreiche weitere Funktionen und Dienste anbieten.“

Da sich der Nutzer über alle Amazon-Applikationen und Websites mit dem gleichen Konto anmeldet, ist es für Amazon sehr leicht, Daten über die Nutzung seiner unterschiedlichen Dienste zusammenzuführen und auszuwerten. Dies gilt natürlich auch für das Cross-Device-Tracking, also die Erstellung eines Nutzungsprofils auf Basis von Daten unterschiedlicher Geräte. So können Daten, die über ein Log-In eines stationären Geräts in einem Cookie gespeichert werden, mit Daten zusammengeführt werden, die Tablet oder Smartphone derselben Person über eine Werbe-ID erfassen. Anschließend kann z. B. ausgewertet werden, welche Kategorie von Produkten die getrackte Person auf welchem Gerät kauft und über welchen Werbekanal sie zu welcher Zeit am besten erreichbar ist. Um den Nutzer schließlich zu bewerben, braucht dieser gar nicht mehr eingeloggt sein. Die Informationen zu ihm sind ja bereits auf seinem Betriebssystem in der Werbe-ID bzw. im Cookie gespeichert und können jederzeit ausgelesen werden.

Geräteübergreifendes Tracking ohne Vertrag

Der Predictive-Ansatz – Wahrscheinlichkeiten auf Basis vieler Daten

Schwierig wird das geräteübergreifende Tracking hingegen, wenn mit dem Nutzer keine vertragliche Beziehung und somit auch kein identifizierbares Nutzerkonto besteht.

Führen wir das obige Beispiel aus der analogen Welt fort: Möchte ich jemanden mit dem Beobachten der von mir mehrfach gesehenen Person beauftragen, muss dieser Jemand wissen, wie er die Person identifizieren kann. Die nächstliegende Methode wäre hier, möglichst genaue Informationen zu der Person zu übermitteln, damit gezielt nach einer Person Ausschau gehalten werden kann, die diesem Profil entspricht. Ein solches Profil könnte etwa wie folgt lauten: „Männliche Person mit heller Jeans, grauer Jacke und schwarzem Hut steigt morgens um 08:15 Uhr an der S-Bahnstation Heidelberger Platz in den ersten Wagen der S41“. Der Beobachter hätte so konkrete Anhaltspunkte und eine gewisse Wahrscheinlichkeit, die beschriebene Person am Folgetag in der S-Bahnstation anzutreffen.

Ganz ähnlich funktioniert das geräteübergreifende Tracking mit der „Probalistic-Predictive-Method“: Anhand von massenhaft gesammelter Daten zu Standort, technischen Eigenschaften und aufgerufenen Websites schaffen es Unternehmen wie Drawbridge, AdTruth und TapAd nach eigenen Aussagen, Auswertungen verschiedener Geräte einer einzigen Person zuzuordnen und so eine durchgehende Customer-Journey (also den Weg des Kunden auf verschiedenen Endgeräten) aufzuzeigen. Die Probalistic-Predictive-Method lässt sich auch mit der Log-In-Methode (Deterministic-Method) verbinden, indem einer Person, die bereits über ein Log-In identifiziert wurde, weitere (wahrscheinliche) Interessen zugeschrieben werden.

Die Silverpush-Technologie – wenn TV & Smartphone kommunizieren

Allein der Kontext eines durch den Nutzer aufgerufenen Mediums verrät oft schon viel über dessen (vermeintliche) Vorlieben. Entscheidet sich eine Person etwa dazu, eine bestimmte Fernsehsendung zu sehen, nimmt sie damit bestimmte Werbeeinblendungen in Kauf, von denen die Werbetreibenden annehmen, dass sie zur Sendung und dem durchschnittlichen Zuschauer passen. So ist es durchaus nicht unwahrscheinlich, dass sich eine Person, die ein FC Bayern München-Spiel im Fernsehen verfolgt und in der Werbepause einen Werbespot der Paulaner Brauerei anschaut (die favorisierte Biermarke des Vereins), sich für Bier interessiert und deswegen für die im Spot beworbene Marke zu gewinnen ist. Wäre es da nicht praktisch, wenn der Fernsehzuschauer noch während des Spiels zusätzliche Informationen zum Bier und ein dazu passendes Gewinnspiel auf seinem Smartphone erhielte?

