Rekordbußgeld gegen schwedischen Modekonzern wegen Überwachung von Mitarbeitern

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) verhängte am 1. Oktober 2020 ein Bußgeld in Höhe von 35,3 Mio. Euro gegen den schwedischen Modekonzern H&M Hennes & Mauritz Online Shop A.B. & Co. KG. Dem Unternehmen wird vorgeworfen, Hunderte seiner Mitarbeiter jahrelang überwacht zu haben (siehe auch die Pressemitteilung des HmbBfDI).

Hintergrund der DSGVO-Geldbuße

Seit mindestens 2014 führten Vorgesetzte mit Beschäftigten im H&M-Servicecenter Nürnberg sowohl nach kurzen als auch längeren urlaubs- und krankheitsbedingten Abwesenheiten sogenannte Welcome Back Talks durch. Im Rahmen dieser Gespräche wurden auch etliche private Lebensumstände der Beschäftigten abgefragt. Hierbei erfasste man neben konkreten Ausführungen zu Urlaubserlebnissen sogar Krankheitssymptome und Diagnosen.

Zusätzlich eigneten sich einige Vorgesetzte viel Wissen über private Umstände ihrer Mitarbeiter über Flur- und Einzelgespräche an. Informationen umfassten u.a. Details über familiäre Probleme sowie religiöse Bekenntnisse. Diese Informationen wurden zum Teil aufgezeichnet, digitalisiert auf einem Laufwerk abgelegt und waren für bis zu 50 weitere Führungskräfte einsehbar. Die Aufzeichnungen über die Beschäftigten wiesen zudem einen hohen Detailierungsgrad auf und wurden teilweise fortlaufend ergänzt. Mit Hilfe dieser Daten konnte so eine akribische Auswertung der Arbeitsleistung der einzelnen Mitarbeiter vorgenommen werden. Zusätzlich wurden die Daten genutzt, um Profile über die Mitarbeiter zu erstellen, die Auswirkungen auf ihr Beschäftigungsverhältnis bei H&M hatten.

Nur durch einen technischen Fehler im Oktober 2019 wurde die gelebte Praxis des Konzerns bekannt, da diese Informationen zeitweise unternehmensweit eingesehen werden konnten. Es stellte sich heraus, dass die über die Mitarbeiter gesammelten Informationen insgesamt eine Datensatzgröße von 60 Gigabyte umfassten.

Der Konzern ergriff hiernach Maßnahmen, indem das Datenschutzkonzept um neue Aspekte ergänzt wurde. Diese umfassen unter anderem monatliche Datenschutz-Updates als auch ein konsistentes Auskunfts-Konzept.

Tipp: Wir analysieren regelmäßig von den Aufsichtsbehörden verhängte DSGVO-Bußgelder, damit Sie in Ihrem Unternehmen nicht die gleichen Fehler machen!

Begründung der Bußgeldhöhe

Das verhängte Bußgeld ist nach dem Bußgeld gegen den Immobilienkonzern Deutsche Wohnen das höchste, was seit Einführung der DSGVO von einer deutschen Aufsichtsbehörde verhängt wurde. Im Hinblick auf die schwere Missachtung des Beschäftigtendatenschutzes sei „das verhängte Bußgeld dementsprechend in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken“, so Prof. Dr. Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit. Positiv hervorzuheben sei zwar, dass die Konzernleitung nach Bekanntwerden des Datenschutzverstoßes die Verantwortung für ihr Handeln übernahm, sich bei den Beschäftigten entschuldigte und ihnen „einen unbürokratischen Schadensersatz in beachtlicher Höhe“ in Aussicht stellte. Nichtsdestotrotz änderte dies nichts an der Höhe des festgesetzten Bußgeldes, da die gravierende Verletzung beim Verstoß gegen den Beschäftigtendatenschutz bereits eingetreten ist.

H&M hat die Forderung des HmbBfDI mittlerweile ohne Widerspruch akzeptiert, so dass die Entscheidung über das Bußgeld rechtskräftig geworden ist. Zwar sei die Höhe des Bußgeldes aus Sicht des Konzerns im Hinblick auf den lokalen Vorfall unverhältnismäßig, jedoch wolle H&M diesen Vorfall hinter sich lassen und habe sich daher entschieden das Bußgeld in voller Höhe zu akzeptieren.

Datenschutzrechtliche Einschätzung

Dieser Fall macht deutlich, dass die faktische Einhaltung des Datenschutzes und die Maßnahmen, die u.a. in einem Datenschutzkonzept beschrieben sind, von enormer Wichtigkeit sind. Auf der anderen Seite sind auch hohe Bußgelder durch Aufsichtsbehörden nicht (mehr) nur theoretischer Natur.

Datenschutzrechtliche Compliance kann nur gewährleistet werden, wenn im Unternehmen ein Datenschutz-Managementsystem implementiert ist, welches dem PCDA-Modell (Planung, Umsetzung, Kontrolle und Optimierung) entspricht. Nur so kann sichergestellt werden, dass datenschutzrechtliche Maßnahmen wirksam umgesetzt und ständig verbessert werden können.

Neben umfassenden Planungsdokumenten wie einem Datenschutzkonzept ist es wichtig, die hierin beschriebenen Maßnahmen im Unternehmen auch zu leben. Dies umfasst neben den technisch und organisatorischen Maßnahmen (TOM) nach Art. 32 DSGVO auch regelmäßige Kontrollen, um sich an aktuelle Gegebenheiten anpassen zu können.

Ein solch schwerwiegender Verstoß gegen den Beschäftigtendatenschutz wie im Beispiel von H&M erschüttert nicht nur das Vertrauen der eigenen Beschäftigten, sondern hat auch einen erheblichen Reputationsverlust für den gesamten Konzern zur Folge. Lassen Sie es erst gar nicht so weit kommen!

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Aktuelle Entwicklungen zum Datenschutz bei Microsoft 365

Nachdem es viele Monate still um die Datenschutzkonformität von Microsoft 365 (früher Office 365) war, kommt nun wieder Bewegung in die Sache. Mehrere Aufsichtsbehörden und ein gewichtiges Gerichtsurteil machen den Einsatz von Microsoft 365 im Unternehmen nicht gerade leichter. Ein Überblick zu den aktuellen Entwicklungen rund um das beliebte Softwarepaket.

Videokonferenztools in Berlin

Bereits Anfang Juli 2020 hatte die Berliner Beauftragte für Datenschutz und Informationsfreiheit vom Einsatz des Videokonferenz-Tools Teams von Microsoft abgeraten, da einige Formulierungen in den entsprechenden Verträgen zumindest unklar seien. Microsoft hat dieser Auffassung widersprochen und einen Großteil der Kritikpunkte auf Übersetzungsfehler geschoben. Zudem soll die Behörde nicht mit den zur Verfügung gestellten Informationen gearbeitet haben.

Die übrigen deutschen Aufsichtsbehörden haben sich dieser Auffassung nicht offiziell angeschlossen, weswegen diese Einschätzung wohl primär in Berlin Beachtung finden sollte.

Beachten Sie dazu auch unseren großen Datenschutzvergleich von Videokonferenztools.

Bericht des europäischen Datenschutzbeauftragten

Fast zeitgleich hat der europäische Datenschutzbeauftragte einen 30-seitigen Bericht zum Einsatz von Microsoft-Produkten und -Diensten veröffentlicht. In diesem werden fünf Hauptkritikpunkte erfasst, welche sich durch Einstellungen und vertragliche Anpassungen lösen lassen sollen:

  1. Microsoft agiert in Teilen als Verantwortlicher für die personenbezogenen Daten, was nicht ohne Weiteres möglich ist. Daher sollte vertraglich vereinbart werden, dass Microsoft eben kein Verantwortlicher werden und lediglich Auftragsverarbeiter sein soll.
  2. Microsoft soll beim Einsatz von Subdienstleistern zu intransparent vorgehen. Der Verantwortliche hat keine Möglichkeit der Auswahl oder der Kontrolle bei den Subdienstleistern. Es sollten daher der Einsatz neuer Subdienstleister transparenter geregelt und insbesondere Kontrollen vor Ort vertraglich festgelegt werden.
  3. Des Weiteren wird der internationale Datentransfer kritisiert. Es sei nicht klar geregelt, wo personenbezogene Daten gespeichert und wohin sie übermittelt werden. Es werden zudem keine Maßnahmen eingerichtet, die die Daten angemessen außerhalb der EU bzw. des EWR schützen. Es sollte daher genau geregelt werden, wo personenbezogene Daten gespeichert werden und wie der Schutz in Drittländern sichergestellt wird.
  4. Die Datenübermittlung von Diagnosedaten ist ebenfalls nicht in vollem Umfang rechtmäßig. An dieser Stelle sollten die in unserem Ratgeberartikel zum datenschutzkonformen Einsatz von Microsoft 365 genannten Konfigurationen umgesetzt werden, um die Übermittlung der Diagnosedaten weitestgehend zu unterbinden.
  5. Es fehlt an Transparenz hinsichtlich der Art, des Umfangs und des Zwecks der Verarbeitung. Daher ist es dem Verantwortlichen nicht möglich, die Risiken für die betroffene Person korrekt zu bestimmen und diese entsprechend zu informieren. Es sollten daher die Umstände der Verarbeitung vertraglich genau festgelegt werden.

Wie sich zeigt, ist in den meisten Fällen eine vertragliche Anpassung unumgänglich. Inwiefern eine solche Vertragsanpassung realistisch ist, hängt sehr stark von der eigenen Marktmacht ab. Wohl nur größere Unternehmen können Microsoft hier zu einer Änderung bewegen. Für alle anderen bleibt lediglich zu hoffen, dass Microsoft selbst einlenkt, um negative Folgen zu vermeiden. Schließlich besteht ein Bußgeldrisiko nicht nur für den Verantwortlichen, sondern auch für den Auftragsverarbeiter.

Privacy-Shield, EuGH & Schrems II

Hinzu kommt das Schrems II-Urteil des EuGHs vom 16. Juli 2020, welches den Datentransfer in die Vereinigten Staaten faktisch in weitem Teilen untersagt. Davon sind auch die Dienste von Microsoft betroffen, die in weiten Teilen personenbezogene Daten in die Vereinigten Staaten weiterleiten. Allerdings konnten sich die Aufsichtsbehörden, wieder mit Ausnahme von Berlin, noch nicht dazu durchringen, ein klares Verbot gegen den Datentransfer auszusprechen. Hier dürften neben rechtlichen vor allem wirtschaftliche und politische Erwägungen eine Rolle spielen.

Offizielle Einschätzung der deutschen Datenschutzkonferenz

Laut Berichten des Nachrichtenmagazins Der Spiegel soll Mitte September ein Unterarbeitskreis der Deutschen Datenschutzkonferenz (DSK) zu dem Entschluss gekommen sein, dass sich Microsoft 365 nicht datenschutzkonform einsetzen lässt. Dies gelte auch, wenn die in unserem Artikel empfohlenen Einstellungen befolgt werden. Die Experten des Arbeitskreises hätten sich monatelang mit den Verträgen und Unterlagen beschäftigt und seien am Ende zu diesem Ergebnis gekommen.

Allerdings wurde der Bericht zu diesem Zeitpunkt noch nicht offiziell veröffentlicht. Hintergrund war, dass die Aufsichtsbehörde in Bayern Widerspruch gegen den Bericht und die Empfehlung erhoben haben. Formulierungen in dem Bericht seien rechtlich fragwürdig, weswegen eine Publikation noch nicht erfolgt war.

Inzwischen gibt es weitere Informationen zur Einschätzung der deutschen Datenschutzkonferenz. Diese hat scheinbar bereits am 22. September mit knapper Mehrheit beschlossen, dass kein datenschutzgerechter Einsatz von Microsoft 365 möglich ist. Hier bildet die Bewertung des Arbeitskreises vom 15. Juli 2020 die Grundlage für die Entscheidung. Hauptkritikpunkte sind die Intransparenz der Art und Verarbeitung von Daten und die fehlende Rechtsgrundlage für die Verarbeitung von Telemetriedaten.

Hoch interessant ist dabei, dass die Entscheidung denkbar knapp mit neun zu acht Stimmen ausgefallen ist. Gegen die uneingeschränkte Zustimmung sprachen sich unter anderem die Landesbeauftragten für den Datenschutz Baden-Württemberg, Bayern, Hessen und im Saarland sowie der Präsident des Bayerischen Landesamts für Datenschutzaufsicht aus. Diese Behörden sahen sich überdies zu einer eigenen Pressemitteilung genötigt, welche am 2. Oktober veröffentlicht wurde. In dieser stimmt man zwar damit überein, dass man bei Microsoft Office 365 erhebliche datenschutzrechtliche Verbesserungspotenziale sehe. Allerdings wäre die Gesamtbewertung der DSK zu undifferenziert, weswegen man diese nicht teilen könne. Zudem wurden alte Vertragsdokumente als Grundlage der Prüfung herangezogen, die in der Zwischenzeit bereits verbessert wurden. Man kritisiert ebenfalls, dass Microsoft nicht angehört wurde, was sich in einem rechtsstaatlichen Verfahren jedoch gehöre.

Erwähnt sei noch, dass auch Rheinland-Pfalz und Sachsen gegen die Entscheidung gestimmt, sich jedoch nicht an der Pressemitteilung beteiligt haben.

In der Folge hat die DSK einstimmig beschlossen, dass nun eine Arbeitsgruppe eingesetzt wird, die unter Federführung der Landesbeauftragten für den Datenschutz Brandenburg und des Bayerischen Landesamts für Datenschutzaufsicht zeitnah Gespräche mit dem Hersteller aufnehmen soll. Die Bewertung vom 15. Juli 2020 soll dabei als relevante Arbeitsgrundlage dienen. Insgesamt wird das ambitionierte Ziel verfolgt, gemeinsam mit Microsoft den Datenschutz von Microsoft 365 auf ein Niveau zu heben, dass das Produkt bedenkenlos in Deutschland eingesetzt werden kann. Microsoft hat bereits zu erkennen gegeben, dass man sich am Austausch beteiligen möchte.

Aktuelle Handlungsempfehlung

Wer vollständig rechtssicher agieren möchte, der muss aktuell auf den Einsatz von Microsoft 365 verzichten. Allerdings dürfte das für die wenigsten Unternehmen in Frage kommen, da die Software des Herstellers omnipräsent im Alltag ist. Wie also damit umgehen?

Zunächst ist es wichtig, dass nach Möglichkeit alle Konfigurationen zur Verbesserung des Datenschutzes (gemäß unserer Anleitung) vorgenommen werden. Doch selbst wenn alle Punkte beachtet werden, bleibt ein gewisses Restrisiko. Nüchtern betrachtet dürfte dieses in den Bundesländern, die gegen die Entscheidung votiert hatten, gering ausfallen. Es wäre durchaus schizophren, wenn einerseits der Beschlussfassung nicht zugestimmt wird, andererseits jedoch gegen den Einsatz vorgegangen wird. Durch ein solches Verhalten wird die Glaubwürdigkeit und Eigenständigkeit aufs Spiel gesetzt. Zudem wäre es fragwürdig, wenn gegen den Nutzer vorgegangen wird, der in der Praxis keine Einflussmöglichkeit auf die Verträge hat, und nicht gegen Microsoft selbst. Ferner sprechen die genannten Aufsichtsbehörden von Rechtsunsicherheiten und nicht von einer Rechtswidrigkeit. Daher scheint es nicht sehr wahrscheinlich, dass man während der bald startenden Diskussion mit Microsoft bereits gegen Unternehmen vorgeht, die Microsoft 365 im Einsatz haben.

Anders ist dies in den übrigen Bundesländern. Dort vertreten die Aufsichtsbehörden zum jetzigen Stand, dass der Einsatz gegen geltende Datenschutzgesetze verstößt. Es ist daher nicht auszuschließen, dass diese Einschätzung bei der Prüfung von Unternehmen herangezogen wird. Insbesondere die Berliner Aufsichtsbehörde hat sich den Ruf erarbeitet, schneller gegen etwaige Missstände in Unternehmen vorzugehen und entsprechende Bußgelder zu verhängen. Als Argumentation der Verantwortlichen bliebe dann nur noch, dass die bisherige Bewertung auf veralteten Dokumenten beruht und diese zunächst aufgrund der aktualisierten Vertragsunterlagen erneuert werden müsste.

Im Ergebnis bleibt also in jedem Fall ein Restrisiko, welches je nach zuständiger Aufsichtsbehörde unterschiedlich hoch zu bewerten ist. Es bleibt daher abzuwarten, wie die anstehenden Gespräche mit Microsoft verlaufen und wie sich die Aufsichtsbehörden in Zukunft hierzu äußern. Verantwortliche sollten in jedem Fall wachsam bleiben, ob der Einsatz von Microsoft 365 bei einer Prüfung durch Aufsichtsbehörden bei anderen Unternehmen zukünftig bemängelt wird.

Hintergrund der Datenschutzprüfungen bei Office 365

Microsoft stand mit seinen Anwendungen Office ProPlus (Office 365, Office 2016 und Office 2019) seit längerem wegen übermäßiger Datennutzung in der Kritik. Die Einführung von Microsoft Office bei den öffentlichen Behörden in den Niederlanden nahm die dortige Aufsichtsbehörde zum Anlass, eine Datenschutz-Folgenabschätzung (DSFA) von Office ProPlus vorzunehmen.

Hintergrund der Datenschutzprüfung von MS Office

Hintergrund der Prüfung durch die Datenschutzaufsichtsbehörde waren Vertragsverhandlungen der niederländischen Regierung mit Microsoft. Zu dieser Zeit nutzten etwa 300.000 Arbeitsplätze bei den niederländischen Behörden Microsoft-Office-Anwendungen. Damals wurden in Office verarbeitete Daten noch lokal bei der jeweiligen Behörde auf deren Serversystemen gespeichert. Es war jedoch geplant, in Zukunft auch die Microsoft Cloud mit SharePoint und OneDrive zu nutzen. Daher umfasste die Prüfung sowohl die lokale als auch die Cloud-Speicherung. Getestet wurde zudem die Web-Version von Office 365.

Nicht erst seit Windows 10 war bekannt, dass Microsoft vermehrt Daten von Nutzern auch ohne deren Wissen oder Einwilligung sammelt. Aus diesem Grund entschied sich die niederländische Datenschutzbehörde eine Datenschutzfolgenabschätzung gemäß DSGVO vorzunehmen. Eine solche DSFA ist durchzuführen, wenn durch die Form der Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Vereinfacht gesagt, bewertet die Behörde dabei, ob die Verarbeitung noch den datenschutzrechtlichen Vorgaben entspricht. Da die Software in diversen Behörden genutzt werden sollte (genannt werden im Bericht u. a. Ministerien, Justiz, Polizei und Steuerbehörden), ging es hier nicht nur um die personenbezogenen Daten der Mitarbeiter selbst, sondern auch um die Informationen zu nahezu allen niederländischen Staatsbürgern.

Aufgrund des breiten Einsatzspektrums stellte der Bericht gleich eingangs klar, dass er keine abschließende Bewertung vornimmt. Dies ist dadurch bedingt, dass nicht in jedem Bereich gleich sensible Daten verarbeitet werden. Zudem war der Bericht nur eine Momentaufnahme, da Microsoft im Anschluss noch mehr Informationen zur Verfügung  stellte, so dass der Bericht aktualisiert und neue Versionen veröffentlicht wurden.

Um welche Daten geht es bei der Office-Nutzung?

Aktuell ist nicht bekannt, welche Daten konkret an Microsoft übertragen werden, da hierüber keine Informationen existieren und die Datenübertragung zu Microsoft verschlüsselt erfolgt. Fest steht nur, dass Daten an Microsoft in die Vereinigten Staaten übertragen werden. Aufgrund des Einsatzbereichs ging es in der DSFA nicht nur um die Informationen der Nutzer (Beamte/Mitarbeiter) selbst, sondern auch um die Inhalte der Dokumente.

Ein Problem besteht bereits in der Definition der übertragenen Daten. Orientiert man sich an der Logik der europäischen ePrivacy-Richtlinie, so wird zwischen drei Kategorien von Daten unterschieden:

  1. Der Inhalt der Kommunikation mit Microsoft, also die Dokumente und Daten selbst,
  2. Diagnosedaten, welche das Verhalten des individuellen Nutzers in Event Logs speichert und
  3. Funktionsdaten, welche notwendig sind, um die Verbindung zu Microsoft herzustellen.

Als Beispiel für Funktionsdaten wird etwa die Datenverarbeitung eines E-Mail-Servers genannt, der gewisse Daten benötigt, um einen Nutzer zu authentifizieren oder die Gültigkeit von dessen Lizenz zu überprüfen. Ebenso fällt hierunter der Übersetzungsservice, der nicht nur den zu übersetzenden Text überträgt, sondern ebenfalls den vorhergehenden und nachfolgenden Satz, um ein besseres Übersetzungsergebnis zu erlangen.

Der Unterschied zwischen Diagnose- und Funktionsdaten ist, dass letztere nur kurzzeitig verarbeitet und sofort gelöscht oder anonymisiert werden müssen. Solange Microsoft diese Daten also nicht längerfristig speichert oder ausreichend anonymisiert speichert, handelt es sich nicht um Diagnosedaten und die Verarbeitung ist datenschutzrechtlich unproblematisch.

Hier zeigt sich jedoch das angesprochene Problem: Microsoft nimmt eine andere Datenklassifizierung als nach der Logik der die ePrivacy-Richtlinie vor. Diagnosedaten umfassen für Microsoft lediglich die von Office über das Verhalten der Nutzer gesammelten Telemetriedaten. Ansonsten existiert keine Kategorie für Metadaten, die sonstige Telemetriedaten oder andere Metadaten erfasst und in Server Logs speichert. Microsoft nutzt hingegen den Begriff Nutzerdaten für alle vom Benutzer zur Verfügung gestellten Daten bei der Nutzung der Software.