Mit der Silverpush-Technologie ist das – aus technischer Sicht – kein Problem mehr, denn der Fernseher kann mit dem Smartphone des Fußballfans kommunizieren, das neben diesem auf dem Sofa liegt. Das TV-Gerät informiert das Smartphone (genauer gesagt: bestimmte Apps, in die die Silverpush-Technologie integriert ist) z. B. über den Werbeinhalt, über die Fernsehsendung und über technische Daten des Fernsehgeräts. Die App sendet diese Daten dann inklusive Daten zum Smartphones (z. B. MAC-Adresse, Geräte-ID, Telefonnummer) weiter an Silverpush.

Die Auswertung der Daten ermöglicht es u.a. festzustellen, wann der Fernsehzuschauer von einem Programm zum nächsten zappt oder aber aktiv auf dem Smartphone nach weiteren Informationen zum beworbenen Produkt sucht. Der Fernsehzuschauer erfährt hiervon gar nichts, da die Kommunikation zwischen Fernseher und Smartphone über hochfrequente, für das menschliche Ohr nicht wahrnehmbare Signale erfolgt. Diese Klangschnipsel, sogenannte Sound-Beacons, werden direkt in den Werbespot eingebettet.

Welches geräteübergreifende Tracking ist rechtskonform?

Ob eine Tracking-Methode zulässig ist, hängt zunächst davon ab, ob entweder eine gesetzliche Erlaubnis für die Datenverarbeitung besteht oder der Betroffene in die Datenverarbeitung eingewilligt hat. Für die Profilbildung mittels Nutzungsdaten sieht das Gesetz die bereits angesprochene Erlaubnis vor (§ 15 Abs. 3 TMG). Da im Falle des Trackings registrierter Nutzer jedoch in der Regel nicht nur Nutzungsdaten, sondern auch Bestandsdaten und Inhaltsdaten verarbeitet werden (und somit ein von den Aufsichtsbehörden so bezeichnetes „explizites Profil“ vorliegt) ist die Erlaubnisnorm hier nicht anwendbar; eine Einwilligung des Nutzers ist erforderlich.

Bei der Probalistic-Predictive-Method werden zwar nach Aussage der Anbieter lediglich statistische Daten verarbeitet. Da das Ziel der Datenverarbeitung jedoch – wie bei herkömmlichen Tracking-Verfahren – das Erstellen eines möglichst präzisen Persönlichkeitsprofils ist, sollte aus rechtlicher Sicht von der Verarbeitung personenbezogener Daten ausgegangen werden. Dies trifft allemal dann zu, wenn IP-Adressen verarbeitet werden.

Davon zu trennen ist die Frage nach der Kategorie der Daten: Werden ausschließlich Nutzungsdaten verarbeitet, also keine Bestands- und Inhaltsdaten, kann die Probalistic-Predictive-Method auf § 15 Abs. 3 TMG gestützt werden. Nach derzeitiger Rechtslage besteht hier allerdings das Problem, dass nicht klar ist, ob nur der jeweilige Websitebetreiber oder aber auch der Anbieter der Probalistic-Predictive-Technologie (hierbei kann es sich zum Beispiel um das Werbenetzwerk Adform handeln, das die AdTruth-Technologie nutzt) die Daten eigenverantwortlich verarbeiten darf. Fraglich ist auch, wie lange die erstellten Nutzungsprofile aufbewahrt werden dürfen.

In jedem Fall müsste der Nutzer gemäß § 13 Abs. 1 TMG über Art, Umfang und Zwecke der Erhebung und Verwendung seiner Daten sowie über die ggf. erfolgende Verarbeitung in Drittstaaten (= Staaten außerhalb des EU- bzw. EWR-Raums) und sein jederzeitiges Widerspruchsrecht aufgeklärt werden. Die Unterrichtung muss in allgemein verständlicher Form erfolgen. Neben diesen Hinweisen empfiehlt es sich, eine skriptbasierte Widerspruchsmöglichkeit (mit der Wirkung eines Cross-Screen-Opt-outs) in die Datenschutzerklärung einzubinden.

Die Informationspflicht resultiert aus dem datenschutzrechtlichen Transparenzprinzip. Die Anwendung dieses Prinzips soll den Betroffenen befähigen, gegen eine ggf. rechtswidrige Verarbeitung seiner Daten vorzugehen. Transparente Informationen über eine Datenverarbeitung ermöglichen so erst, dass der Betroffene sein grundrechtlich geschütztes Recht auf informationelle Selbstbestimmung wahrnehmen kann. Der Betroffene soll, so jedenfalls die Idee, Herr seiner Daten bleiben.

Dies ist beim aktuell praktizierten Einsatz der Silverpush-Sound-Beacon-Methode ganz offensichtlich nicht der Fall. Denn der Betroffene weiß hier gar nicht, dass eine Datenverarbeitung stattfindet. Ein rechtskonformer Einsatz von Sound-Beacons würde daher voraussetzen, dass der Nutzer in allgemein verständlicher Weise über den Einsatz der Technologie und über die übrigen in § 13 Abs. 1 TMG genannten Angaben informiert wird. Allerdings werden beim Einsatz von Silverpush ohnehin nicht nur Nutzungs-, sondern auch Bestands- und Inhaltsdaten (z. B. Telefonnummern) verarbeitet, weshalb der Einsatz der Technologie ohne aktive Einwilligung des Betroffenen nach europäischem Recht klar rechtswidrig ist.

Trotz fehlender Einwilligungsmöglichkeit ist die Technologie derzeit einer Stellungnahme des Center for Democracy and Technology (CDT) zufolge in sechs bis sieben Apps integriert, die wiederum auf 18 Millionen Smartphones installiert sind. Hier ist es nur folgerichtig, dass etwa das Antiviren-Unternehmen Avira die Notbremse zog, die Silverpush-Lösung als Trojaner klassifizierte und entsprechend blockiert. Die fehlende Rechtssicherheit verfügbarer Cross-Device-Methoden ist sicher auch ein Grund dafür, dass nach einer Studie des deutschen Werbenetzwerkes intelliAD gerade einmal 15 % der Verantwortlichen für Online-Marketing in Deutschland Cross-Device-Technologien nutzen.

Fazit: Datenschutz von Anfang an berücksichtigen

Aus Sicht werbetreibender Unternehmen bleibt zu hoffen, dass die Hersteller moderner Tracking-Technologien wie den Sound-Beacons in Zukunft von Anfang an das Datenschutzrecht beachten und von sich aus auf einen datenschutzkonformen Einsatz ihrer Technologie hinwirken. Andernfalls besteht die Gefahr, dass vielversprechende und kreative Technologien als nicht-einsatzfähig verworfen werden, weil etwa die Möglichkeit einer rechtskonformen und gleichzeitig userfreundlichen Einwilligung unberücksichtigt bleibt. Anders formuliert: Selten ist eine datenverarbeitende Technologie als solche rechtswidrig; auf ihren rechtskonformen Einsatz kommt es an!

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

ISO 27001 Zertifizierung von E-Mail-Marketing- und Lead Management-Anbieter SC-Networks [Best Practice]

E-Mail-Marketing und die (teil-)automatisierte Vertiefung von Kundenbeziehungen mit Inhalten (Lead-Management) erfordern aufgrund ihrer Komplexität ausgereifte technische Lösungen. Außerdem sollte bei solchen Angeboten als Software as a Service (SaaS) in besonderem Maße auf IT-Sicherheit und Datenschutz geachtet werden. So ist es etwa datenschutzrechtlich spätestens seit dem Ende von Safe Harbor schwierig, auf US-amerikanische Anbieter zu setzen. Stattdessen lohnt es sich, E-Mail-Marketing-Anbieter aus Deutschland in Erwägung zu ziehen. Einer davon ist die SC-Networks GmbH mit dem Produkt Evalanche. Bereits seit einigen Jahren ist ein Experte der activeMind AG bei SC-Networks als externer Datenschutzbeauftragter bestellt. Nun begleiteten wir das Unternehmen als externer IT-Sicherheitsbeauftragter auch zur erfolgreichen ISO 27001 Zertifizierung. SC-Networks Geschäftsführer Martin Philipp erklärt im Best Practice Interview, welche Anforderungen und Maßnahmen gemeinsam mit der activeMind AG umgesetzt werden konnten.

Welche besonderen Anforderungen hat SC-Networks an Datenschutz und Datensicherheit?

Grundsätzlich sind Datenschutz und IT-Sicherheit ja für jedes Unternehmen, das personenbezogene Daten verarbeitet, speichert und nutzt, äußerst relevante Aufgaben. Für unser Unternehmen gilt zusätzlich, dass beim E-Mail-Marketing und Lead-Management besonders sensible Daten erhoben werden. So kombinieren wir beispielsweise Nutzungsdaten und Identifikationsmerkmale der Kunden unserer Kunden. Hierfür gibt das Bundesdatenschutzgesetz (BDSG) sehr strenge Richtlinien vor.