Parallelen von Office zu Windows 10

Microsoft sammelt also Diagnosedaten auf verschiedene Arten, etwa systemgenerierte Event Logs oder über die Office-Telemetriedaten. Bereits unter Windows 10 gab es das Problem, dass Microsoft heimlich und verschlüsselte Daten abgegriffen und verschlüsselt an die eigenen Server in den USA übermittelt hat. Man konnte damals lediglich einen Datenstrom zu Microsoft nachvollziehen, hatte jedoch keine Informationen darüber, welche Daten und in welcher Menge diese übertragen wurden.

Die niederländische Aufsichtsbehörde stellte damals fest, dass Microsoft gegen geltendes Datenschutzrecht verstößt. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) äußerte sich in dieser Sache kritisch. Microsoft gab im Anschluss an die Untersuchungen durch diverse europäische Datenschutzbehörden Auskunft über die Datennutzung und stellte ein Analysetool zur Überprüfung der übertragenen Daten zur Verfügung. Es stellte sich heraus, dass Telemetriedaten von bis zu 1.200 verschiedenen Ereignissen an Microsoft übertragen und diese von zehn Teams ausgewertet wurden.

Diese Grenze wird bei den Office-Anwendungen um ein Vielfaches überschritten. Es werden zwischen 23.000 und 25.000 verschiedene Ereignisse an Microsoft übermittelt. In diesem Bereich ist die Aufklärung noch nicht beendet, da nicht einmal Microsoft selbst weiß, welche Arten von Daten hierbei genau übertragen werden. Diese Daten werden von 20 bis 30 Teams ausgewertet. Es zeigt sich also, dass die Datensammelwut von Office-Anwendungen weitaus höher ist als die unter Windows 10.

Ein Analysetool, um den Datenfluss einfach und vollständig zu überprüfen, existiert aktuell noch nicht. Vor dem Bericht ging Microsoft nicht einmal davon aus, dass Telemetriedaten überhaupt personenbezogene Daten enthalten. Diese Ansicht änderte sich, nachdem Administratoren der Behörden die Übertragung von Dateinamen, Dateipfade und E-Mail-Betreffe in Logs nachweisen konnten.

Die Rolle von Microsoft

Eine weiteres von der Behörde aufgedecktes Problem ist die Rolle von Microsoft im Rahmen der Datenverarbeitung. Microsoft selbst sieht sich lediglich als Auftragsverarbeiter, mit Ausnahme der nicht notwendigen Connected Services. Bei letzteren sieht sich Microsoft selbst als Verantwortlicher und gibt zwölf sehr weit gefasste Verarbeitungszwecke an. Eine Übersicht dieser Connected Services findet sich in Annex 1 (Seite 88) des Berichts. Sofern in der dritten Spalte Microsoft als „Controller“ identifiziert ist, handelt es sich um nicht notwendige Connected Services.

Hingegen dürfte Microsoft bei allen anderen Anwendungen als Auftragsverarbeiter lediglich Daten auf dokumentierte Weisung des Auftraggebers hin verarbeiten. Dies widerspricht allerdings den Zwecken, für die Microsoft von Office erhobene Diagnosedaten verarbeiten möchte:

  • Sicherheit,
  • Aktualität,
  • Funktionalität,
  • Produktentwicklung,
  • Produktneuerungen,
  • Ergebnisse aus Langzeitanalysen zur Unterstützung von maschinellem Lernen,
  • Zur gezielten Anzeige von Empfehlungen für den Nutzer sowie
  • Zwecke, die Microsoft für vereinbar mit diesen sieben Punkten hält.

Es zeigt sich, dass Microsoft die erhaltenen Daten für eigene Zwecke verwendet und auch die Mittel zur Verarbeitung festlegt. Microsoft regelt ebenfalls die Speicherdauer, welche mit 30 Tage bis 18 Monate angegeben wird, wenn notwendig, sogar noch länger. Es ist auch nicht möglich diese Daten einzeln zu löschen, außer durch die Löschung des gesamten Accounts. Aus diesem Grund ist davon auszugehen, dass Microsoft nicht als Auftragsverarbeiter, sondern als Verantwortlicher agiert. Da jedoch nicht nur Microsoft die Zwecke und Mittel zur Verarbeitung festlegt, sondern ebenso die Behörden, liegt eine gemeinsame Verantwortlichkeit gem. Art. 26 DSGVO vor.

Betrachtet man Art. 6 DSGVO als Rechtsgrundlage für die Datenverarbeitung, so lässt sich lediglich eine Rechtmäßigkeit für die ersten drei Zwecke begründen. Für alle anderen Verarbeitungen besitzen weder Microsoft noch die jeweiligen Behörden die erforderliche Berechtigung.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Abberufung und Kündigung eines internen Datenschutzbeauftragten

Betriebliche bzw. interne Datenschutzbeauftragte genießen einen besonderen Schutz. Ein Datenschutzbeauftragter darf wegen der Erfüllung seiner datenschutzrechtlichen Aufgaben nicht gekündigt, abberufen oder benachteiligt werden. Dies wirft bei vielen Unternehmen die Frage auf, ob und wie sie ihren internen Datenschutzbeauftragten vorzeitig abberufen können, falls dies notwendig erscheint.

Wie weit reicht das Abberufungsverbot?

Die Abberufung eines Datenschutzbeauftragten ist in der Datenschutz-Grundverordnung (DSGVO) nicht abschließend geregelt. Der Datenschutzbeauftragte darf gemäß Art. 38 Abs. 3 DSGVO nicht wegen der Erfüllung seiner Aufgaben abberufen oder benachteiligt werden. Nicht geregelt ist hingegen, unter welchen Voraussetzungen die Abberufung des Datenschutzbeauftragten in der Praxis erfolgen kann.

Verlässt der betriebliche Datenschutzbeauftragte freiwillig seinen Tätigkeitsbereich als Datenschutzbeauftragter und erklärt sich bereit, die Aufgabe nicht mehr auszuführen, ist die Kündigung des Arbeitsverhältnisses innerhalb eines Jahres unzulässig. Dieser Kündigungsschutz gilt bereits in der Probezeit. Zudem muss der Arbeitsvertrag angepasst werden, da ihm die datenschutzrechtlichen Aufgaben im Rahmen seiner arbeitsrechtlichen Pflichten übertragen wurden.

Wieso ist die Stellung des internen Datenschutzbeauftragten so stark?

Der weitgehende Schutz des Datenschutzbeauftragten erklärt sich damit, dass der grundsätzlich weisungsabhängige Arbeitnehmer seinen Pflichten und Aufgaben in vollständiger Unabhängigkeit nachkommen muss (Erwägungsgrund Nr. 97 DSGVO). Im Gegensatz zu externen Datenschutzbeauftragten wollte der Gesetzgeber die interne Position durch den national verstärkten Abberufungsschutz stärken. Jedwede Schlechterstellung durch die Tätigkeit als Datenschutzbeauftragter soll vermieden und seine Weisungsfreiheit gewahrt werden. Seine datenschutzrechtliche Tätigkeit darf keinerlei negative Auswirkungen auf das bestehende Arbeitsverhältnis haben. Dies ist insbesondere vor dem Hintergrund zu sehen, da der Datenschutzbeauftragte eine Überwachungsobliegenheit gegenüber seinem Arbeitgeber als Verantwortlichen hat, was aus Sicht der Geschäftsleitung zu unliebsamen Entscheidungen führen kann.

Wann kommt eine Abberufung in Betracht?

Gemäß Art. 38 Abs. 2 DSGVO i.V.m. § 6 Abs. 4 BDSG ist die Abberufung eines Datenschutzbeauftragten nur in entsprechender Anwendung der Vorschriften zur außerordentlichen Kündigung gemäß § 626 BGB zulässig. In Deutschland besteht diese nationale Besonderheit seit 2017. Es kommen damit nur arbeitsrechtliche Verstöße als wichtiger Grund zur Abberufung eines betrieblichen Datenschutzbeauftragten in Frage. Der Arbeitgeber muss zur Kündigung ohne Einhaltung einer Kündigungsfrist berechtigt sein. Konkret müssen Tatsachen vorliegen, auf Grund derer dem Kündigenden unter Berücksichtigung aller Umstände des Einzelfalles und unter Abwägung der Interessen beider Vertragsteile die Fortsetzung des Dienstverhältnisses bis zum Ablauf der Kündigungsfrist oder bis zu der vereinbarten Beendigung des Dienstverhältnisses nicht zugemutet werden kann.

Eine Abberufung des internen Datenschutzbeauftragten ist in Deutschland damit nur bei Vorliegen wichtiger Gründe möglich. Aber wann liegt solch ein wichtiger Grund überhaupt vor?

Wann ist die Fortsetzung des Dienstverhältnisses unzumutbar?

Hierbei handelt es sich um eine arbeitsrechtliche Fragestellung. Grundsätzlich kommen personenbedingte, verhaltensbedingte und betriebsbedingte Kündigungsgründe in Betracht, die in jedem Fall einer umfassenden Interessenabwägung unterliegen. Gerichtsbekannte Fälle sind zum Beispiel wiederholter Arbeitszeitbetrug, Androhung von Gewalt oder das Nichtvorlegen eines Attestes bei Arbeitsunfähigkeit. Interessant könnte gegebenenfalls eine außerordentliche Kündigung wegen Minderleistung sein. Diese kommt dann in Betracht, wenn der Arbeitnehmer seine persönliche Leistungsfähigkeit nicht angemessen ausschöpft. Dieser Kündigungsgrund unterliegt allerdings einem strengen Maßstab, weshalb stets ein Fachanwalt für Arbeitsrecht bei der Beurteilung hinzugezogen werden sollte.

Mangelnde Professionalisierung des Aufgabenbereichs als wichtiger Grund?

Das Landesarbeitsgericht Nürnberg hat kürzlich erst festgestellt, dass ein wichtiger Grund nicht bereits darin liegt, einen internen Datenschutzbeauftragten durch einen externen Datenschutzbeauftragten aus organisatorischen, finanziellen oder personalpolitischen Gründen zu ersetzen. Das relativ hohe Haftungsrisiko von Falschberatung im Bereich des Datenschutzbeauftragten und die notwendige Professionalisierung seines Aufgabenbereichs stellt ebenfalls keinen Abberufungsgrund dar. Der Arbeitgeber wird im Laufe des Arbeitsverhältnisses nicht nachvollziehbar belegen können, dass diese Gründe erst später und nicht bereits bei Einstellung bestanden.

Ist das das Aus des internen Datenschutzbeauftragten?

Entgegen vieler Behauptungen handelt es sich bei der Position des internen Datenschutzbeauftragten nicht um eine unkündbare. Die Möglichkeiten als Arbeitgeber sind aber stark beschränkt. Eine ordentliche Kündigung scheidet solange aus, wie seine Position im Unternehmen verpflichtend ist. Abberufungen sind aber aus wichtigen Gründen oder auf freiwilliger Basis in beidseitigem Einvernehmen weiterhin möglich. Bei Letzterem ist darauf zu achten, dass dem Arbeitnehmer ein gleichwertiger neuer Tätigkeitsbereich angeboten wird. Dies dürfte bei einer Vollzeitstelle weitaus schwieriger sein als bei einer vom Arbeitnehmer zusätzlich zu erbringenden Aufgabe im Bereich Datenschutz.