Unsere größten Anliegen sind in der Folge der Schutz der Vertraulichkeit, Verfügbarkeit und Integrität dieser Daten, so dass unsere Kunden stets in Übereinstimmung mit dem Gesetz und bestmöglich gefeit vor Missbrauch der Daten sind. Zu den spätestens seit dem NSA-Skandal gestiegenen Sicherheitsansprüchen bei den Kunden kommen aktuelle Entwicklungen wie das Ende des Safe-Harbor-Abkommens und damit verbunden verstärkte Prüfungen durch die Datenschutz-Aufsichtsbehörden.

Generell sehen wir uns als Dienstleister in der Verantwortung, die Daten unserer Kunden mittels modernster Technologie und optimiertem Management zu schützen. Denn nur dann können unsere Kunden das auch ihren Kunden anbieten. Das sehr erfolgreiche Ergebnis ist Evalanche – eine datenschutzkonforme Software, die jedem Anwender umfangreiche Funktionalitäten und Konfigurationsmöglichkeiten für rechtssicheres E-Mail-Marketing und Lead-Management bietet.

Wenn IT-Sicherheit einen solchen Stellenwert in Ihrem Unternehmen hat, warum haben Sie die Implementierung der ISO 27001 Anforderungen nicht durch eigene Mitarbeiter realisiert, sondern extern beauftragt?

Wer IT-Sicherheit gewährleisten will, muss nicht nur über technologische Expertise verfügen, sondern auch viele rechtliche Vorgaben beachten. Da ist es durchaus schwer, den Überblick zu behalten, auch weil der Gesetzgeber etwa mit dem neuen IT-Sicherheitsgesetz nicht gerade zur Klarheit beiträgt.

Die Unterstützung durch einen professionellen Dienstleister lag also nahe. Die activeMind AG kennen wir als langjährigen Partner aus dem Bereich Datenschutz und konnten demnach gut einschätzen, was uns erwartet. Ein weiterer Vorteil ist, dass Datensicherheit und Datenschutz kaum zu trennen sind und ein Partner, der beides beherrscht, demzufolge die optimale Lösung darstellt. Außerdem ist SC-Networks so für die ab ca. 2018 zu erwartenden, strengeren gesetzlichen Regelungen der europäischen Datenschutz-Grundverordnung bestens gerüstet.

Welche konkreten IT-Sicherheits-Maßnahmen konnten Sie gemeinsam mit der activeMind AG umsetzen?

Wir lassen den TÜV alle datenschutz- und datensicherheitsrelevanten Unternehmensbereiche von SC-Networks – vom Rechenzentrum bis hin zu den einzelnen Mitarbeitern – prüfen. Um uns auf die Zertifizierung nach ISO/IEC 27001:2013 vorzubereiten, fanden zunächst mehrere interne Auditierungen statt. Hierbei erwies es sich aus unserer Perspektive als sehr hilfreich, dass Klaus Foitzick von der activeMind AG selbst berufener Auditor des TÜV ist und somit genau wusste, was zu tun war.

Es folgte die Umsetzung organisatorischer und technischer Maßnahmen, um alle Anforderungen der ISO 27001 zu erfüllen. Der Erfolg war dann unmittelbar sichtbar: Beim Zertifizierungs-Audit verzeichneten die Prüfer für SC-Networks keine einzige Abweichung von den Vorgaben für das Informationssicherheits-Managementsystem (ISMS).

Wie haben die Mitarbeiter und Kunden von SC-Networks auf die Zertifizierung reagiert?

Wir haben die ISO 27001-Zertifizierung über Pressemeldungen, Newsletter, unseren Corporate-Blog und soziale Netzwerke kommuniziert. Viele Erfahrungen flossen sogar direkt in ein E-Book zum rechtssicheren E-Mail-Marketing ein.

Das Feedback war natürlich durchweg positiv. Für unsere Kunden hat das ja auch nur Vorteile, weil hohe Verfügbarkeit unserer IT-Systeme, sichere Integrität aller betrieblichen Informationen und optimaler Schutz von vertraulichen Daten nun offiziell nachgewiesen wurden.