Fazit: Kündigungsschutz ist notwendig und Nachteil zugleich

Unternehmen sind bei der Abberufung ihrer internen Datenschutzbeauftragten hohen Hürden ausgesetzt. Trotzdem ist seine Position nicht unkündbar. Die Abberufung erfordert entweder einen verständnisvollen Arbeitnehmer, der seine Tätigkeit im Bereich des Datenschutzes bereitwillig abgibt, oder einen wichtigen Grundes des Arbeitgebers. Wer sich als Verantwortlicher dennoch scheut, eine solche Stelle zu schaffen, kann auch eine externe Unterstützung erwägen, die einige interessante Vorteile bietet.

Wenn Sie Tipps suchen, wie Sie einen geeigneten Experten finden, geben wir Ihnen 15 Kriterien für die Auswahl eines externen Datenschutzbeauftragten an die Hand.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Erfolgreicher Nachweis nach B3S für die KRITIS-Krankenhäuser der Kliniken Dritter Orden gGmbH (Best Practice)

Krankenhäuser mit mehr als 30.000 vollstationären Fällen im Jahr gehören zur sogenannten Kritischen Infrastruktur (KRITIS). An die Informationssicherheit solcher KRITIS-Krankenhäuser stellt der Gesetzgeber besonders hohe Anforderungen. Wie auch Kliniken mit mehreren Standorten ein entsprechendes Informationssicherheits-Managementsystem (ISMS) mit Hilfe eines geeigneten Partners aufbauen können, zeigt das Best Practice der Kliniken Dritter Orden gGmbH.

Die Herausforderung für Krankenhäuser

Das seit 2015 geltende IT-Sicherheitsgesetz und das BSI-Gesetz formulieren für KRITIS-Unternehmen hohe Anforderungen bzgl. Datenschutz und Informationssicherheit. Die betroffenen Unternehmen müssen diese Anforderungen nicht nur umsetzen, sondern auch nachweisen, dass dies kontrolliert und mit messbarem Erfolg geschieht. Um einen angemessenen Maßstab dafür zu finden, kann man sich entweder an Normen wie die ISO 27001 halten. Oder man greift auf einen sogenannten branchenspezifischen Sicherheitsstandard (B3S) zurück.

Einen solchen B3S für Kliniken hat die Deutsche Krankenhaus Gesellschaft entwickelt und darin festgelegt, wie genau Krankenhäuser ihre Medizintechnik und IT zu schützen haben. Die Kliniken Dritter Orden gGmbH muss diesen Standard – wie jedes KRITIS-Krankenhaus – seit dem 30. Juni 2019 erfüllen.

Fakten zur Kliniken Dritter Orden gGmbH

Der Weg vom Datenschutz zur Informationssicherheit

Die Zusammenarbeit der Kliniken Dritter Orden gGmbH mit der activeMind AG begann bereits im Januar 2017. An den Standorten in München und Passau fand jeweils ein Datenschutzaudit, ein Informationssicherheitsaudit auf Basis der ISO 27001 sowie ein Audit des Krankenhausinformationssystems auf Basis der Orientierungshilfe für KIS des Bayerischen Landesamtes für Datenschutzaufsicht statt. Mithilfe dieser Audits wurde der Ist-Zustand in den Bereichen Datenschutz und Informationssicherheit ermittelt.

Anschließend begann die Arbeit der activeMind AG als externer Datenschutzbeauftragter und externer Informationssicherheitsbeauftragter. Dabei ging es zunächst darum, in den Audits gefundene Entwicklungsmöglichkeiten umzusetzen und schrittweise die Strukturen des Datenschutzes und der Informationssicherheit in beiden Krankenhäusern zu erweitern. Ziel war es, im März 2019 ein Zertifizierungsaudit zu bestehen.

Bereits im Mai 2018 musste jedoch eine Konformität mit der EU-Datenschutz-Grundverordnung (DSGVO) und dem Gesetz über den kirchlichen Datenschutz (KDG) erreicht werden. Hierfür galt es unter anderem, die Information und Aufklärung der Patienten über die Verarbeitung ihrer Daten an die Vorgaben der DSGVO anzugleichen, Auftragsverarbeitungs-Verträge mit allen Dienstleistern, die weisungsgebunden personenbezogene Daten verarbeiten, zu schließen oder zu aktualisieren, Verzeichnisse über Verarbeitungstätigkeiten zu erstellen und – nicht zuletzt – Mitarbeiter zu schulen.

Zudem wurden die organisatorischen Regelungen für die Informationssicherheit auf Basis der ISO 27002 neu aufgesetzt. In enger Zusammenarbeit mit der Geschäftsführung und den jeweiligen Abteilungsleitern wurden Konzepte und Richtlinien verfasst.

Auf Basis dessen begann die Kliniken Dritter Orden gGmbH Mitte 2018, ein Risikomanagementsystem nach ISO 27001 aufzubauen, um anschließend die Anforderungen des B3S der Deutschen Krankenhaus Gesellschaft in seiner damaligen Fassung zu implementieren. Im Oktober 2018 folgte ein zweites Audit, wiederum an beiden Standorten.

Im April 2019 kam eine neue Herausforderung dazu: Die Deutsche Krankenhaus Gesellschaft veröffentlichte eine vollständig überarbeitete Version des B3S mit neuen Anforderungen und Risikoanalysen. In einem gemeinsamen Kraftakt meisterten die Kliniken Dritter Orden gGmbH und activeMind AG auch diese Hürde und reichten Mitte Mai die Prüfungsunterlagen bei einer Wirtschaftsprüfungsgesellschaft ein.

Das Ergebnis überzeugt

Anfang Juni 2019 erfolgte die Vor-Ort-Prüfung nach § 8a BSI-Gesetz. Bis auf wenige geringfügige Abweichungen konnte der Auditor vollkommen überzeugt werden, der angab, noch nie eine derart professionelle und strukturierte Umsetzung eines B3S gesehen zu haben. Jetzt blieb nur noch, den Prüfbericht pünktlich bis Ende Juni einzureichen.

Hervorzuheben ist unter anderem, dass Medizintechnik und IT nun über definierte Schnittstellen verfügen und jeweilige Verantwortlichkeiten geklärt sind. Zentrale Prozesse der IT sind messbar – und damit noch besser steuerbar. Und nicht zuletzt: Für alle kritischen Systeme in den Krankenhäusern existieren nun effektive Notfallpläne.

„Alles in allem ein großer Erfolg und tatsächlicher Fortschritt für unser Klinikum, unsere Mitarbeiter und Patienten“, sagt Markus Morell, Sprecher der Geschäftsführung der Kliniken Dritter Orden gGmbH. Denn wie wichtig die Sicherheit von informationstechnischen Anlagen und der Schutz medizinischer Daten sei, könne kaum überschätzt werden.”

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

EDSA Task Forces zum Drittlandtransfer könnten Rechtssicherheit bringen

Nachdem der Europäische Gerichtshof (EuGH) im Juli das EU-U.S. Privacy Shield für ungültig erklärt hat, ist immer noch nicht gänzlich geklärt, inwieweit und ggf. unter welchen zusätzlichen Bedingungen Standardvertragsklauseln ein adäquater Ersatz als Datenschutz-Garantie für den Drittlandtransfer sein können. Der Europäische Datenschutzausschuss (EDSA) setzt nun eine Task Force ein, die sich unter anderem damit befassen soll. Rückt Rechtssicherheit damit endlich in greifbare Nähe?

Update November 2020: Inzwischen liegen erste Empfehlungen des EDSA zum Drittlandtransfer bzw. Einsatz von SCC vor.

Kurzer Rückblick auf das Urteil

Mit dem sog. „Schrems II“-Urteil vom 16. Juli 2020 erklärte der EuGH das EU-U.S. Privacy Shield, ein Abkommen über den Datentransfer zwischen EU und USA, für ungültig. Den Abschluss von Standardvertragsklauseln (Standard Contractual Clauses, SCC) als Garantie für den Datentransfer in unsichere Drittländer (wie die USA) erachtete das Gericht grundsätzlich für weiter möglich.

Allerdings hoben die Richter deutlich hervor, dass Unternehmen beim Einsatz von Standardvertragsklauseln zu prüfen haben, ob der Empfänger der Daten auch tatsächlich das erforderliche Schutzniveau einhalten kann. Bei der Beurteilung des Schutzniveaus dürfen nicht nur die vertraglichen Regelungen berücksichtigt werden, der Datenexporteur muss auch überprüfen, ob das nationale Recht im jeweiligen Drittstaat es überhaupt ermöglicht, die Vorgaben der Klauseln einzuhalten.

Im Fall eines US-Transfers wird das aufgrund der weitreichenden Zugriffsbefugnisse der nationalen Behörden (CLOUD Act und FISA) wohl nicht möglich sein. Nach aktuellem Stand werden höchstwahrscheinlich zusätzliche Maßnahmen zu treffen sein, wenn Standardvertragsklauseln als geeignete Garantien für den Drittlandstransfer herangezogen werden sollen (siehe dazu auch unser Beitrag: EuGH kippt EU-U.S. Privacy Shield – SCC weiterhin gültig).

Ankündigung von Task Forces auf europäischer Ebene

Nachdem erste Datenschutz-Aufsichtsbehörden inzwischen vereinzelt konkreter wurden (z.B. die Orientierungshilfe des LfDI Baden-Württemberg), sollen nun endlich Kriterien für zusätzliche Maßnahmen auf europäischer Ebene ausgearbeitet werden.

Einer aktuellen Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zufolge hat der Europäische Datenschutzausschuss zwei Task Forces gegründet.

Der Europäische Datenschutzausschuss (EDSA) ist eine unabhängige europäische Einrichtung, in der sich Vertreter der nationalen Datenschutzbehörden und der Europäische Datenschutzbeauftragte zusammen mit der Europäischen Kommission beraten. Ziel ist die Förderung und Sicherstellung einer einheitlichen Anwendung der Datenschutzvorschriften in der Europäischen Union. Die vom EDSA erarbeiteten allgemeinen Leitlinien und verbindlichen Beschlüsse geben den nationalen Aufsichtsbehörden eine einheitliche Linie vor.

Der deutsche Vertreter im EDSA, der BfDI Ulrich Kelber, einigte sich mit seinen europäischen Kollegen auf die Einrichtung einer Task Force, die eine schnelle und europaweit einheitliche Bearbeitung der Beschwerden der Organisation „Non-of-your-business“ (Noyb) zur Nutzung von Google- und Facebook-Services durch europäische Anbieter gewährleisten soll. Noyb will nach dem Schrems-II-Urteil zum EU-U.S. Privacy Shield mit seinen Beschwerden beschleunigen und sicherstellen, dass die Aufsichtsbehörden auch tatsächlich Konsequenzen aus den Schlussfolgerungen des Urteils ziehen und diese nicht im Sande verlaufen.

Mit Einrichtung der EDSA Task Force hat die Organisation auf jeden Fall einen Teilerfolg erzielt. Die Entscheidung des EDSA ist für alle, die auf mehr Rechtssicherheit nach dem Urteil hoffen, ein Gewinn.