Die ISO 27001 bestätigt aber nicht nur die aktuelle Qualität und Sicherheit der IT-Systeme und Geschäftsprozesse, die wir unseren Kunden und Partnern zur Verfügung stellen. Sie gewährleistet darüber hinaus auch regelmäßige und fortlaufende Kontrollen durch den TÜV.

Würden Sie activeMind weiterempfehlen?

Unbedingt! Ich denke jedes Unternehmen kann vom umfassenden Know-how der Mitarbeiter von activeMind profitieren. Hier werden juristischer Sachverstand und technisches Wissen kombiniert. Man lernt also nicht nur was man tun muss, um dem Gesetz zu genügen, sondern auch noch wie das am besten geht. Ein weiterer Pluspunkt: Bei der activeMind AG hat man seinen ganz persönlichen Ansprechpartner, der nicht erst in einer Akte nachsehen muss, wer man überhaupt ist. Stattdessen kennt er das Unternehmen und seine speziellen Anforderungen an Datenschutz und Datensicherheit. Das ist für mich als Kunden sehr sympathisch!

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Schadensersatz & Datenschutz: Deutsches Recht vs. EU-Datenschutz-Grundverordnung

Fügt ein Unternehmen einer Person durch eine rechtswidrige Datenverarbeitung einen Schaden zu, hat diese Person in bestimmten Fällen Anspruch auf Schadensersatz. Doch welche Bedingungen müssen erfüllt sein, damit das datenschutzrechtliche Schadensersatzrecht greift? Und welches Unternehmen ist unter welchen Umständen für eine rechtswidrige Datenverarbeitung verantwortlich? Antworten auf diese Fragen finden Sie im folgenden Artikel. Dabei gehen wir auf das geltende Datenschutzrecht in Deutschland ebenso ein, wie auf die voraussichtlich 2018 in Kraft tretende europäische Datenschutz-Grundverordnung.

Bedingungen: Wann greift datenschutzrechtliches Schadensersatzrecht?

Bedingungen nach geltendem Datenschutzrecht

Maßgeblich für das Bestehen eines Schadensersatzanspruchs ist nach geltendem Recht zunächst,

  1. ob es sich um einen immateriellen Schaden oder um einen Vermögensschaden handelt und
  2. ob der Schaden durch eine EDV-unterstützte oder aber durch eine Papierdatenverarbeitung verursacht wurde.

Ein immaterieller Schaden ist derzeit nur gegenüber einer öffentlichen Stelle ersatzfähig (hierzu zählen auch öffentlich-rechtliche Wettbewerbsunternehmen) und dann auch nur, wenn er durch eine EDV-unterstützte Verarbeitung verursacht wurde.

Bei einem Vermögensschaden ist die Verarbeitungsform dagegen nicht relevant: Sowohl gegenüber öffentlichen als auch gegenüber nichtöffentlichen Unternehmen kann ein Betroffener hier den Schaden geltend machen.

Unerheblich ist in jedem Fall die Art der datenschutzrechtlichen Vorschrift, gegen die verstoßen wurde: Es kann sich um eine Regelung des Bundesdatenschutzgesetzes, eine Datenschutzvorschrift eines anderen Gesetzes oder aber um eine datenschutzrelevante Regelung einer Betriebsvereinbarung handeln. Im Bundesdatenschutzgesetz ist der Schadensersatz in den §§ 7 und 8 BDSG geregelt.

Bedingungen nach der Datenschutz-Grundverordnung

Der offensichtlichste Unterschied zu geltendem Recht ist, dass materielle und immaterielle Schäden gleichermaßen einen Schadensersatzanspruch begründen können.

Diese Aufwertung immaterieller Schäden dürfte den Schadensersatz im Datenschutzrecht erheblich bedeutsamer machen. Denn die meisten Schäden, die aus einer fehlerhaften Datenverarbeitung resultieren, beinhalten einen Eingriff in das Persönlichkeitsrecht und sind somit vornehmlich immaterieller Art.

Da die Datenschutz-Grundverordnung nicht mehr zwischen öffentlichen und nichtöffentlichen Unternehmen unterscheidet, bestehen auch in dieser Hinsicht keine Unterschiede mehr.

Schadensnachweis: Wann haftet ein Unternehmen?