Noch wichtiger finden wir aber den zweiten Teil der Pressemitteilung: Es wurde laut BfDI auf Initiative von Deutschland und Frankreich noch eine zweite Task Force ins Leben gerufen. Diese soll insbesondere erarbeiten:

  1. Kriterien für die Bewertung einer Datenübermittlung im Einzelfall,
  2. Kriterien für zusätzliche Maßnahmen und
  3. Verfahrensaspekte für deren Umsetzung.

Fazit: Ein baldiger Zugewinn an Rechtssicherheit ist zu erwarten

Wo die erste Task Force die meisten Unternehmen nur indirekt betrifft, sieht es bei der zweiten Task Force anders aus. Sie lässt einen großen Schritt in Richtung mehr Rechtssicherheit erwarten. Wo bisher jede Aufsichtsbehörde mehr oder weniger unabhängig von den anderen Behörden operierte, könnte es nun zu einer dringend erforderlichen einheitlichen Beurteilung der Rechtmäßigkeit der Datenübermittlung in Drittländer – vor allem in die USA – kommen.

Auch weitere Ankündigungen in der Pressemitteilung lassen aufhorchen: Es soll in Kürze unter anderem eine Richtlinie bezüglich der Zielgruppenansprache von Social-Media-Nutzern vom EDSA erscheinen. Auch hierdurch lässt sich ein Zugewinn an Rechtssicherheit erwarten.

Wir begrüßen es sehr, dass nun, wie in den letzten Wochen schon erwartet, endlich konkrete Schritte auf europäischer Ebene unternommen werden, um für mehr Klarheit nach dem Schrems-II-Urteil des EuGHs zu sorgen. Wir werden Sie auf jeden Fall auf dem Laufenden halten. Abonnieren Sie dafür einfach unseren kostenlosen Datenschutz-Newsletter.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Bußgeldverfahren bei Datenschutzverstößen

Immer wieder verhängen die Datenschutz-Aufsichtsbehörden schmerzhafte Bußgelder gegen Unternehmen. Doch wie läuft ein Bußgeldverfahren eigentlich ab? Welche Aufsichtsbehörde ist für das betroffene Unternehmen zuständig? Welche Rechte haben die Aufsichtsbehörden in Deutschland? Welche Rechtsbehelfe stehen einem Unternehmen zur Verfügung? Und gibt es Alternativen zum Bußgeld?

Bußgeldverfahren nach DSGVO und BDSG

Die EU-Datenschutz-Grundverordnung (DSGVO) gibt kein einheitliches Sanktionsrecht vor, sondern erlaubt jedem Mitgliedsstaat sein eigenes Bußgeldverfahren. Das ist explizit in Art. 83 Abs. 8 DSGVO geregelt. Der deutsche Gesetzgeber hat mit § 41 BDSG (Bundesdatenschutzgesetz) sein eigenes Sanktionsrecht für den Datenschutz geregelt, verweist darin aber umfassend auf das Bußgeldverfahren nach dem Ordnungswidrigkeitengesetz (OWiG).

Wer ist für Bußgeldverfahren zuständig und welche Ermittlungsrechte bestehen?

Zunächst ist zu sagen, dass Aufsichtsbehörden nicht bei jedem Datenschutzverstoß direkt ein Bußgeld verhängen. Art. 58 Abs. 2 DSGVO gibt den Behörden weitreichende Möglichkeiten, die Unternehmen für ihr Fehlverhalten zu sensibilisieren. Dazu gehören neben Bußgeldern:

  • Warnungen vor einem Verstoß,
  • Verwarnungen nach einem Verstoß sowie
  • Anweisungen
    • zur Erfüllung von Betroffenenrechten,
    • zu Verarbeitungsvorgängen,
    • zu Benachrichtigungen bei Datenpannen,
    • zu Beschränkungen der Verarbeitung und
    • zur Aussetzung des Drittlandtransfers.

Zuständig für den Erlass von Bußgeldern im Zusammenhang mit Datenschutzverstößen sind die nationalen Aufsichtsbehörden. Sie haben die in Art. 58 Abs. 2 DSGVO genannten Untersuchungsbefugnisse.

Beim Verdacht auf einen Datenschutzverstoß werden die Aufsichtsbehörden in der Regel von den Verantwortlichen zunächst die Bereitstellung der maßgeblichen Informationen verlangen und Datenschutzüberprüfungen durchführen. Daneben können im Einzelfall aber auch Ermittlungsmaßnahmen durch Staatsanwaltschaft und Gerichte erfolgen. Solche Ermittlungsmaßnahmen können Zeugenvernehmungen, Anhörungen, Durchsuchungen und Beschlagnahmen sein (§§ 46 ff. OWiG). Die Aufsichtsbehörde leitet die Akten an die Staatsanwaltschaft weiter, wenn Anhaltspunkte bestehen, dass der Verstoß des Unternehmens eine Straftat darstellt (§ 41 OWiG). Wird eine Behörde nach der sanktionsbewehrten Handlung nicht tätig, verjährt der Verstoß nach drei Jahren (§ 31 OWiG).

Örtlich zuständig ist grundsätzlich die Aufsichtsbehörde des Landes, in dem der Verantwortliche oder der Auftragsverarbeiter der Verarbeitung seine Hauptniederlassung hat (Art. 56 DSGVO i.V.m. § 19 BDSG).

Welche Möglichkeiten bestehen im Verwaltungsverfahren?

Im Rahmen eines Vorverfahrens gibt es für das betroffene Unternehmen die Möglichkeit angehört zu werden und sich zu den Umständen der sanktionsbewehrten Handlung zu äußern. Häufig hilft es, wenn ein enger Austausch zwischen dem Unternehmen und der Aufsichtsbehörde erfolgt. Daraufhin hat die Verfolgungsbehörde die Möglichkeit, das Bußgeldverfahren einzustellen. Für den Fall, dass das Verfahren nicht eingestellt wird, ergeht ein Bußgeldbescheid gemäß §§ 65 ff. BDSG. Adressat kann sowohl die Geschäftsführung als auch das Unternehmen als juristische Person sein.

Tipp: Lesen Sie mehr zur Bußgeldhöhe und Bußgeldberechnung für Konzerne und Unternehmen.

Das betroffene Unternehmen hat nach Zustellung zwei Wochen Zeit, gegen den Bescheid schriftlich oder zur Niederschrift bei der Aufsichtsbehörde Einspruch einzulegen (§ 67 OWiG). Es beginnt dann das sogenannte Zwischenverfahren. Darin werden Formfehler geprüft, aber auch, ob der Bußgeldbescheid zurückgenommen werden kann. Für den Fall, dass der Bescheid aufrechterhalten bleibt, leitet die Aufsichtsbehörde die Akten an die Staatsanwaltschaft weiter.

Die Staatsanwaltschaft nimmt eigene Ermittlungen vor. Ist sie der Ansicht, dass der Bußgeldbescheid rechtmäßig erging, legt sie die Akten dem zuständigen Gericht vor. Für den Fall, dass sie das Verfahren einstellen möchte, braucht sie hingegen die Zustimmung der Aufsichtsbehörde.

Was ist im Falle eines gerichtlichen Verfahrens zu beachten?

Kommt es zum gerichtlichen Verfahren, ist gem. § 68 OWiG das Amtsgericht zuständig, in dessen Bezirk die Aufsichtsbehörde ihren Sitz hat. Falls das Bußgeld 100.000 Euro überschreitet ist gem. § 41 OWiG die Landgerichtskammer für Bußgeldsachen zuständig. Das Strafgericht ist nur dann zuständig, wenn die sanktionsbewehrte Handlung einem Straftatbestand unterfällt (§ 45 OWiG). Vor Gericht ergeht entweder ein Urteil oder für den Fall, dass keine Hauptverhandlung stattfindet, ein Beschluss (§ 72 OWiG).

Welche Rechtsbehelfe hat das betroffene Unternehmen?

Gegen die erstinstanzliche Entscheidung des Gerichts ist die Rechtsbeschwerde möglich. Bei Entscheidungen des Amtsgerichts ist hierfür das Oberlandesgericht zuständig. Je nach Bedeutung des Rechtsstreits entscheidet der Senat in der Besetzung von einem oder drei Richtern. Im Falle der Rechtsbeschwerde hat stets eine Vorlage zum EuGH zu erfolgen.

Erfolgt keine Rechtsbeschwerde, tritt Rechtskraft ein. Anschließend ist nur noch unter Vorbringen neuer Tatsachen die Wiederaufnahme des Verfahrens möglich.

Fazit: Kooperation ist angesagt

Ein vom Bußgeld betroffenes Unternehmen sollte nicht lange zögern und sofort den Kontakt zur Aufsichtsbehörde suchen. Je mehr Aufklärungsarbeit geleistet wird, desto wahrscheinlicher ist es, dass das Bußgeldverfahren doch noch eingestellt werden kann.

Es ist außerdem zu empfehlen, sich umgehend rechtlichen Rat zu holen, um rechtzeitig reagieren und alle Fristen für mögliche Rechtsbehelfe einhalten zu können. Beachten Sie in diesem Zusammenhang auch unseren Ratgeberartikel zur Selbstbelastungsfreiheit bei Datenschutzverstößen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Anonymisierung personenbezogener Daten

Die Datenschutz-Grundverordnung (DSGVO) gilt nur für Daten mit Personenbezug. Um Daten rechtlich unkomplizierter verarbeiten zu können, kann dieser Personenbezug durch Anonymisierung unwiederbringlich entfernt werden. Damit ursprünglich personenbezogene Daten Ihren Personenbezug verlieren, bedarf es jedoch einer Verarbeitung, die in den Anwendungsbereich der DSGVO fällt. Wir erklären was es zu beachten gilt.

Anwendungsbereich der DSGVO

Die DSGVO ist anwendbar, wenn es um die Verarbeitung von personenbezogenen Daten geht. In Erwägungsgrund 26 DSGVO wird ausdrücklich klargestellt, dass die Grundsätze des Datenschutzes für Informationen gelten sollen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Darunter sollen auch personenbezogene Daten fallen, die einer Pseudonymisierung unterzogen wurden, da bei solchen durch Heranziehung zusätzlicher Informationen eine Zuordnung zu einer natürlichen Person möglich ist. Sind die ursprünglich personenbezogenen Daten so verarbeitet worden, dass eine betroffene Person nicht oder nicht mehr identifiziert werden kann, gelten die Grundsätze des Datenschutzes nicht.

Kurz gesagt: Solange ein Personenbezug hergestellt werden kann, was auch bei pseudonymisierten Daten noch der Fall ist, gilt die DSGVO. Ist das nicht mehr der Fall, spricht man von anonymisierten Daten. Diese fallen nicht in den Anwendungsbereich der DSGVO.

Tipp: Mehr zur Beseitigung des Personenbezugs finden Sie in unserem gesonderten Artikel dazu.

Rechtsgrundlage für die Anonymisierung von personenbezogenen Daten

Wird personenbezogenen Daten der Personenbezug genommen, findet eine Anonymisierung statt. Bei diesem Vorgang handelt es sich um eine Verarbeitung im Sinne der DSGVO. Art. 4 Nr. 2 DSGVO zählt nicht abschließend einige Beispiele für Verarbeitungen auf. Worunter die Anonymisierung genau zu verorten ist, ist umstritten. Ob eine Veränderung vorliegt, der Auffangtatbestand der Verwendung einschlägig ist oder die Anonymisierung gar erst als nicht ausdrücklich gelistetes Beispiel erfasst wird, spielt im Ergebnis aber keine Rolle. Es gelten für den Vorgang der Anonymisierung die Grundsätze des Datenschutzes. Zu diesem Ergebnis kommt auch der Bundesbeauftragte für den Datenschutz und Informationsfreiheit (BfDI) in einem kürzlich veröffentlichten Positionspapier.

Für die Anonymisierung bedarf es deswegen allem voran einer Rechtsgrundlage, da nach der DSGVO Verarbeitungen nur rechtmäßig sind, wenn Sie ausdrücklich erlaubt sind (sog. Verbot mit Erlaubnisvorbehalt). Für eine Anonymisierung können alle in Art. 6 DSGVO vorgesehenen Rechtsgrundlagen herangezogen werden. Auch wenn im Einzelfall eine andere Rechtsgrundlage einschlägig sein kann, wird es im Regelfall auf eine der folgenden hinauslaufen.

Einwilligung

Die Einwilligung, sowohl nach Art. 6 als auch Art. 9 DSGVO kommt für die Verarbeitung in Form der Anonymisierung regelmäßig in Betracht. Auf sie lässt sich so gut wie jede Verarbeitung stützen, da sie ein Ausfluss des Selbstbestimmungsrechts des mündigen Bürgers darstellt.

Erfüllung einer rechtlichen Verpflichtung

Ebenso von erheblicher Relevanz für die Anonymisierung ist die Erfüllung einer rechtlichen Verpflichtung im Zusammenspiel mit der Löschpflicht aus Art. 17 DSGVO.

Die meisten Experten, darunter auch der BfDI und die österreichische Datenschutzbehörde, vertreten die Meinung, dass der Löschverpflichtung auch durch Anonymisierung personenbezogener Daten nachgekommen werden kann. Das ergibt sich unter anderem aus Art. 4 Nr. 2 DSGVO, der explizit Löschen und Vernichten als Alternativen aufzählt, und aus dem Wortlaut des Grundsatz auf Speicherbeschränkung in Art. 5 Abs. 1 lit. e) DSGVO.

Wenn also der Löschpflicht durch Anonymisieren entsprochen wird, handelt es sich um eine Verarbeitung aufgrund gesetzlicher Verpflichtung.

Berechtigtes Interesse

Ein überwiegendes berechtigtes Interesse nach Art. 6 Abs. 1 lit. f) DSGVO kann regelmäßig bestehen. Dabei hat eine Interessenabwägung zu erfolgen. Die Anonymisierung der personenbezogenen Daten darf nicht durchgeführt werden, wenn die Interessen oder Grundrechte und Grundfreiheiten, die den Schutz personenbezogener Daten erfordern, überwiegen.

Oft hat die betroffene Person selbst ein Interesse an der Anonymisierung, was stark zugunsten des Verantwortlichen gewichtet werden kann. In Einzelfällen kann aber natürlich auch ein überwiegendes schutzwürdiges Interesse am Erhalt des Personenbezugs bestehen.

Zweckänderung – Art. 6 Abs. 4 DSGVO in Verbindung mit der ursprünglichen Rechtsgrundlage

Wenn Daten anonymisiert werden, wurden sie in der Regel davor für einen anderen Zweck erhoben. Der BfDI vertritt in seinem Positionspapier den Standpunkt, dass Art. 6 Abs. 4 DSGVO anwendbar ist. Wenn die Anonymisierung mit dem ursprünglichen Zweck vereinbar ist, könne die Rechtsgrundlage für die zweckändernde Weiterverarbeitung weiterhin die sein, auf der die ursprüngliche Verarbeitung fußt. Die direkte Anwendbarkeit der Vorschrift ist aber umstritten. Geht man mit der Meinung des BfDI gilt folgendes:

Für die Beurteilung muss der Verantwortliche im Rahmen eines Kompatibilitätstests gem. Art. 6 Abs. 4 DSGVO, unter anderem beachten:

  • jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,
  • den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,
  • die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO verarbeitet werden,
  • die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,
  • das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.

Wichtig ist laut BfDI dabei, dass der datenschutzrechtlich relevante Zweck der Anonymisierung nicht die Aufhebung des Personenbezugs ist, sondern das dahinterstehende tatsächliche Interesse des Verantwortlichen. Beispielsweise die Auswertung der anonymisierten Daten zu bestimmten Zwecken. Unter anderem an diesem Punkt setzten widersprechende Meinungen ein und argumentieren, dass dann ja gerade kein Personenbezug mehr besteht und der Anwendungsbereich der DSGVO verlassen wird.

Wenn die Anonymisierung aufgrund dieses Maßstabs zulässig wäre, wird jedenfalls in der Regel auch ein berechtigtes Interesse bejaht werden können, so dass man den Streit gar nicht erst entscheiden muss, sondern einfach diese Rechtsgrundlage für die Anonymisierung heranziehen kann.

Transparenz

Neben dem Grundsatz der Rechtmäßigkeit muss auch der Grundsatz der Transparenz gewahrt werden. Der Verantwortliche hat nach Art. 13 und Art. 14 DSGVO der betroffenen Person den Zweck, für den die personenbezogenen Daten anonymisiert werden, sowie die Rechtsgrundlage für die Anonymisierung mitzuteilen. Nach Art. 13 Abs. 3 DSGVO gilt dies auch dann, wenn die Anonymisierung eine Weiterverarbeitung nach Art. 6 Abs. 4 DSGVO darstellt.

Vorgang der Anonymisierung und Erforderlichkeit einer Datenschutz-Folgenabschätzung

An die Anonymisierung sind einige Anforderungen zu stellen. Wird nur unzureichend anonymisiert, liegt unter Umständen am Ende nur eine Pseudonymisierung vor und der Personenbezug bleibt erhalten. Den Maßstab gibt Erwägungsgrund 26 DSGVO vor, der eine Mischung zwischen relativem und absolutem Personenbezug für die Beurteilung nach DSGVO vorgibt:

„Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.“

Ob Daten hinreichend anonymisiert wurden, hängt von einigen Faktoren ab und es ist möglich, dass sich durch den fortschreitenden Stand der Technik die Bewertung (auch nachträglich) ändern kann. Eine absolute Anonymisierung ist daher wohl eher nicht möglich, aber auch nicht erforderlich.

Unter anderem daher und aufgrund der Kategorisierung als Verarbeitung mittels neuer Technologien sieht der BfDI die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO für die Anonymisierung in der Regel als geboten an. Sie sei „insbesondere deshalb begründet, weil die Generierung eines anonymen Datenbestandes eine komplexe Aufgabe des Verantwortlichen darstellt und viele Fehlerquellen birgt. Dabei hat der Verantwortliche darüber hinaus die Folgen einer möglichen De-Anonymisierung in die Betrachtung einzubeziehen.“

Ob der BfDI hier nicht über das Ziel hinausschießt und zu pauschal urteilt oder seinen Blick nur auf Anonymisierung im großen Stil gerichtet hatte, darf durchaus hinterfragt werden. Umfang und Art der durchgeführten Anonymisierung sollten unserer Meinung nach in einer Risikoanalyse immer beachtet werden, aber auch zum Ergebnis führen können, dass eine Datenschutz-Folgenabschätzung nicht unbedingt nötig ist. Es hat immer eine Einzelfallbetrachtung stattzufinden. Dass die Tendenz aber eher zugunsten der Datenschutz-Folgenabschätzung geht, ist nicht von der Hand zu weisen.

Tipp: Wie eine Datenschutz-Folgenabschätzung funktioniert finden Sie in unserer umfangreichen Anleitung.

Fazit: Anonymisierung birgt Tücken

Die Anonymisierung von personenbezogenen Daten ist nicht gleichzusetzen mit der Verwendung von anonymen Daten. Es handelt sich um eine Verarbeitung im Sinne der DSGVO, für die es einer Rechtsgrundlage bedarf und über die umfangreich zu informieren ist. Darüber hinaus birgt diese Art der Verarbeitung ihre ganz eigenen Risiken.

Verantwortliche sollten sich dessen bewusst sein und entsprechend handeln. Punkte die es zu beachten gilt sind dabei unter anderem:

  • Feststellung der Rechtsgrundlage ggf. unter Einbeziehung einer Abwägung,
  • Erfüllen von Informationspflichten,
  • Risikoanalyse und Datenschutz-Folgenabschätzung

Insbesondere der letzte Punkt wird bisher eher selten umgesetzt. Der BfDI hat sich in seinem Positionspapier zur Anonymisierung unter der DSGVO nun aber klar positioniert. Für Verantwortliche sollte das ein Anreiz sein, durchgeführte Anonymisierungen zu überprüfen und gegebenenfalls neu zu bewerten.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Datenleck bei Corona-Listen und Reservierungsdaten

Wie der Chaos Computer Club (CCC) auf seiner Website berichtet, haben Mitglieder des Vereins auf über 87.000 Corona-Datensätze von Restaurants und über 5,4 Mio. Reservierungs-Datensätze Zugriff erlangen können. Die personenbezogenen Daten lagen nur unzureichend geschützt in der Cloud. Doch wie können sich Restaurants vor solchen Datenlecks angemessen schützen?

Umfang des Datenlecks

Laut CCC ermöglichten gleich mehrere Schwachstellen den Zugriff auf über 87.000 Daten zu Corona-Kontakterhebungen von 180 Restaurants. Darüber hinaus war auch der Zugriff auf 5,4 Mio. Reservierungsdaten, die zum Teil über ein Jahrzehnt zurückreichen möglich. Die Daten waren bei einem als Auftragsverarbeiter eingesetzten Clouddienstleister gelagert.

Die CCC Mitglieder stellten folgende Schwachstellen fest, die Ihnen den Zugriff ermöglichten:

  • mangelndes Rechte-Management
  • unzureichend geschützte Passwörter
  • unzureichende Passwortvorgaben
  • Fehler in der API

Die vom CCC genutzten Schwachstellen ermöglichten schon davor, dass zum Beispiel Restaurants auf die Daten anderer Restaurants zugreifen konnten. Passwörter konnten auch im Klartext erlangt werden, wobei die Hacker feststellten, dass auch Trivialpasswörter wie „1234“ verwendet werden konnten. Zudem wäre es möglich gewesen, Bestellungen oder Stornierungen für Gäste auszulösen.

Wie der CC berichtet, hat der betroffene Clouddienstleister inzwischen Korrekturen wohl vorgenommen, die die Fehler beheben.

Datenschutzrechtliche Bewertung

Die technischen und organisatorischen Maßnahmen (TOM) zum Schutz der personenbezogenen Daten waren nicht ausreichend. Der daraus resultierende Vorfall ist nicht nur sehr peinlich für den Dienstleister und die ihm vertrauenden Restaurants, welche den Auftragsverarbeiter zuvor nicht ausreichend geprüft hatten.