Schadensnachweis nach geltendem Datenschutzrecht

Möchte der Betroffene nach geltendem Recht Schadensersatz gegenüber einem nichtöffentlichen Unternehmen geltend machen, muss er nachweisen, dass ein Schaden entstanden ist und ihm dieser durch eine rechtswidrige Datenverarbeitung des Unternehmens zugefügt wurde. Gelingt ihm das, wird dem Unternehmen unterstellt, dass es die Datenverarbeitung verschuldet hat. Der Betroffene braucht somit nicht auf die genauen Umstände der rechtswidrigen Datenverarbeitung im Unternehmen einzugehen. Dies ist vielmehr Aufgabe des Unternehmens, wenn es sich von der Schadensersatzpflicht befreien möchte. Das Unternehmen müsste dann nachweisen, dass der Schaden eingetreten ist, obwohl es stets sorgfältig gehandelt hat.

Anders ist dies, wenn der Schaden durch eine EDV-unterstützte Datenverarbeitung einer öffentlichen Stelle verursacht wurde. Hier ist die Stelle zum Schadensersatz verpflichtet – unabhängig davon, ob sie die rechtswidrige Verarbeitung zu vertreten hat oder nicht.

Mit den aus Unternehmenssicht insgesamt günstigen Nachweisregeln hat der deutsche Gesetzgeber den Umsetzungsspielraum der europäischen Datenschutzrichtlinie aus dem Jahr 1995 ausgenutzt. Denn die Richtlinie differenziert weder zwischen EDV-unterstützten- und Papier-Datenverarbeitungen, noch zwischen öffentlichen und nichtöffentlichen Stellen. Auch eine Einschränkung auf die Schadensart (immateriell bzw. materiell) ist der Richtlinie nicht zu entnehmen. Nach der Richtlinie sind zudem nicht nur solche Personen schadensersatzberechtigt, deren Daten verarbeitet wurden, sondern „jede Person, der wegen einer rechtswidrigen Verarbeitung […] ein Schaden entsteht“.

Schadensnachweis nach der Datenschutz-Grundverordnung

Da die Datenschutz-Grundverordnung im Gegensatz zur EU-Richtlinie den Mitgliedstaaten keinen Umsetzungsspielraum lässt, darf der deutsche Gesetzgeber hier keine Einschränkungen vornehmen.

Nach der Verordnung wird es für Unternehmen schwieriger sein, sich von der Haftung mit Verweis auf die eigene Sorgfalt zu befreien. Denn dies ist nach Artikel 77 der Grundverordnung nur noch dann möglich, wenn das Unternehmen jede Verantwortlichkeit für das den Schaden auslösende Ereignis von sich weisen kann. Vorstellbar wäre etwa höhere Gewalt oder ein rechts- oder vertragswidriges Verhalten des Betroffen.

Haftung: Wer ist für die rechtswidrige Verarbeitung verantwortlich?

Haftung nach geltendem Datenschutzrecht

Nach geltendem Datenschutzrecht haftet zunächst einmal die verantwortliche Stelle im Sinne von § 3 Abs. 7 BDSG. Nur ausnahmsweise kommt auch eine Haftung eines von der verantwortlichen Stelle beauftragten Datenverarbeiters infrage.

Der beauftragte Datenverarbeiter ist dann verantwortlich, wenn er die Daten eigenmächtig – entgegen den Weisungen des Auftraggebers – verarbeitet. Der Auftragnehmer wird dann aus datenschutzrechtlicher Sicht zu einer eigenen verantwortlichen Stelle; er verarbeitet die ihm anvertrauten Daten buchstäblich nicht mehr „im Auftrag“. Dies trifft auch dann zu, wenn der Auftragnehmer die Daten für eigene Zwecke verwendet.

Darüber hinaus haftet der Auftragnehmer, wenn er weiß, dass eine Weisung seines Auftraggebers rechtswidrig ist und er es unterlässt, den Auftraggeber darauf hinzuweisen.

Umstritten ist, ob der Auftragnehmer eine aus seiner Sicht rechtswidrige Datenverarbeitung aussetzen muss, wenn er den Auftraggeber auf die Rechtswidrigkeit hinweist, dieser aber an der Datenverarbeitung festhält. Nach der hier vertretenen Auffassung entsteht auf Seiten des Auftragnehmers in diesem Fall keine (haftungsbegründende) Verantwortlichkeit, da das Gesetz lediglich eine Hinweispflicht, nicht aber eine Unterlassungspflicht für den bundesdatenschutzrechtlich nicht-verantwortlichen Auftragnehmer vorsieht.