Ein solches Leck von personenbezogenen Daten stellt neben dem Reputationsverlust auch einen Datenschutzvorfall wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) dar und kann Bußgelder oder Ansprüche betroffener Personen nach sich ziehen.

Neben dem Datenleck wurden noch weitere Verstöße zu Tage gefördert. Dass Reservierungsdaten noch nach über einem Jahrzehnt gespeichert sind, könnte ein Verstoß gegen die Grundsätze der Verarbeitung in Form der Speicherbegrenzung und Rechtmäßigkeit der Verarbeitung nach Art. 5 Abs. 1 DSGVO darstellen.

Gegebenenfalls muss auch eine Meldung an die zuständige Aufsichtsbehörde oder gar an die Betroffenen erfolgen. Ein Unternehmen, das personenbezogene Daten gegenüber unbefugten Personen offenlegt, sie unberechtigt vernichtet, verliert oder verändert, ist unter bestimmten Voraussetzungen gemäß Art. 33 Abs. 1 DSGVO dazu verpflichtet, den Vorfall innerhalb von 72 Stunden zu melden.

Empfehlung für Corona-Listen

Cloudlösungen mögen zwar bequem sein, sind aber auch risikobelasteter als die Papierlösung. Wer dennoch Cloudlösungen einsetzen möchte, muss seine Dienstleister genauestens prüfen. Als Verantwortlicher für die Daten haftet ein Restaurant auch für Fehler seines Auftragsverarbeiters.

Aber auch wenn auf die Papierform gesetzt wird, gibt es ein paar Punkte zu beachten:

  • Um insbesondere die Vertraulichkeit zu wahren, sollten für die Erhebung der Kontaktdaten keine Listen verwendet werden, sondern die Daten für jeden Kunden bzw. Gast jeweils auf einem separaten Blatt aufgenommen werden. Eine offen zugängliche Liste, in die sich nacheinander die Kunden und Gäste selbst eintragen, ist nicht zulässig. Nutzen Sie dafür z. B. unsere kostenlose Vorlage.
  • Die Daten sollten zudem sicher aufbewahrt werden, so dass ein Zugriff unbefugter Personen ausgeschlossen ist. Nach Ablauf der Aufbewahrungsfristen sollten die Daten unwiderruflich gelöscht bzw. geschreddert werden (siehe auch unsere Checkliste zur datenschutzkonformen Aktenvernichtung).
  • Kunden und Gäste müssen bereits bei der Erhebung über ihre Datenschutz- bzw. Betroffenenrechte informiert werden. Diese Informationen müssen leicht verständlich und leicht zugänglich sein. Hängen Sie die Informationspflichten gut auffindbar in Ihren Räumlichkeiten auf. Alternativ können Sie die Informationen auch auf Ihrer Website veröffentlichen.

Wie Ihnen die datenschutzkonforme Erhebung von Kontaktdaten zur Verfolgung von Infektionsketten gelingt erläutern wir Ihnen genauer in unserem Ratgeberartikel dazu.

Fazit

Die Befunde des CCC sind erschreckend, aber auch nicht unbedingt überraschend, wurden doch in der Corona-Krise regelmäßig übereilte Lösungen für die anstehende Probleme gesucht. Es gilt auch in diesem Fall dasselbe wie sonst auch: Wo personenbezogene Daten verarbeitet werden, gilt es sorgfältig vorzugehen.

Im Fall der Corona-Kontaktinformationen können solche Neuigkeiten auch noch andere negative Auswirkungen haben. Das Vertrauen der Betroffenen in die Verantwortlichen sinkt und Kontaktdaten werden nicht mehr oder nur falsch angegeben. Damit würde der Zweck, für den die Daten eigentlich erhoben werden, konterkariert. Das kann in niemandes Interesse liegen. Vor allem nicht in dem der Gastronomen, die darauf hoffen, auch während der Pandemie bewirten zu dürfen.

Wir bieten betroffenen Verantwortlichen daher neben zahlreichen anderen Vorlagen zur Unterstützung bei der Umsetzung des Datenschutz ein Muster-Informationsschreiben und Erhebungsbogen für Kontaktdaten zur Eindämmung von Infektionsketten an.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Sollten externe Datenschutzbeauftragte Anwälte sein?

Wenn es um die Auswahl eines externen Datenschutzbeauftragten geht, fragen sich viele Unternehmen, ob sie dafür lieber auf einen zugelassenen Rechtsanwalt setzen sollten. Hierbei gilt es jedoch einige Besonderheiten zu beachten. Denn es spielt durchaus eine Rolle, ob der externe Datenschutzbeauftragte als Freiberufler oder Gewerbetreibender tätig ist, sprich ob er seine Tätigkeit als Rechtsanwalt oder für eine Beratungsfirma ausübt. Antworten hierzu liefern sowohl das Steuerrecht als auch das anwaltliche Berufsrecht.

Anwaltliches Berufsrecht

Auch ein externer Anwalt darf grundsätzlich als Datenschutzbeauftragter bestellt werden. Dabei gilt jedoch, dass die Tätigkeit als Datenschutzbeauftragter losgelöst von der anwaltlichen Tätigkeit zu erfolgen hat. Der Anwalt darf eine Nebentätigkeit nur dann ausüben, wenn diese mit dem Anwaltsberuf vereinbar ist und das Vertrauen in seine Unabhängigkeit nicht gefährdet wird. Diese Vereinbarkeit liegt nach § 14 Bundesrechtsanwaltsordnung (BRAO) üblicherweise bei einer Nebentätigkeiten dann nicht vor, wenn vertrauliche Informationen im Rahmen der Rechtsberatung auch für kaufmännische Zwecke genutzt werden können. Dies muss bei einer Tätigkeit als Datenschutzbeauftragter nicht zwingend der Fall sein.

Allerdings kann die berufsrechtliche Interessenkollision dazu führen, dass ein das Unternehmen beratender Rechtsanwalt nicht gleichzeitig für dieses als Datenschutzbeauftragter tätig sein darf. Denn arbeitsrechtliche und vertragsrechtliche Fragestellungen könnten die Unabhängigkeit und Weisungsfreiheit des Datenschutzbeauftragten gefährden.

Dieses Verbot erstreckt sich nicht nur auf den Anwalt selbst, sondern auch auf die ganze Kanzlei, für die er tätig ist (§ 45 BRAO). Ein Verstoß gegen diese Regelungen kann sogar einen Entzug der Anwaltszulassung zur Folge haben.

Steuerrecht

Nach langem Hin und Her hat der Bundesfinanzhof in seinem Urteil vom 14. Januar 2020 (Az.: VIII R 27/17) aus steuerrechtlicher Sicht abschließend entschieden, dass die Tätigkeit als Datenschutzbeauftragter gemäß § 15 Einkommensteuergesetz (EStG) als gewerblich zu qualifizieren und demzufolge auch Gewerbesteuer abzuführen bzw. ab einem bestimmten Umsatz sogar eine Bilanz zu erstellen ist.

Qualifiziert man die sonst freiberufliche Tätigkeit eines Rechtsanwalts im Falle einer Tätigkeit als externer Datenschutzbeauftragter darüber hinaus als gewerbliche, besteht ein Risiko der nicht eindeutigen Trennbarkeit beider Tätigkeiten. Die freiberuflichen Tätigkeiten würden dann gegebenenfalls zu gewerblichen Einkünften umqualifiziert und dementsprechend auch unter die Gewerbesteuerpflicht fallen. Steuerrechtlich spricht man in diesem Zusammenhang von einer „gewerblichen Infizierung“. Um dieses Risiko zu vermeiden, bieten viele Kanzleien keine Dienstleistungen als externe Datenschutzbeauftragte an.

Eigenes Berufsbild des Datenschutzbeauftragten

Eine berufsrechtliche Entscheidung des Bundesgerichtshofs (BGH) aus 2018 legt jedoch nahe, dass mit der Datenschutz-Grundverordnung (DSGVO) der rechtliche Charakter der Aufgaben eines Datenschutzbeauftragten stark zugenommen hat. Dessen Aufgabe sei nämlich grundsätzlich darauf hinzuwirken, dass der Verantwortliche die nationalen und europäischen datenschutzrechtlichen Vorgaben auslegt, anwendet und deren Umsetzung überwacht.

Aufgrund dieser oft schwierigen rechtlichen Fragestellungen liegt die Kerntätigkeit des Datenschutzbeauftragten in einer zunehmend rechtlich beratenden Funktion. Ob sich der BGH daher der steuerrechtlichen Auslegung des BFH anschließen wird, bleibt abzuwarten. Im Zweifelsfall könnte es deshalb zur Vermittlung zwischen BGH und BFH kommen, um Einheitlichkeit der Rechtsprechung zu erzielen.

Fazit: Beachten Sie bei der Auswahl mögliche Interessenkollisionen und die Qualifikationen zugleich

Die obige Diskussion ist zwar vorwiegend für die Anbieter externer Datenschutzbeauftragter relevant. Doch auch Verantwortliche sollten bei der Auswahl eines Datenschutzbeauftragten ebenfalls Sorgfalt walten lassen.

Der Datenschutzbeauftrage muss von Gesetzes wegen unabhängig sein und weisungsfrei agieren können. In der überwachenden Funktion auch des Verantwortlichen (vertreten durch die Geschäftsleitung) entstehen im Rahmen einer darüber hinaus bestehenden rechtsberatenden Funktion oftmals unauflösbare Interessenskonflikte.

Bestellt man hingegen keinen Anwalt als Datenschutzbeauftragten, muss man dafür Sorge tragen, dass dieser die notwendige Fachkunde besitzt, sämtliche Sachverhalte auch in rechtlicher Hinsicht ausreichend würdigen zu können. Kernbereich der Tätigkeit eines Datenschutzbeauftragten ist die Unterrichtung und Beratung des Verantwortlichen hinsichtlich dessen rechtlicher Verpflichtungen sowohl aus der DSGVO als auch aus den jeweiligen nationalen Datenschutzvorschriften.

Die Wahl sollte zudem nur auf Datenschutzbeauftragte fallen, die außer juristischen Kenntnissen auch vertiefte technische Kenntnisse aufweisen. Darüber hinaus sind Grundkenntnisse betriebswirtschaftlicher Prozesse, des Projektmanagements sowie Soft-Skills in Verhandlungsführung und ggfs. Mediation als notwendiges Rüstzeug vorauszusetzen.

Hinweis: Mehr Informationen dazu finden Sie in unseren Tipps für die Auswahl eines externen Datenschutzbeauftragten!

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Datenübermittlung zwischen Unternehmen (Anleitung)

Die Übermittlung personenbezogener Daten zwischen Unternehmen ist ein alltäglicher Prozess – sei es zwischen unabhängigen Unternehmen oder den Einheiten eines Konzerns bzw. einer Unternehmensgruppe. Unsere Anleitung zeigt Ihnen, wie Sie den rechtlichen Rahmen der Datenschutz-Grundverordnung (DSGVO) erfüllen. Denn besonders bei verbundenen Unternehmen bzw. innerhalb von Konzernen können komplexe datenschutzrechtliche Regelungen sinnvoll oder gar notwendig sein.