Haftung nach der Datenschutz-Grundverordnung

Die Beschränkung der Haftung auf die verantwortliche Stelle im Bundesdatenschutzgesetz birgt für den Geschädigten erhebliche praktische Probleme. Denn in vielen Fällen dürfte ihm unklar sein, wer für die Datenverarbeitung rechtlich die Verantwortung trägt; bekannt ist ihm oft nur die Stelle, die seine Daten erhoben und verarbeitet hat.

Die Grundverordnung versucht hier der Praxis gerecht zu werden, indem sie sowohl die verantwortliche Stelle (controller) als auch den Auftragnehmer (processor) als Haftende vorsieht. Ähnlich der derzeitigen Rechtslage ist der Auftragsdatenverarbeiter allerdings nur dann schadensersatzpflichtig, wenn er gegen eine in der Verordnung geregelte Auftragnehmerpflicht verstößt oder aber weisungswidrig handelt.

Neben der Haftung einer verantwortlichen Stelle oder eines Auftragnehmers kommt nach der Grundverordnung auch eine gesamtschuldnerische Haftung mehrerer Datenverarbeiter in Frage. Hier kann es sich, wie in der klassischen Auftragsdatenverarbeitung, um eine verantwortliche Stelle und einen oder mehrere Auftragnehmer handeln. Möglich ist aber gemäß Artikel 24 der Grundverordnung auch, dass es für eine Datenverarbeitung mehrere verantwortliche Stellen gibt (derzeit findet sich eine solche Regelung nur in den Landesdatenschutzgesetzen, die nur für Landesbehörden gelten).

Solche „Joint Controllers“ zeichnet aus, dass sie gemeinsam die Zwecke und Mittel der Datenverarbeitung festlegen. Gemeinsam verantwortliche Stellen sind verpflichtet, ihre jeweiligen Verantwortlichkeiten hinsichtlich der Datenverarbeitung aufzuteilen und vertraglich festzuhalten. Auch wenn somit grundsätzlich jede verantwortliche Stelle gleichermaßen gegenüber dem Betroffenen zum Schadensersatz verpflichtet ist, besteht zwischen den Joint Controllers, entsprechend der vertraglichen Aufgabenzuweisung, eine geteilte Verantwortung. Artikel 77 Abs. 5 der Verordnung räumt daher einem Unternehmen, das den vollen Schadensersatz geleistet hat, einen Rückgriff auf die übrigen verantwortlichen Stellen ein.

Vor welchem Gericht kann ein Schaden geltend gemacht werden?

Die „Europäisierung“ des Datenschutzrechts durch die Grundverordnung führt nicht dazu, dass der Betroffene zur Geltendmachung seines Schadensersatzrechts in ein anderes Land reisen muss. Dies stellt Artikel 75 Abs. 2 der Grundverordnung klar, wonach sowohl verantwortliche Stellen als auch Auftragsdatenverarbeiter entweder an deren Niederlassungsort oder am Aufenthaltsort des Betroffenen verklagt werden können. Zuständig sind – wie auch nach geltendem Recht – in Deutschland die Zivilgerichte, in Arbeitnehmer-Arbeitgeber-Streitigkeiten die Arbeitsgerichte. Von dieser Regelung ausgenommen ist nur nationales Behördenhandeln, hier muss der Betroffene vor das heimische Gericht der Behörde ziehen.

Fazit: Das Schadensersatzrecht wird bedeutsamer

Das Schadensersatzrecht ist – neben dem Recht auf Löschung, Sperrung und Berichtigung – das Wiedergutmachungsrecht des Betroffenen bei Datenschutzverstößen eines Unternehmens. Derzeit erweist sich das Recht für Unternehmen allerdings noch als harmlos. Mit der Möglichkeit, immaterielle Schäden auch gegenüber nichtöffentlichen Unternehmen geltend machen zu können, verschafft die Grundverordnung dem Schadensersatzrecht einen Bedeutungszuwachs, auf den sich Unternehmen frühzeitig einstellen sollten.

Die ausdrückliche Erlaubnis, die Verantwortung für eine Datenverarbeitung aufzuteilen, birgt für Unternehmen große Vorteile, bedarf allerdings einer sauberen vertraglichen Grundlage um entsprechend wirksam zu sein. Der erforderliche datenschutzrechtliche Sachverstand sollte frühzeitig hinzugezogen werden.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!