Verschiedene Arten von Datentransfer

Die Übermittlung von personenbezogenen Daten zwischen Unternehmen lässt sich in drei Arten einteilen:

  1. Die Übermittlung an einen Dritten, der die Daten als eigenständiger Verantwortlicher verarbeitet.
  2. Die Verarbeitung findet aufgrund einer gemeinsamen Verantwortlichkeit statt.
  3. Die Übermittlung an einen weisungsgebundenen Dienstleister, der als Auftragsverarbeiter für den Verantwortlichen tätig wird.

An jede dieser Varianten knüpfen sich andere Rechtsfolgen, weshalb die im fraglichen Einzelfall vorliegende Art der Übermittlung zu bestimmen ist.

Bei den ersten beiden Punkten gibt es nur Verantwortliche, worunter die DSGVO jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle fasst, die allein (Punkt 1) oder gemeinsam (Punkt 2) mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Wenn eine Stelle nicht über Zwecke und Mittel entscheidet, sondern diese vorgegeben bekommt – sprich weisungsgebunden ist – liegt der Fall von Punkt 3 vor. Die DSGVO spricht dann von Auftragsverarbeitung. Näheres zu dieser Unterscheidung erfahren Sie in unserem Artikel über DSGVO-konforme Verarbeitung im Auftrag.

Konzernprivileg und kleines Konzernprivileg

Ob die Übermittlung dabei zwischen voneinander unabhängigen Unternehmen oder innerhalb einer Unternehmensgruppe bzw. eines Konzerns stattfindet, spielt dabei (zunächst) keine Rolle. Maßgeblich für die Beurteilung ist das Bestehen mehrerer juristischer Personen, nicht deren Verhältnis zueinander.

Ein sog. Konzernprivileg, welches eine Sondersituation statuieren würde, kennt die DSGVO nicht. Lediglich kleinere Erleichterungen knüpfen an das Bestehen einer Unternehmensgruppe an. Dabei spricht man dann vom „kleinen Konzernprivileg“. Dieses umfasst zum Beispiel die Bestellung eines Konzerndatenschutzbeauftragten oder gibt Punkte für die Interessensabwägung im Rahmen des berechtigten Interesses nach Art. 6 Abs. 1 Satz 1 lit. f) DSGVO vor. Insbesondere Letzteres wird im Folgenden relevant.

Die Voraussetzungen für das kleine Konzernprivileg liegen nach Art. 4 Nr. 19 DSGSVO vor, sobald ein „herrschendes“ und ein „abhängiges“ Unternehmen vorliegen. Erwägungsgrund 37 DSGVO besagt, dass dieses Verhältnis weit auszulegen ist, weshalb der Fall schon durch das Bestehen eines faktischen Beherrschungsverhältnis gegeben ist. Auf einen bestimmten gesellschaftsrechtlichen Status, z.B. den Vertragskonzernstatus des Aktienrechts, kommt es nicht an. Maßstab ist der mögliche beherrschende Einfluss auf die Datenverarbeitung (Näheres zum Unternehmensbegriff finden Sie zudem in diesem Artikel).

Rechtskonformer Datentransfer

Sobald ermittelt ist, welche Art von Datentransfer vorliegt, ergibt sich daraus die rechtlich gebotene Vorgehensweise. Grundsätzlich bedarf eine Verarbeitung personenbezogener Daten immer einer gesetzlichen Erlaubnis, da die DSGVO ein Verbot mit Erlaubnisvorbehalt aufstellt, d.h. was nicht ausdrücklich erlaubt ist, ist verboten.

Transfer Verantwortlicher zu Verantwortlicher

Beim Transfer von Daten zwischen zwei Verantwortlichen läuft es in der Regel auf eine Rechtfertigung nach Art. 6 Abs. 1 Satz 1 DSGVO hinaus, wobei als Erlaubnistatbestand meist die Verarbeitung auf der Grundlage eines berechtigten Interesses nach Art. 6 Abs. 1 Satz 1 lit. f) DSGVO in Frage kommt. Bei der Abwägung ob ein berechtigtes Interesse besteht, spielt die Zugehörigkeit zu einer Unternehmensgruppe eine Rolle. Es greift das oben erwähnte kleine Konzernprivileg.

Erwägungsgrund 48 DSGVO besagt:

„Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln. Die Grundprinzipien für die Übermittlung personenbezogener Daten innerhalb von Unternehmensgruppen an ein Unternehmen in einem Drittland bleiben unberührt.“

Die Konzernstellung verschiebt die Interessensabwägung zugunsten des Unternehmens. Im Grunde bleiben die Voraussetzungen für die Bejahung eines berechtigten Interesses aber gleich. Insbesondere bedarf es einer Erforderlichkeit für die Übermittlung. Die Erforderlichkeit ist nicht schon deshalb gegeben, weil den Unternehmen ein Beherrschungsverhältnis zugrunde liegt. Bei einem Großteil der Übermittlung von personenbezogenen Daten zwischen Konzernunternehmen wird die Interessensabwägung aber positiv ausfallen und man sollte sie auf das berechtigte Interesse stützen können. Es ist aber trotzdem immer eine Einzelfallwürdigung nötig. Eine pauschale Behauptung, das Interesse würde bestehen, ist nicht möglich.

Die Interessenabwägung kann auch noch weiter positiv beeinflusst werden: Eine praxisnahe Möglichkeit, um die Interessengewichtung zugunsten des Verantwortlichen zu verschieben, wird zum Teil in konzerninternen Datenschutzverträgen gesehen. Es handelt sich dabei nicht um ein explizites Mittel der DSGVO, sondern um eine an andere Maßnahmen angelehnte Möglichkeit, deren Einfluss nicht über die Interessenabwägung hinausgehen kann. Solche konzerninternen Datenschutzverträge können Schutzmaßnahmen zur Gewährleistung eines erhöhten Datenschutzniveaus – wie beispielsweise technische und organisatorische Maßnahmen – festschreiben und so dazu beitragen, dass die Beeinträchtigung der Rechte und Interessen von betroffenen Personen weniger intensiv ist und diese im Rahmen der Interessenabwägung weniger stark gewichtet werden.

Wie oben erwähnt, enthält die DSGVO – abseits der Regelungen zur Auftragsverarbeitung und beim Drittlandtransfer – keine Vorgaben für Datenschutzvereinbarungen zur Absicherung konzerninterner Datenübermittlungen. Für die Erstellung eines solchen Vertrages können jedoch die Vorgaben für solche Regelungen als Orientierung herangezogen werden.

Entscheidungserheblich, ob ein solches Interesse vorliegt, kann auch die Art der Daten sein. Für die Übermittlung von Kundendaten wird die Abwägung im Rahmen des überwiegenden berechtigten Interesses eher zugunsten des Unternehmens ausfallen, bei Beschäftigtendaten ist ein höherer Maßstab an die Übermittlungsvoraussetzungen anzulegen.

Da die strenge Zweckbindung auch im Rahmen der Übermittlung von personenbezogenen Daten zu beachten ist, dürfen die übermittelten Daten nur zu dem Zweck verarbeitet werden, welcher das festgestellte berechtigte Interesse begründet. Für eine etwaige Weiterverarbeitung dieser Daten wird eine hiervon losgelöste Rechtsgrundlage benötigt.

Gemeinsame Verantwortlichkeit

Die Verarbeitung kann auch im Rahmen einer gemeinsamen Verantwortlichkeit (Joint Control) erfolgen, wenn die Zwecke und Mittel der Verarbeitung gemeinsam festgesetzt werden. Dann bedarf es sowohl einer Rechtsgrundlage nach Art. 6 Abs. 1 Satz 1 DSGVO als auch eines Vertrags zur gemeinsamen Verantwortlichkeit (Joint Controller Agreement).

Transfer Verantwortlicher zu Auftragsverarbeiter

Sofern die Voraussetzungen für eine Auftragsverarbeitung vorliegen, bedarf es keiner extra Erlaubnis nach Art. 6 Abs. 1 Satz 1 DSGVO für die Übermittlung. Dies ist der Fall, wenn eine Weisungsbefugnis in eine Richtung besteht, d.h. ein Unternehmen die Zwecke und Mittel der Verarbeitung festlegt und das andere die Verarbeitung entsprechend für dieses ausführt. Es ist dann jedoch ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abzuschließen. Wie das funktioniert finden Sie ausführlich in einem eigenen Artikel erläutert.

Besonderheiten bei einem Drittlandstransfer

Handelt es sich um eine Übertragung von personenbezogenen Daten in ein Drittland, für das kein Angemessenheitsbeschluss nach Art. 45 DSGVO besteht, schreibt die DSGVO zusätzliche Maßnahmen vor, die zu treffen sind. Zum Beispiel beim Transfer in die USA. Meist kommen dann die EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c) DSGVO, seltener Binding Corporate Rules nach Art. 47 DSGVO zum Zuge.

Standardvertragsklauseln gibt es jeweils für den Transfer von Verantwortlichen zu anderen Verantwortlichen und für den Transfer von Verantwortlichen an Auftragsverarbeiter.

Informationspflichten und Aufnahme der Verarbeitung in das Verzeichnis von Verarbeitungstätigkeiten

Auswirkungen hat die jeweilige Art des Transfers von personenbezogenen Daten auch auf die Informationspflichten nach Art. 13 und 14  DSGVO. Jeder Verantwortliche hat die von der Verarbeitung betroffenen Personen zu informieren. Ein Auftragsverarbeiter muss nicht informieren, da er nicht Verantwortlicher ist. Findet ein Datentransfer in ein unsicheres Drittland statt, ist über darüber und über die geeigneten Garantien zur Sicherheit des Transfers zu informieren.

Zudem ist die Verarbeitung in das Verzeichnis von Verarbeitungstätigkeiten, aufzunehmen. Dabei handelt es sich um eine Vorgabe aus Art. 30 DSGVO, die verpflichtend ist.

Fazit: Datentransfer von Anfang an DSGVO-konform gestalten

Übertragen Sie personenbezogene Daten an andere Unternehmen (auch innerhalb eines Konzerns oder einer Unternehmensgruppe), ist immer zu prüfen, warum und wie der Datentransfer stattfindet. Wenn die Umstände ermittelt sind, sind die entsprechend notwendigen Maßnahmen zu treffen (Interessenabwägung, Auftragsverarbeitungsvertrag, Joint-Controller-Agreement).

Auch Besonderheiten wie der Drittlandtransfer werden, gerade in großen Konzernen, schnell einmal übersehen. Aber gerade hier dürfen keine Fehler passieren. Über das Verzeichnis von Verarbeitungstätigkeiten können die Aufsichtsbehörden einfach und effektiv kontrollieren, ob die Vorschriften beachtet wurden. Bußgelder können sich dann am Konzernumsatz bemessen. Wer seine Übermittlungen von personenbezogenen Daten von Anfang an mit Blick auf die DSGVO gestaltet, beugt dem vor und kann dabei selbst Gestaltungsspielräume ausnutzen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am: