Datenschutzkonformer Einsatz von Cookie-Consent-Bannern nach BGH-Urteil

Der datenschutzkonforme Einsatz von Cookies gehört zu den größeren Herausforderungen des Marketings unter der Datenschutz-Grundverordnung (DSGVO). Wichtig ist vor allem, wie Websitenutzer ihre Zustimmung zur Verarbeitung ihrer personenbezogenen Daten abgeben oder eben auch verweigern können. Am verbreitetsten sind dafür sogenannte Cookie-Consent-Banner. Doch wie müssen diese technisch und juristisch ausgestaltet sein?

Update: Mit Urteil vom 28. Mai 2020 hat der Bundesgerichtshof (BGH) endlich eine verbindliche Aussage zum Einsatz von einwilligungsbedürftigen Cookies abgegeben. Siehe dazu auch unsere Besprechung des Urteils.

Nach einer Vorlage an den EuGH kam der BGH nun zu dem Ergebnis, dass die Anforderungen an eine Einwilligung für die Speicherung von Cookies auf dem Endgerät des Nutzers nicht erfüllt sind, wenn vorangekreuzte Kästchen verwendet werden. Dies deckt sich mit unseren bisher abgegebenen Empfehlungen in diesem Artikel. Änderungen ergeben sich bei der rechtlichen Herleitung, weswegen der Beitrag diesbezüglich überarbeitet wurde und den nun geltenden strengeren Maßstab erläutert.

Grundlagen: Cookies und personenbezogene Daten

Durch das Setzten von Cookies – kleinen Textinformationen, die auf dem Gerät von Internetnutzern gespeichert werden – werden in der Regel personenbezogene Daten verarbeitet, da der Nutzer bzw. sein Endgerät dadurch individuell zuzuordnen ist. So zum Beispiel beim Tracking, also dem Nachverfolgen des individuellen Verhaltens von Nutzern. Die Individualisierung findet dabei durch die IP-Adresse, den Browserfingerprint oder andere dem Einzelnen zuordenbaren Kriterien statt. Deshalb ist der Anwendungsbereich des Datenschutzrechts eröffnet. Daneben gelten die Vorgaben der europäischen ePrivacy Richtlinie für Cookies, welche nach dem Urteil des BGH im Telemediengesetzt (TMG) umgesetzt sein sollen. Die dort zu findenden Regelungen sind für die Anwendung richtlinienkonform auszulegen.

Bisher galt: Während das Setzen von technisch notwendigen Cookies auf die Rechtsgrundlage des berechtigten Interesses gem. Art. 6 Abs. 1 lit. f) DSGVO gestützt werden konnte, bedurfte es vor dem Setzen von technisch nicht-notwendigen Cookies des Einholens einer informierten Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO von dem Betroffenen.

Nach dem BGH-Urteil gilt das so ähnlich, jedoch wohl deutlich strenger: Eine Einwilligung ist für (fast) alle zu setzenden Cookies und auch für einen Zugriff auf bereits auf dem Gerät des Nutzers abgelegte Cookies einzuholen. Dies gilt nicht nur für zu Werbezwecken eingesetzte Cookies, sondern auch für Komfortfunktionen, wie die Speicherung von Präferenzen (Sprache o.ä.) und selbst dann, wenn es sich um nicht personenbezogene Cookies handelt. Denn der Regelungsumfang gilt über personenbezogene Daten hinaus für alle Cookies. Geschützt werden soll( neben den personenbezogenen Daten) vor allem auch die Selbstbestimmung, welche Dateien auf dem eigenen Gerät gespeichert werden dürfen.

Unter der jetzt geltenden Rechtsgrundlage ist immer noch zwischen technisch nicht-notwendigen und notwendigen Cookies zu unterscheiden. Welche Cookies jedoch als technisch unabdingbar akzeptiert werden, kann derzeit nicht rechtssicher beurteilt werden, da ein anderer, strengerer, Maßstab gilt. Dieser ist leider nicht genauer bestimmt. Wir raten deshalb zu einer konservativen Einordung. Zumindest sollte jetzt auch für Präferenzcookies eine Einwilligung geholt werden, die man davor noch unter das berechtigte Interesse sortiert hätte.

Mit Sicherheit kann die Aussage getroffen werden, dass nach wie vor Cookies, die für Zwecke des Trackings, der Analyse und Statistik oder sonstige werbende Maßnahmen, die nicht die grundlegende Zurverfügungstellung des Dienstes aus technischer Sicht betreffen, verwendet werden, einer ausdrücklichen aktiven Einwilligungserklärung bedürfen.

Es ergeben sich also für beide Fälle immer noch jeweils andere Rechtsfolgen:

  • Bei Cookies, die technisch unabdingbar sind, muss vor dem Setzen lediglich informiert werden. Dafür reicht ein einfaches Cookie-Banner aus.
  • Bei Cookies, die nur aufgrund einer Einwilligung gesetzt werden dürfen, muss nicht nur informiert, sondern auch die informierte Einwilligung eingeholt werden. Deswegen ist dann das einfache Cookie-Banner, welches nur informiert, nicht ausreichend. Stattdessen ist der Einsatz eines sogenanntes Cookie-Consent-Banners notwendig.

Ersterer Fall wird nun so gut wie nicht mehr vorkommen und Cookie-Consent-Banner werden noch verbreiteter einzusetzen sein.

Einwilligung nur durch eindeutig bestätigende Handlung

Die relevanten Normen ergeben sich aus der DSGVO und der europäische ePrivacy Richtlinie, welche in Deutschland durch das TMG Geltung findet.

Immer wieder kommt es zu Unklarheiten aufgrund der verschiedenen Rechtsquellen im Datenschutzrecht. Insbesondere bezüglich Cookies haben hier auch immer wieder Änderungen stattgefunden, zuletzt durch das genannte BGH-Urteil. Deshalb soll hier für juristisch Interessierte ein kurzer Überblick gegeben werden.

Der momentane Stand Ende Mai 2020 sieht wie folgt aus: Die europäische ePrivacy-Richtlinie 2002/58/EG, 2009 ergänzt um die Regelungen zu Cookies durch die Richtlinie 2009/136/EG, trifft Mindestvorgaben für den Datenschutz in der elektronischen Kommunikation. Als Richtlinie hat sie, anders als eine Verordnung (wie z.B. die DSGVO oder die in den nächsten Jahren erwartete ePrivacy-Verordnung), keine unmittelbare Regelungswirkung, sondern muss von den Mitgliedsstaaten der EU erst in Form von nationalem Recht im jeweiligen Land umgesetzt werden.

Die Geltungs- und damit auch Umsetzungspflicht wird durch das Erscheinen der DSGVO nicht berührt. Die Kollisionsregel in Art. 95 DSGVO regelt sogar ausdrücklich, dass soweit dasselbe Ziel verfolgt wird, die DSGVO keine zusätzlichen Pflichten zur Richtlinie auferlegt. Das heißt, nationale Regelungen, die auf der ePrivacy-Richtlinie basieren, werden nicht durch den Anwendungsvorrang der DSGVO verdrängt. Anders verhält es sich mit der alten Datenschutzrichtlinie 95/46/EG. Diese wurde am 25. Mai 2018 mit Anwendbarkeit der DSGVO aufgehoben.

In Deutschland ist jedoch die Umsetzung der ePrivacy-Richtlinie nicht wie vorgeschrieben erfolgt. Ein formeller Umsetzungsakt der ePrivacy-Richtlinie in der Fassung der Änderung durch die Richtlinie 2009/136/EG ist im 4. Abschnitt des Telemediengesetzes (TMG) nicht erfolgt. Insbesondere fehlt es an einem Umsetzungsakt für Art. 5 Abs. 3 der ePrivacy-Richtlinie im deutschen Recht insgesamt.

Bisher wurde überwiegend vertreten, dass auch keine richtlinienkonforme Auslegung möglich sei (BGH Beschluss vom 5. Oktober 2017, Az.: I ZR 7/16 und der Final Report der EU-Kommission zur Studie über die Umsetzung der ePrivacy-Richtlinie).

Mit seinem Urteil vom 28. Mai 2020 hat der BGH jedoch eine richtlinienkonforme Auslegung proklamiert, und wendet die Vorschriften des TMG entsprechend an.

Bevor durch das Urteil des BGHs Rechtssicherheit geschaffen wurde, war umstritten, in welcher Art und Weise die Einwilligung einzuholen ist. Entsprechend hat sich die Methode verbreitet, Websitebesucher zu informieren und zu erklären, dass ihre Einwilligung als gegeben betrachtet wird, wenn sie die Website weiterverwenden.

Solche Banner, wie sie noch auf vielen Websites im Einsatz sind, sind nun definitiv nicht mehr konform und es besteht die Gefahr einer Abmahnung oder der Verhängung von Bußgeld.

Es bedarf eines Cookie-Consent-Banners, mittels welchem eine aktive Einwilligung im Sinne von Art. 4 Nr. 11 DSGVO eingeholt wird. Darunter zu verstehen ist eine unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder sonstigen eindeutigen bestätigenden Handlung, durch die die betroffene Person ihr Einverständnis zur Datenverarbeitung unmissverständlich erteilt. Weitersurfen auf der Website kann keine solche aktive Einwilligung sein. Ebenso wenig ein bereits vorangekreuztes, abwählbares Kästchen (Opt-out). Das haben BGH und EuGH inzwischen sehr deutlich ausgeführt.

In Erwägungsgrund 32 DSGVO hat der Gesetzgeber dies auch ausdrücklich für den fraglichen Fall klargestellt: „Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen […] Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite […] geschehen“.

Des Weiteren gilt eine Einwilligung nach Erwägungsgrund 43 DSGVO auch dann nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann. Wenn bei Websites durch vorgeschaltete Abfragen eine Einwilligung eingeholt wird, müssen die einzelnen Verarbeitungsvorgänge daher gesondert anwählbar sein (so die DSK). Eine grobe Aufteilung nach Zweck, zum Beispiel in Tracking, Statistik, Präferenzen, etc. wird dabei aber genügen. Ansonsten würde bei der Verwendung vieler Cookies eventuell aufgrund der Menge und der oft kryptischen Bezeichnungen die Transparenz leiden.

Eine Einwilligung, die nicht den dargestellten Anforderungen genügt, ist unwirksam und kann nicht als Rechtsgrundlage für die Datenverarbeitung herangezogen werden. Der Rückgriff auf eine andere Backup-Rechtsgrundlage, wie beispielsweise berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f) DSGVO ist aufgrund der gesetzlichen Regelung, wonach die DSGVO keine zusätzlichen Pflichten zur ePrivacy Richtlinie auferlegt, nicht möglich.

Praktische Umsetzung der Implementierung von Cookie-Consent-Bannern

Anforderungen an Cookie-Consent-Banner

Aufgrund der oben geschilderten rechtlichen Lage gibt es bei der Implementierung eines Cookie-Consent-Banners zusammengefasst folgende Punkte zu beachten, die sich durch das Urteil des BGH nicht grundlegend ändern:

  • Es dürfen bis zur Erteilung der Einwilligung keine einwilligungsbedürftigen Cookies gesetzt werden. An diesem Punkt scheitern viele Websites. Ein rechtlich korrekter Text im Banner nützt nichts, wenn die technische Implementation nicht funktioniert.
  • Die Annahme einer automatischen Einwilligung durch Scrollen, Navigation auf der Website oder sonstiges Ignorieren der Einwilligungsaufforderung stellt nie eine rechtskonforme Einwilligung nach DSGVO dar.
  • Die betroffene Person muss vor Abgabe der Einwilligung über ihr Recht auf Widerruf der Einwilligung in Kenntnis gesetzt werden. Der Widerruf muss dabei genauso einfach möglich sein wie die Erteilung der Einwilligung.
  • Die Cookies, für die eine Einwilligung eingeholt wird, müssen alle, wenn nicht schon im Banner, dann in der Datenschutzerklärung oder in einer Cookie-Richtlinie, auf die in dieser verwiesen wird, aufgeführt werden. Über die mittels der Cookies stattfindende Verarbeitung ist zu informieren.
  • Der erforderliche Nachweis der Einwilligungserklärung erfolgt wiederum durch das Setzen eines notwendigen Cookies. Über das Setzen dieses Cookies ist zu informieren.

Inhalte von Cookie-Consent-Bannern

Aus diesen Anforderungen an ein Cookie-Consent-Banner ergibt sich dessen Inhalt. Dieser sollte umfassen:

  • Einen ersten Hinweis auf den Zweck der Cookies, in deren Verwendung eingewilligt werden soll.
  • Da sich der Einwilligungsmaßstab an der DSGVO bemisst, ein Hinweis auf das Widerrufsrecht gem. Art. 7 DSGVO
  • Einen Verweis auf die Datenschutzerklärung, in der nähere Informationen Art. 13 DSGVO zu finden sind. Diese muss mit einem Klick erreichbar sein und es dürfen bei ihrem Aufruf noch keine technisch nicht notwendigen Cookies gesetzt werden.
  • Eine Schaltfläche zum Erteilen der Einwilligung
  • Eine Schaltfläche zum Verweigern der Einwilligung
  • Eine Auswahlmöglichkeit der Cookies, in die Eingewilligt werden soll, nach ihrem Zweck. Die Auswahlkästchen dürfen nicht vorangekreuzt sein!

Daraus ergibt sich beispielsweise folgender Formulierungsvorschlag für das Cookie-Consent-Banner:

Diese Website verwendet neben technisch notwendigen Cookies auch solche, deren Zweck die Analyse von Websitezugriffen oder die Personalisierung Ihrer Nutzererfahrung ist. Ihre Einwilligung in die Verwendung können sie jederzeit hier widerrufen. Mehr Informationen zu den im Einzelnen eingesetzten Cookies und ihrem Widerrufsrecht erhalten sie in unserer Datenschutzerklärung.

Achtung: Bitte passen Sie den im ersten Satz genannten Zweck den tatsächlich verwendeten Cookies an. Hier ist der Regelfall abgebildet, der die Verwendung von Cookies für Statistiken und Marketing umfasst.

Nach dem oben schon viel zitierten BGH-Urteil sollten nun auch Präferenzcookies genannt und eine Einwilligung für diese eingeholt werden. Das würde im obigen Text unter „Personalisierung Ihrer Nutzererfahrung“ fallen.

Der Einwilligungsbutton sollte eine eindeutig erklärende Aussage beinhalten. Zum Beispiel „Ok. Ich bin mit der Verwendung einverstanden“ oder „Alle Cookies zulassen“. Die Verweigerung als Gegenstück könnte zum Beispiel lauten „Ich bin mit der Verwendung nicht einverstanden“ oder „Nur notwendige Cookies zulassen“. Die Cookies sollten für die Einwilligung nach unterschiedlichen Zwecken sortiert anwählbar sein.

Es besteht auch die Möglichkeit den Besuch der Website überhaupt nicht zuzulassen, wenn die Einwilligung nicht erteilt wird. Es gibt keine Pflicht eine cookiefreie Alternative bereitzustellen, sofern keine Abhängigkeit oder ein Monopol vorliegt (was der Fall wäre, wenn der Besucher keine Wahl hat, sondern die Seite aus irgendwelchen Gründen, wie zum Beispiel Alternativlosigkeit, besuchen muss). In den anderen Fällen könnte der Betroffene nicht frei entscheiden. Eine freiwillige Einwilligung im Sinne der DSGVO läge dann nicht vor.

Wahlmöglichkeit zwischen Cookies oder Bezahlung

Eine zumindest nach den österreichischen und niederländischen Aufsichtsbehörden zulässige Alternative ist die Auswahlmöglichkeit zwischen Einwilligung in die Verarbeitung und dem Erwerb eines kostenpflichtigen Zugangs, bei dem der Nutzer nicht getrackt wird. Ein Beispiel dafür ist die Website der Zeitung Der Standard. Diese verstößt nicht gegen das Kopplungsverbot und betrifft nicht die Freiwilligkeit der Erklärungsabgabe. Neben der kostenpflichtigen Alternative gibt es ja noch die Alternative, das Angebot nicht zu nutzen.

Eine Aussage deutscher Behörden oder Gerichte zu genau dieser Konstellation gibt es noch nicht. Jedoch zu der, was die Interessenslage angeht, ähnlichen Konstellation der Werbefreiheit nur gegen Bezahlung. Das BayLDA sagt in seinem Beratungs-FAQ, „die grundrechtlich geschützte, allgemeine Vertragsfreiheit erlaubt [es] den Vertragsparteien im Rahmen der Gesetze die Vertragsinhalte (Leistung und Gegenleistung) frei festzulegen. Wenn also das Vertragsangebot klar und deutlich dergestalt lautet, dass eine Leistung dann kostenfrei zur Verfügung gestellt wird, wenn der Kunde als seine Vertrags-Gegenleistung (‚Bezahlung‘) Werbung erlaubt, so ist dagegen datenschutzrechtlich nichts einzuwenden.“ Anders wäre dies wieder nur bei einer Monopolstellung oder anderweitigen Abhängigkeit zu beurteilen.

Hinweis zu kommenden Änderungen

Es sei darauf hingewiesen, dass es in den kommenden Jahren voraussichtlich erneut Änderungen geben wird. Zum einen durch die geplante, aber immer wieder verschobene, europäische ePrivacy-Verordnung. Zum anderen dadurch, dass der nationale Gesetzgeber das Telemediengesetzt überarbeiten möchte. Wir halten Sie selbstverständlich auf dem Laufenden.

Fazit: Cookies nur mit rechtskonformer Einwilligung

Wir wissen um die Schwierigkeit der Umsetzung. Für viele Unternehmen ist der Einsatz von Cookies wichtiger Bestandteil ihrer Internetpräsenz und das Einhalten der datenschutzrechtlichen Vorgaben kann eine deutliche Beschränkung ihres Geschäftsmodells darstellen. Wettbewerber, die sich nicht an die strengen Vorgaben halten, haben unter Umständen einen Vorteil vor denen, die sich rechtskonform verhalten.

Durch die nun ergangene höchstrichterliche Entscheidung gibt es keinen Spielraum mehr, bezüglich der Auslegung wie eine rechtskonforme Einwilligung auszugestalten ist.

Unsicherheit besteht aber noch darüber, für welche Cookies man eine Einwilligung zwingend benötigt. Da sich der Maßstab aber zum strengeren Verschoben hat, kann deswegen kein Unternehmen aufatmen, vielmehr sollte überprüft werden ob nicht noch mehr Einwilligungen eingeholt werden müssen als davor schon.

Ob dies in letzter Konsequenz zu mehr Datenschutz für den einzelnen Nutzer führt, bleibt abzuwarten. Die unter Umständen eintretende Auswirkung auf die Diensteanbieter jedenfalls bleibt nicht aus. Spannend ist demnach die Frage, ob dies ein Mittel zu mehr Selbstregulierung im Netz ist und ob hiermit auch negative Auswirkungen auf das Online-Angebot insgesamt einhergehen. Auch scheint es sich abzuzeichnen, dass von der Cookietechnologie in Zukunft immer mehr abgerückt wird. Ob die Alternativen dann für die betroffenen Personen wirklich besser sein werden oder gar nachteiliger, lässt sich noch nicht sagen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Datenschutz-Herausforderungen bei der Implementierung von Altersverifikationssystemen gemäß KJM

Der Schutz von Heranwachsenden im Internet ist in Deutschland stark ausgeprägt und wird von der Kommission für Jugendmedienschutz (KJM) beaufsichtigt. Um Jugendliche vor schädigenden Inhalten zu wahren, haben Anbieter elektronischer Informations- und Kommunikationsdienste die Pflicht, ihr jugendgefährdendes Angebot nur berechtigtem Publikum zugänglich zu machen. Wer ein den Jugendschutzvorgaben entsprechendes Altersverifikationssystem einführen will, muss jedoch strenge Datenschutz-Vorschriften beachten.

Rechtliche Grundlagen des Jugendmedienschutzes in Deutschland

Medienangebote, die auf Kinder und Jugendliche schädigend wirken können, unterliegen in Deutschland gesetzlichen Einschränkungen. Die Informationsfreiheit kann gem. Art. 5 Abs. 2 Grundgesetz nur begrenzt beschnitten werden. Der Jugendschutz ist jedoch als Grund zur Einschränkung der Informationsfreiheit anerkannt und verfolgt den Zweck, Heranwachsende vor negativen Beeinträchtigungen zu bewahren.

Der Jugendmedienschutz-Staatsvertrag (JMStV) unterscheidet zwischen drei verschiedenen inhaltlichen Gefährdungsgraden und erfordert dementsprechend verschiedenartige Zugangsbarrieren:

  1. Strikt unzulässige Inhalte: B. Volksverhetzung, Gewaltverherrlichung oder Menschenwürdeverletzungen sind gem. § 4 Abs. 1 JMStV sowohl im Rundfunk als auch im Internet von der Verbreitung ausgeschlossen.
  2. Entwicklungsbeeinträchtigende Inhalte: Anbieter haben gemäß § 5 Abs. 1 JMStV dafür Sorge zu tragen, dass beeinträchtigende Inhalte von Kindern oder Jugendlichen üblicherweise nicht wahrgenommen werden. Um die Einschränkung zu erfüllen, können bei Onlineinhalten technische Mittel eingesetzt werden. Dies sind Zugangsbarrieren mit Altersprüfung, die jedoch nicht das strenge Schutzniveau geschlossener Benutzergruppen erfüllen müssen.
  3. Schwer jugendgefährdende Inhalte: Darunter fallen gem. § 4 Abs. 2 JMStV pornografische, bestimmte indizierte Angebote und Inhalte, die die Eigenverantwortlichkeit und Gemeinschaftsfähigkeit von Heranwachsenden schwer gefährden. Solche Angebote dürfen in Telemedien zugänglich gemacht werden, wenn der Anbieter durch sogenannte geschlossene Benutzergruppen sicherstellt, dass nur Erwachsene Zugriff auf diese Inhalte haben. Das Design technischer Lösungen erweist sich auf Basis abstrakter gesetzlicher Vorgaben als Herausforderung.

Das Altersverifikationssystem der Kommission für Jugendmedienschutz

Vor der Entstehung textlicher und audiovisueller Internetangebote waren Medienanbieter recht beschränkt darin, ihren Inhalt geschlossenen Benutzergruppen zugänglich zu machen. Dies gelang hauptsächlich durch Sendezeitbegrenzungen und Indexierung von Printmedien. Mit dem Internet eröffnen sich technisch vielseitige Möglichkeiten Zugangsbarrieren für Inhalte zu setzen.

Um den Zugriff auf schwer jugendgefährdende Internetinhalte gem. § 4 Abs. 2 JMStV (letztgenannte Zugangsbarriere) zu begrenzen, bedarf es des Einsatzes sogenannter Altersverifikationssysteme (AV-Systeme). Weil der JMStV nicht vorsieht, wie ein regelungskonformes AV-System aussieht, hat die Kommission für Jugendmedienschutz (KJM) ein Verfahren zur Bewertung von Altersverifikationslösungen anhand transparenter Kriterien geschaffen. Typische Anwender des Verfahrens sind in Deutschland niedergelassene On-Demand-Anbieter, die gewaltverherrlichende oder pornografische Inhalte bereitstellen, Online- bzw. Browserspiele sowie der Online-Vertrieb dieser Inhalte. Auch Gewinn- und Glücksspiele im Internet orientieren sich am Altersverifikationssystem der KJM.

Das AV-System bietet den verpflichteten Anbietern gesteigerte Rechts- und Planungssicherheit, denn der Bewertungsleitfaden und Beispiele positiv befundener Konzepte verhelfen als Anleitung zu jugendschutzkonformen Implementierungen. Wichtig ist, dass ausschließlich Entwürfe von AV-Systemlösungen durch die KJM geprüft werden, nicht aber endgültige Umsetzungen der Anbieter. Zuletzt muss herausgestellt werden, dass das AV-System nur einen Teil, nicht aber alle gesetzlichen Anforderungen beleuchtet. Insbesondere den Datenschutz lässt es fast vollständig außen vor.

Inhalte des Altersverifikationssystems

Die KJM bewertet sowohl Konzepte von Gesamtlösungen als auch Teillösungen (Module) für geschlossene Benutzergruppen. Dies geschieht anhand einer Reihe von Kriterien, die im sogenannten AVS-Raster auf transparente Weise veröffentlicht wurden. Es besteht für Anbieter die Möglichkeit, positiv bewertete Module im Baukastenprinzip zu Gesamtlösungen geschlossener Benutzergruppen zu kombinieren und damit den Anforderungen des JMStV und der KJM zu entsprechen.

Das Altersverifikationssystem befasst sich mit zwei verbundenen Schritten:

  1. Einmalige Identifizierung des Nutzers zur Volljährigkeitsprüfung durch Angesichts-Kontrolle unter Anwesenden (eID-Funktion des Personalausweises; Ausweisdokumentabgleich durch Webcam-Liveauswertung, Post-Ident usw.) oder biometrischen Abgleich von Ausweisdokumenten mit Live-Aufnahmen des Nutzers.
  2. Authentifizierung vor jedem Nutzungsvorgang, der nicht unmittelbar in Anschluss an die Identifizierung erfolgt. Zusätzlich muss das Risiko der Weitergabe von Zugangsberechtigungen an Minderjährige wirksam reduziert werden. Dies kann z.B. durch das pushTAN-Verfahren oder Identifizierung des Endgeräts erreicht werden. Alternativ kann der Anbieter seinen Dienst derart gestalten, dass Personen, an die die Zugangsberechtigungen weitergegeben werden, Einsicht in sensible Accountinformationen des ursprünglichen Nutzers erhalten. Dies sollte die Weitergabe ebenfalls effektiv verhindern.

Zusätzliche datenschutzrechtliche Anforderungen an das Altersverifikationssystem

Im Zusammenhang mit der Implementierung und dem Betrieb eines AV-Systems gehen vielfältige datenschutzrechtliche Anforderungen einher, auf die die Bewertungskriterien der KJM nicht eingehen. Um Nutzern eine rechtskonforme Lösung bereitzustellen, ist die Einhaltung des Datenschutzes jedoch unerlässlich.

Folgende Aspekte sind bei der Lösungsplanung unbedingt einzubeziehen:

  • Anbieter haben die Pflicht dafür zu sorgen, dass ihre Dienste gegen äußere An- und Zugriffe nach dem aktuellen Stand der Technik gesichert sind. Mit der Identifikation und Authentifikation werden personenbezogene Daten verarbeitet, die z.B. den Identitätsdiebstahl ermöglichen oder geheime sexuelle Vorlieben des Nutzers beherbergen könnten. Dies stellt ein Risiko für Nutzer dar. Der Einsatz angemessener technischer und organisatorischer Maßnahmen Art. 32 DSGVO (Datenschutz-Grundverordnung), um die Sicherheit der Identifizierungs- und Authentifizierungsdaten zu wahren, muss unbedingt im Voraus geplant werden, um Schwachstellen der Systeme zu vermeiden.
  • Das AV-System muss datenschutzfreundliche Voreinstellungen zugunsten des Nutzers erlauben und derart gestaltet sein, dass die Datenschutzgrundsätze des Art. 5 DSGVO eingehalten werden.
  • Insbesondere wird die Erfassung und Speicherung der für die Identifizierung notwendigen Daten von der KJM verlangt. Diese Anforderung kann im Widerstreit zur gesetzlich vorgegebenen Datenminimierung stehen und bedarf deshalb einer einzelfallbezogenen Prüfung. Verschiedene Identifikationsverfahren sind am Markt verfügbar. Es sollte in jedem Falle dasjenige gewählt werden, das mit den wenigsten Daten über den Nutzer auskommt und trotzdem dessen zuverlässige Identifizierung ermöglicht.
  • Viele AV-Systeme schließen die Verarbeitung von Personalausweisdaten ein. Diese Handlung unterliegt speziellen gesetzlichen Vorgaben im Personalausweisgesetz, welche zu beachten sein könnten.
  • Sofern das AV-System ein hohes Risiko für die teilnehmenden Nutzer birgt, ist eine Datenschutzfolgenabschätzung Die Höhe des Risikos ergibt sich aus dem möglichen Schaden, den die Datenverarbeitung für den Nutzer verursachen kann (z.B. wenn die Folgen irreversibel sind) und dessen Eintrittswahrscheinlichkeit. Ein hohes Risiko kann sich aus dem Einsatz von biometrischen Verfahren, Lokalisierungsdiensten und künstlicher Intelligenz zu Identifizierungs- und Authentifizierungszwecken ergeben.
  • Sobald biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person eingesetzt werden, greifen die besonderen Voraussetzungen des Art. 9 DSGVO.
  • Bei der Identifizierung und Authentifizierung von Personen verlassen sich Anbieter häufig auf Dienstleister, die personenbezogene Daten in deren Auftrag verarbeiten. Entsprechend kann es erforderlich werden Auftragsverarbeitungsverträge abzuschließen sowie technische und organisatorische Maßnahmen der eingesetzten Dienstleister zu prüfen.
  • Der Betrieb des AV-Systems erfordert die Erstellung und Pflege eines sogenannten Verzeichnisses von Verarbeitungstätigkeiten sowie die Information der Betroffenen über die Datenverarbeitung zu Identifizierungs- sowie Authentifizierungszwecken.

Zur Umsetzung dieser vielfältigen Anforderungen ist die rechtzeitige Einbeziehung des Datenschutzbeauftragten oder eines externen Spezialisten unerlässlich. Gerade aufgrund mit der DSGVO einhergehender hoher Bußgelder ist dieses Detail unbedingt zu beachten.

Fazit: Datenschutz-Anforderungen an AV-System sollten nicht unterschätzt werden

Das Altersverifikationssystem der KJM gibt Anbietern von Internet-Angeboten mit schwer jugendgefährdenden Inhalten einen klar definierten Rahmen, um die Identifizierung und Authentifizierung von Nutzern im Sinne des § 4 Abs. 2 JMStV umzusetzen. Die Kriterien sind auf die Einhaltung jugendschutzrechtlicher Vorgaben fokussiert, decken aber grundlegende datenschutzrechtliche Anforderungen nicht ab. Zu Compliance-Zwecken ist die Einbeziehung eines Datenschutzexperten unerlässlich, weil die Missachtung einschlägiger Datenschutzregeln insbesondere bei risikobehafteten personenbezogenen Daten sehr hohe Bußgelder verursachen kann.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Office 365 / Microsoft 365 datenschutzkonform konfigurieren und nutzen

Da die Offline-Produkte von Microsoft Office zunehmend vom Markt verschwinden, denken immer mehr Unternehmen über den Einsatz von Office 365 und dessen Online-Funktionen nach (seit April 2020 wird die Produktgruppe als Microsoft 365 geführt). Bei der Einrichtung von Microsoft 365 existieren jedoch einige datenschutzrechtliche Fallstricke, welche im schlimmsten Fall zu einem Bußgeldrisiko führen. Diese Risiken lassen sich durch die richtigen Einstellungen zum großen Teil umgehen.

Im Kern geht es darum, die Übermittlung von Daten an Microsoft weitestgehend zu unterbinden. Allerdings sind dann auch nicht alle Funktionen von Microsoft 365 nutzbar. Der folgende Überblick zeigt Ihnen die erforderlichen Datenschutzeinstellungen im Vergleich mit den jeweils auftretenden Einschränkungen für die Usability bzw. Einsatzgebiete im Unternehmen.

Notwendige Einstellungen für den datenschutzkonformen Einsatz von Microsoft 365

Um den folgenden Empfehlungen nachkommen zu können, muss eine eventuell noch ältere Version von Office 365 zunächst auf Version 1905 oder höher aktualisiert werden. Erst mit dieser Version wurden die entsprechenden Einstellungsmöglichkeiten in Office 365 / Microsoft 365 implementiert (siehe die Infobox zum geschichtlichen Hintergrund).

Anschließend sollten folgende Maßnahmen ergriffen werden:

  1. Die Nutzung von Connected Experiences/Services in Office 365 muss deaktiviert werden. Diese Services übermitteln Daten in großem Umfang an Microsoft und dürfen daher nicht genutzt werden. Damit fallen Funktionen wie z.B. der Übersetzer oder die Raumsuche weg.
  2. In den Einstellungen muss beim Senden der Diagnosedaten die Option „weder noch“ ausgewählt werden. Ein direkter Nachteil für den Nutzer entsteht hierdurch nicht.
  3. Das Telemetrie-Niveau von Microsoft 365 ist auf „weder noch“ zu stellen. Dies kann per Gruppenrichtlinie oder als Registry-Eintrag vorgegeben werden. Ebenso sollte bei dieser Gelegenheit das Telemetrie-Niveau in Windows 10 Enterprise auf „Security“ gesetzt werden. In Windows 10 Home und Professional ist es hingegen nicht möglich, die Übermittlung von Messdaten vollständig abzuschalten. Daher kann momentan lediglich Windows 10 Enterprise bzw. die Education-Version datenschutzkonform eingesetzt werden (siehe unser Ratgeber zum Einsatz von Windows im Unternehmen).
  4. Der Versand von Daten im Rahmen des Customer Experience Improvement Programms (CEIP) sollte unterbunden werden. Auch dies kann in der Gruppenrichtlinie oder per Registry-Eintrag geregelt werden und hat keine Folgen für den Nutzer.
  5. Die LinkedIn-Integration von Mitarbeiterkonten ist zu deaktivieren. Dies kann in der Administratoroberfläche eingestellt werden. Derzeit ist die Funktion in Deutschland per Default deaktiviert. Allerdings sollte dies nach Updates überprüft werden. Es ist nicht ungewöhnlich, dass Microsoft bei Updates Änderungen an den Einstellungen vornimmt.
  6. Je nach Sensitivität der Daten sollte die Customer Lockbox oder der Customer Key verwendet werden. Dies ist mit Zusatzkosten verbunden, da Microsoft für diese Services zusätzliche Gebühren erhebt. Die Alternative wäre, keine sensiblen Daten in Microsoft 365 zu verarbeiten.
  7. Sofern Workplace Analytics oder Activity Reports genutzt werden sollen, ist vor Aktivierung ggf. eine eigene Datenschutzfolgenabschätzung durchzuführen und der Betriebsrat in Kenntnis zu setzen. Das Plugin „Insights“ sollte dabei nicht installiert werden, da hierbei zusätzliche Informationen für die Analytics-Analyse gesammelt werden.
  8. Nutzer sind nach Möglichkeit technisch und durch interne Richtlinien davon abzuhalten, Office-Online-Anwendungen oder mobile Office-Applikationen zu verwenden. In einer Datenschutzfolgenabschätzung im Auftrag der niederländischen Aufsichtsbehörde wurde die Zulässigkeit der Online-Anwendungen und mobilen Applikationen von Office 365 bewertet. Diese kommt zu dem Schluss, dass deren Einsatz an fünf Punkten ein hohes datenschutzrechtliches Risiko für den Betroffenen birgt und daher unterlassen werden sollte (siehe die Infobox). Das schränkt die Nutzung von Office 365 / Microsoft 365 in vielen Bereichen ein, da die Programme nur vorinstalliert auf einem PC oder Mac genutzt werden können, nicht hingegen auf Smartphones.

Da sich die konkreten Einstellungsmöglichkeiten nach Version und Betriebssystem unterscheiden können, ist es uns nicht möglich an dieser Stelle eine Schritt-für-Schritt Lösung anzubieten. Allerdings finden sich im Internet Anleitungen bzgl. aller Punkte, zum Teil sogar von Microsoft selbst. In der Regel sollte die IT-Abteilung weiterhelfen können.

Sofern all diese Anforderungen beachtet werden, lässt sich Office 365 für den Moment datenschutzkonform einsetzen. Es bleibt jedoch zu beobachten, ob Microsoft die nun gelebte Datensparsamkeit beibehält oder ob die Aufsichtsbehörden weitere Erkenntnisse hinsichtlich der Datenübermittlung erlangen.

Erforderlichkeit einer Datenschutzfolgenabschätzung

Da all diese Erkenntnisse primär auf einer in den Niederlanden durchgeführten Datenschutzfolgenabschätzung beruhen, stellt sich für vielen Unternehmen die Frage, ob eine solche für den eigenen Einsatz durchzuführen ist.

Die ist in der Regel nicht erforderlich, sofern die obigen Einstellungen in Microsoft 365 vorgenommen werden. Durch diese wird die Datenübermittlung an Microsoft bestmöglich eingeschränkt, so dass kein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Die von der niederländischen Regierung vorgenommene Datenschutzfolgenabschätzung hatte den Hintergrund, dass damals noch keine Möglichkeit der Einschränkung bzgl. der Übermittlung an Microsoft gegeben war. Daher lag noch ein hohes Risiko vor, welches eine Datenschutzfolgenabschätzung durch den Anwender notwendig machte.

Einzig wenn Workplace Analytics oder Activity Reports genutzt werden sollen, ist ggf. eine Datenschutzfolgenabschätzung erforderlich.

Fazit: Datenschutzkonforme Konfiguration von Microsoft 365 lohnt sich

Befolgt man diese Empfehlungen, dann lässt sich Microsoft 365 in der Theorie weitestgehend datenschutzkonform einsetzen. Probleme können sich jedoch bei der praktischen Umsetzung zeigen, gerade wenn kritische Produkte bereits in die Arbeitsabläufe integriert wurden. Wie gezeigt, lassen sich einige praktische Funktionen von Microsoft 365 nicht datenschutzkonform nutzen.

Im Ergebnis hat dann eine Abwägung zu erfolgen: Entweder die eigenen Prozesse werden entsprechend angepasst oder man akzeptiert das verbleibende datenschutzrechtliche Restrisiko. Es sollte dabei im Hinterkopf behalten werden, dass die Aufsichtsbehörde im schlimmsten Fall die Nutzung von Microsoft 365 untersagen könnte. Sofern dann bereits das gesamte Arbeitsumfeld in die Microsoft-365-Umgebung migriert bzw. dort etabliert wurde, kann dies das Unternehmen vor erhebliche Probleme stellen. Daher raten wir dringend, die oben genannten Einstellungen vorzunehmen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Bußgeldhöhe und Bußgeldberechnung für Konzerne und Unternehmen

Die Bußgeldhöhe bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) steigt in Deutschland und auch EU-weit rasant an. Insbesondere für Konzerne und Unternehmensgruppen stellt sich die Frage, wer beim Verstoß eines Unternehmens haftet und wie die Bußgeldhöhe berechnet wird. Trotz aller Harmonisierungsbestrebungen zeigt sich in der Praxis noch ein unterschiedliches Vorgehen der Aufsichtsbehörden.

Der Unternehmensbegriff im Datenschutzrecht

Europäische Datenschutzbehörden nehmen bei Bußgeldern erkennbar Fahrt auf. Das britische Information Commissioner’s Office (ICO) kündigte zwei Bußgelder in jeweils dreistelliger Millionenhöhe an. Die Berliner Datenschutzbehörde verhängte jüngst ein Rekordbußgeld in Höhe von 14,5 Mio. Euro. Da sich die Höhe der Bußgelder nach dem Jahresumsatz des Unternehmens richtet, stellt sich die Frage, welche Institution konkret gemeint ist. Ist es der spanische, schwedische oder deutsche Ableger eines Großkonzerns oder darf ein Fehlverhalten eines regionalen Betriebs dem weltweit agierenden und umsatzstarken Mutterkonzern zugerechnet werden? Denn einen einheitlichen Unternehmensbegriff gibt es im europäischen Recht nicht.

Die Begriffsbestimmung nach Art. 4 Nr. 18 DSGVO ist sehr eng gefasst und umfasst jede juristische Person, die regelmäßig einer wirtschaftlichen Tätigkeit nachgeht. Das erfasst alle wirtschaftlich Tätigen, die personenbezogene Daten verarbeiten.

Europäische Datenschutzbehörden wenden aber, entsprechend der Empfehlung des Working Paper (WP) 253 der Art. 29-Datenschutzgruppe, den weiteren kartellrechtlichen Unternehmensbegriff im Sinne des Art. 101 und 102 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) an. Ein Unternehmen ist danach jede wirtschaftlich tätige Einheit, unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung, die auch aus mehreren natürlichen oder juristischen Personen bestehen kann.

Begründet wird dies mit dem Begriff der Unternehmensgruppe gemäß Art. 4 Nr. 19 DSGVO, wonach eine Unternehmensgruppe eine Gruppe darstellt, mit einem herrschenden Unternehmen und mehreren von diesem abhängigen kleineren Unternehmen. Das wirft starke Kritik auf, da nur der Begriff des Unternehmens im für Bußgelder relevanten Art. 83 DSGVO genannt wird und gerade nicht der der Unternehmensgruppe.

Allerdings wird in der englischen Sprachfassung der Verordnung (in der sie verhandelt wurde) sowohl im Erwägungsgrund 150 DSGVO als auch in Art. 83 DSGVO der kartellrechtliche Begriff undertaking (deutsch: Unternehmensgruppe) verwendet, in Art. 4 Nr. 18 DSGVO hingegen der Begriff enterprise (deutsch: Unternehmen). Dies spricht gegen eine Gleichsetzung der Unternehmensbegriffe aus Art. 4 Nr. 18 und Art. 83 DSGVO.

Undertaking ist der Begriff, den der Europäische Gerichtshof (EuGH) in seiner kartellrechtlichen Rechtsprechung als Unternehmensbegriff heranzieht. Für den kartellrechtlichen Unternehmensbegriff spricht neben EG 150 S. 3 auch, dass der EuGH etwa hinsichtlich des Begriffs der Niederlassung sowohl im Datenschutzrecht als auch in anderen Rechtsgebieten nicht auf gesellschaftsrechtliche Grenzen abstellt. Das Problem: Erwägungsgründe sind anders als die Artikel der DSGVO keine verbindlichen Rechtsvorschriften. Sie sind vielmehr bloße Auslegungshilfen, woraus sich im Gegensatz zur Verordnung selbst keine unmittelbaren Rechtsfolgen ableiten lassen.

Adressaten von DSGVO-Bußgeldern

Gemäß Art. 83 DSGVO können Verantwortliche und Auftragsverarbeiter Bußgeldadressaten sein. Die europäischen Datenschutzbehörden orientieren sich bei der Auswahl grundsätzlich am bereits angeführten WP 253 der Art. 29-Datenschutzgruppe. Es handelt sich um einen internen Leitfaden, der zu einer Harmonisierung der Bußgeldpraxis in Europa beitragen soll. Mutter- und Tochterunternehmen bilden damit aus Sicht der Aufsichtsbehörden eine wirtschaftliche Einheit.

Es wird auch nicht ermittelt, wer die rechtswidrige Verarbeitung angewiesen oder zu verantworten hat. Angeknüpft wird also nicht mehr am Rechtssubjekt, sondern am Marktverhalten der wirtschaftlichen Einheit insgesamt. Entscheidend ist für die Behörden nicht, wer innerhalb dieser Einheit gehandelt hat, ob ein einziger Mitarbeiter, mehrere Mitarbeiter oder der Geschäftsführer. Damit wird der gesamte Konzern zur Zielscheibe, weil er als ein Unternehmen behandelt werden kann, sodass nicht nur ein einziges Rechtssubjekt, sondern mehrere juristische Personen Unternehmen sein können. Die Muttergesellschaft kann damit gesamtschuldnerisch für Handlungen ihrer Töchter in Anspruch genommen werden, ohne dass die persönliche Beteiligung der Mutter nachgewiesen werden müsste.

Das Ziel der Datenschutzbehörden ist es, general- und spezialpräventiv multinationale Weltkonzerne zielgerichtet zu sanktionieren und Umgehungstaktiken, wie z.B. die Ausgliederung der Datenverarbeitung in umsatzschwächere Tochterfirmen zur Verringerung der Geldbuße, zu verhindern. Es bedarf allerdings noch einiges an Abstimmungsarbeit der Behörden, bevor von einer europaweit harmonisierten Bußgeldpraxis gesprochen werden kann.

Berechnungsgrundlage für Bußgelder

Auch bei der Berechnungsgrundlage legen die Datenschutzbehörden das WP 253 der Art. 29-Datenschutzgruppe zugrunde. Es ist eine Einzelfallentscheidung zu treffen, die davon beeinflusst wird, ob damit die Datenschutzverletzung behoben oder rechtswidriges Verhalten bestraft werden soll. Kriterien der Berechnung eines Bußgeldes sind stets:

  • die Art und Schwere des Verstoßes;
  • die Frage, ob Vorsatz oder Fahrlässigkeit vorlag;
  • ob der Verantwortliche Wiederholungstäter ist und
  • welche Maßnahmen er zur Eindämmung des Schadens ergriffen hat.

Die Datenschutzbehörden knüpfen am Marktverhalten der wirtschaftlichen Einheit insgesamt an und der gesamte Konzernumsatz bildet den für die Berechnung eines Bußgelds maßgeblichen Unternehmensumsatz. So soll die Muttergesellschaft daran gehindert werden, sich aus der Verantwortung zu stehlen.

Werden Geldbußen Verantwortlichen auferlegt, bei denen es sich nicht um eine als Unternehmen agierende Person handelt, so soll die Aufsichtsbehörde gemäß EG 150 Satz 4 bei der Erwägung der angemessenen Geldbuße dem allgemeinen Einkommensniveau in dem betreffenden Mitgliedstaat und der wirtschaftlichen Lage der Personen Rechnung tragen.

Auf den Euro genau einheitlich werden Bußgelder auch mit dem derzeitigen Berechnungsmodell der Datenschutzbehörden nicht berechnet. Die einzelnen Behörden müssen oft Entscheidungen über Umstände und Folgen des Datenschutzverstoßes im Einzelfall treffen. Die deutsche Datenschutzkonferenz (DSK) hat sich dem Thema der Bußgeldbemessung angenommen und hierzu im Oktober 2019 ein entsprechendes Konzept entwickelt, das im Wesentlichen die Vorgaben des Art. 83 DSGVO ausgestaltet. Ziel des Konzepts ist es, den Behörden eine einheitliche Methode für eine systematische, nachvollziehbare und transparente Bemessung von Geldbußen zur Verfügung zu stellen. Das Konzept sieht Folgendes vor:

  1. Unternehmen werden zunächst anhand ihres Umsatzes in eine von 20 Größenklassen eingeteilt.
  2. Daraus ergibt sich ein bestimmter Grundbetrag, der anschließend in sehr differenzierter Weise anhand der oben genannten Kriterien an den jeweiligen Einzelfall angepasst wird.
  3. Um dem in Art. 83 Abs. 1 DSGVO beschriebenen Verhältnismäßigkeitsgrundsatz gerecht zu werden, wird bei der Sanktionierung auch eine drohende Zahlungsunfähigkeit oder eine in der Branche des Unternehmens zu erwartende, besonders geringe Rendite berücksichtigt.

Der Vorteil: Bei dieser Vorgehensweise stellt der Umsatz nur die Grundlage für eine Bußgeldberechnung dar und individuelle Gegebenheiten fließen in die Bewertung mit ein. Die diesbezügliche Praxis der Aufsichtsbehörden und das Ergebnis der zu erwartenden gerichtlichen Überprüfung bleibt zu beobachten.

Fazit: DSGVO-Bußgelder können wirtschaftlich sehr wehtun

Europäische Datenschutzbehörden wenden den weiten kartellrechtlichen Unternehmensbegriff bei der Berechnung der Bußgelder an. Große Konzerne werden dadurch leichter zur Zielscheibe. Entsprechend hohe Bußgelder drohen selbst bei Datenschutzverletzungen kleinerer Tochterunternehmen oder regionaler Betriebe.

In Deutschland ergreift die DSK trotz der vielen Unwägbarkeiten im Rahmen der Berechnung von Bußgeldern und der uneinheitlichen Bußgeldpraxis unter den Datenschutzbehörden den Versuch, einen Maßstab anzulegen, der den Einzelfall berücksichtigt. Ob dies dazu beiträgt, Ungerechtigkeiten zu vermeiden und bei Unternehmen ein Bewusstsein für die zu drohende Strafe zu schaffen, bleibt abzuwarten. Eines steht jedoch fest: Unternehmen müssen sich an die Existenz noch höherer Bußgelder bei Datenschutzverstößen gewöhnen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Datenschutzkonforme Videoüberwachung im Unternehmen (Anleitung)

Eine Videoüberwachung von Mitarbeitern bzw. Beschäftigten ist laut europäischer Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG) nicht einfach so rechtens. Denn während der Arbeit beobachtet zu werden, stellt einen deutlichen Eingriff in das Persönlichkeitsrecht von Betroffenen dar. Wenn aber wichtige Gründe für eine Überwachung von Beschäftigten per Video sprechen, ist diese unter bestimmten Umständen möglich. Für Arbeitgeber kommt es vor allem darauf an, die Videoüberwachung datenschutzkonform auszugestalten.

Mit Veröffentlichung der Leitlinie 3/2019 des Europäische Datenschutzausschuss über die Verarbeitung von personenbezogenen Daten im Rahmen von Videoüberwachung (Guidelines 3/2019 on processing of personal data through video devices) wird die Wichtigkeit des Themas noch einmal mehr verdeutlicht und es wird wohl vermehrt in den Fokus der Aufsichtsbehörden rücken.

Allgemeines zur Kameraüberwachung von Geschäftsräumen

Die meisten Menschen sehen die Beobachtung durch eine Videokamera als die unangenehmste Art der Überwachung an, weil sie so umfassend ist. Es wird dabei schließlich nicht nur ein einfaches Protokoll mit wenigen technischen Informationen erstellt, sondern jede Bewegung und jeder Gesichtsausdruck aufgezeichnet. Das Datenschutzrecht wertet die Videoüberwachung folgerichtig als schwerwiegenden Eingriff in das Persönlichkeitsrecht des Betroffenen. Deshalb ist eine Videoüberwachung nur dann zulässig, wenn es für den konkreten Fall eine entsprechend gewichtige Rechtfertigung gibt.

Ein zulässiger Beobachtungszweck kann die Wahrnehmung berechtigter Interessen, wie zum Beispiel der Schutz von Eigentum und anderen Rechten wie dem Hausrecht, sein. Grundsätzlich ist es dem Eigentümer oder Mieter einer Fläche erlaubt, zum Schutz des Objekts Kameras aufzustellen. Doch dieses Recht ist an strenge Bedingungen geknüpft und darf keineswegs als Freibrief verstanden werden.

Soll beispielsweise der Eingangsbereich eines Gebäudes überwacht werden, darf die Kamera nicht mehr als eben diesen Bereich erfassen. Öffentliche Bereiche wie die Straße vor der Eingangstür dürfen in der Regel nicht per Kamera überwacht werden. Dies ergibt sich aus Art. 6 Abs. 1 lit. f DSGVO im Rahmen einer Abwägung des berechtigten Interesses des Verantwortlichen mit den Rechten der Betroffenen. Dabei muss das Überwachungsinteresse die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Personen überwiegen. Dazu sollte gemäß den Empfehlungen des Europäischen Datenschutzausschusses eine dreistufige Prüfung vorgenommen werden:

  1. Das Interesse ermitteln,
  2. die Erforderlichkeit feststellen und
  3. eine Abwägung am Einzelfall anhand von Kriterien wie den vernünftigen Erwartungen der betroffenen Personen, durchführen.

Diese Prüfung sollte zu Nachweiszwecken sehr genau durchgeführt und dokumentiert werden.

Mangels Öffnungsklausel in der DSGVO ist die deutsche Sondervorschrift des § 4 BDSG laut Urteil des Bundesverwaltungsgerichts (BVerwG) vom 27. März 2019 europarechtswidrig.

Grundsätzlich ist zu beachten, dass Videoaufzeichnungen ausschließlich für den vorbestimmten Verarbeitungszweck verwendet werden dürfen.

Videoüberwachung von Beschäftigten und Besuchern

Auch innerhalb von Grundstücksgrenzen sind die Interessen der Betroffenen, etwa der Beschäftigten eines Unternehmens, zu schützen. Wenn Sie als Arbeitgeber eine Kamera aufstellen wollen, sind Sie in der Pflicht nachzuweisen, dass Sie geltendes Recht nicht verletzen.

Von hoher Bedeutung ist die konkrete Umsetzung der Videoüberwachung, weil nur so sicherzustellen ist, ob die Kamera der Wahrnehmung des Hausrechtes oder der Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke dient. Eine Kamera, die durch das gesamte Großraumbüro filmt, lässt sich schwerlich zur Wahrung des Hausrechtes rechtfertigen. Auch die Videoüberwachung der gesamten Belegschaft lässt sich regelmäßig nicht unter Rückgriff auf berechtigte Interessen des Arbeitgebers rechtskonform einsetzen.

Andererseits können einzelne Beschäftigte auf Grundlage des § 26 BDSG überwacht werden, wenn ein auf Tatsachen gestützter Verdacht zur schweren Verletzung arbeitsvertraglicher Pflichten vorliegt (BAG, ZD 2012, ZD Jahr 2012, Seite 558). Hier muss betont werden, dass vorsorgliche verdachtslose Kontrollen der Arbeitsleistung immer als Verstoß gegen die Menschwürde gewertet werden. (BAG, NZA 2017, NZA Jahr 2017 Seite 1327 – „keylogger“).

In einem gesonderten Ratgeber erklären wir Ihnen, worauf Sie achten müssen, wenn Sie Videoaufzeichnungen von Mitarbeitern als Beweis vor Gericht nutzen wollen.

Der Erfassungswinkel einer Kamera kann zum Verhängnis für Arbeitgeber werden, wie im folgenden Fall: Das Landesarbeitsgericht Hessen sprach einer Arbeitnehmerin 7.000 Euro Entschädigung zu, weil eine Kamera zur Überwachung des Eingangsbereiches theoretisch auch ihren Arbeitsplatz hätte erfassen können. Die Klägerin fühlte sich daher permanent im Blickbereich der Kamera und empfand dies als ständigen Überwachungsdruck. Dass die Kamera so eingestellt war, dass sie tatsächlich nur den Eingang erfasste, wurde vom Gericht nicht berücksichtigt. Der Arbeitgeber hätte ihr eindeutig nachweisen müssen, dass dies nicht der Fall ist (Az. 7 Sa 1586/09).

Welche Informationspflichten gelten bei der Videoüberwachung im Unternehmen?

Videoüberwachung ist in unseren Alltag eingezogen und so omnipräsent, dass sie manchmal kaum mehr auffällt. Viele moderne Büros verfügen zum Beispiel über eine Videosprechanlage an den Türen, die Bilder des Besuchers in Echtzeit überträgt. Obwohl die Bilder nicht gespeichert werden, müssen Personen über diesen Vorgang informiert werden – eine datenschutzrechtliche Baustelle derer sich kaum ein Unternehmen bewusst ist. Selbstredend gilt die gleiche Informationspflicht bei Videoanlagen, die Bildmaterial speichern.

Entsprechende Hinweisschilder müssen deutlich sichtbar angebracht sein. Jeder, der den überwachten Bereich betreten will, muss vorher auf einen entsprechenden unübersehbaren Hinweis stoßen, damit die Möglichkeit eingeräumt wird, sich der Überwachung zu entziehen. Wenn die Aufzeichnungen wie in den meisten Fällen einzelnen Personen zuordenbar sind, müssen die Betroffenen auch über die Art der Verarbeitung und Nutzung der Aufnahmen gemäß Art. 13 DSGVO informiert werden. Informationsschilder, die noch nach der inzwischen vom BVerwG europarechtswidrig erklärten nationalen Rechtsgrundlage § 4 BDSG informieren, sollten entsprechend angepasst werden.

Die Information ist dabei gem. der Leitlinie 3/2019 des europäischen Datenschutzausschusses zweistufig aufzubauen:

  • In der ersten Stufe durch ein für jedermann sichtbares Hinweisschild.
  • In der zweiten Stufe zusätzlich mittels eines einfach einzusehenden Informationsschreibens, auf welches das Schild der ersten Informationsstufe deutlich hinweist.

Dafür sollte das erste Schild mind. folgende Informationen enthalten:

  • Name und Kontaktdaten des Verantwortlichen
  • Kontakt des Datenschutzbeauftragten (wenn vorhanden)
  • Verarbeitungszweck
  • Rechtsgrundlage und ggf. das berechtigte Interesse an der Verarbeitung
  • Die Speicherdauer, wenn nicht nur Echtzeitüberwachung stattfindet
  • Hinweis auf das Bestehen von Betroffenenrechten
  • Hinweis auf weitergehende Informationen (zweite Stufe),
    z.B.: auf einen Aushang (mit genauer Ortsangabe); auf die Kundeninformation bzw. Rezeption bzw. Kasse; auf eine Website (ggfs. mit QR-Code)

Bei der zweiten Stufe handelt es sich im Grunde um ein Informationsschreiben, das alle nach Art. 13 DSGVO obligatorischen Informationen, insbesondere die Betroffenenrechte, beinhaltet.

Achtung: Beide Informationsstufen sind so zur Verfügung zu stellen, dass eine Kenntnisnahme möglich ist, ohne den videoüberwachten Bereich überhaupt zu betreten.

Nutzen Sie einfach unseren kostenlosen Generator, um ein Hinweisschild zur Videoüberwachung zu erstellen! Sie erhalten ein druckfertiges PDF zum Download.

Welche Bereiche im Unternehmen dürfen nicht überwacht werden?

In Intimzonen, z. B. Toiletten oder Umkleideräumen, ist eine Videoüberwachung in jedem Fall unzulässig. Auch Attrappen sind nicht erlaubt. Reine Freizeitbereiche (beispielsweise Bars, Sitzgruppen, ein Foyer, Aufenthaltsräume) dürfen ebenfalls nicht überwacht werden. Hier überwiegt das Persönlichkeitsrecht der Mitarbeiter.

Dürfen verdeckte Kameras eingesetzt werden?

Sofern Sie eine verdeckte Kameraüberwachung anstreben, sind die Hürden deutlich höher. Vor allem ist die Frage ungeklärt, wie sich die heimliche Überwachung mit der Pflicht zur Information gemäß Art. 13 DSGVO verträgt. Die Vorschrift sieht keine Ausnahmen vor.

Vor diesem Hintergrund sollte von der verdeckten Überwachung nur höchst ausnahmsweise Gebrauch gemacht werden. Nur wenn ein konkreter Verdacht einer strafbaren Handlung oder ähnlich schweren Verfehlung besteht und sichergestellt ist, dass eine offene Überwachung keinen Effekt hätte, kann man anfangen über die Rechtfertigung einer solchen Kontrolle nachzudenken.

Dringend zu beachten ist in diesem Zusammenhang auch, dass die durch die verdeckte Überwachung beabsichtigte Aufklärung nur zweckmäßig ist, wenn überhaupt Anhaltspunkte dafür bestehen, dass es zu einer Wiederholung des Vorfalls kommt. Der einmalige und beendete Diebstahl aus Geschäftsräumen genügt hierfür alleine nicht. Eine repressive heimliche Überwachung ist in diesem Fällen zwecklos und damit rechtswidrig. Die präventive Überwachung hat stets offen zu erfolgen.

Datenschutzkonforme Videoüberwachung

Unser Workbook mit 45 Seiten voller Anwendungsbeispiele und Praxistipps

Wie sind Attrappen von Überwachungskameras einzusetzen?

Das Installieren einer Kameraattrappe stellt einen Eingriff in das allgemeine Persönlichkeitsrecht dar, wenn der Betroffene sich dadurch einer ständigen Kontrolle seiner Bewegungen ausgesetzt sieht. Der Anwendungsbereich des Datenschutzrechts ist jedoch nicht eröffnet, da eine Verarbeitung von Daten nicht stattfindet. Hier kommen andere Gesetze, insb. das Bürgerliche Gesetzbuch (BGB) zur Anwendung.

Dürfen Kassenbereiche und Abrechnungsräume überwacht werden?

Die Beobachtung von Kassenbereichen und Abrechnungsräumen, in denen mit hohen Bargeldbeträgen umgegangen wird, ist unter Einhaltung aller sonstigen Voraussetzungen (Einzelfallprüfung, Hinweisschilder, Risikoanalyse, Speicherungsdauer etc.) in der Regel zulässig. Die Mitarbeiter sind allerdings in ausreichender Form über die Videoüberwachung zu informieren. Gegebenenfalls ist der Betriebsrat zu beteiligen.

Eine dauerhafte Erfassung des Arbeitsbereichs von Mitarbeitern (z. B. Bar, Tresen, Verkaufsstände, Kasse) ist regelmäßig unverhältnismäßig und sollte daher unterbleiben. Das Heranziehen einer Einwilligung wird aufgrund des Abhängigkeitsverhältnisses zwischen Arbeitnehmer und Arbeitgeber in fast allen Fällen am Kriterium der Freiwilligkeit scheitern.

Wie lange dürfen Videoaufnahmen gespeichert werden?

Es ist schwierig eine allgemeine Speicherfrist für Videoaufnahmen festzulegen, da die Dauer der Speicherung von den individuellen Umständen der jeweiligen Situation abhängt. Als Faustregel gilt:

  1. Die Speicherung oder Verwendung ist zulässig, wenn sie erforderlich ist, um den verfolgten Zweck der Videoüberwachung zu erreichen.
  2. Zugleich dürfen keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen.

Nehmen wir also das Beispiel der Überwachung von Mitarbeitern, die mit hohen Geldbeträgen hantieren: Da allgemein tägliche Kontrollen des Kassenbestands durchgeführt werden, würde ein Diebstahl meist innerhalb 24 Stunden zutage kommen. Räumt man dann noch eine angemessene Reaktionszeit zur Auswertung des Videomaterials ein, wird sich eine Speicherfrist von über 72 Stunden nicht rechtfertigen lassen. Im Gegenteil könnte man bei einer Videosprechanlage eines Unternehmens kaum begründen, warum Besucheraufnahmen überhaupt gespeichert werden müssen. Die Aufnahmen dienen meist lediglich der Entscheidung darüber, ob ein Besucher bekannt ist oder nicht. Der Zweck gibt demnach keinen ausreichenden Grund zur Speicherung.

Grundsätzlich gilt, dass die Aufbewahrung von gespeicherten Videoaufnahmen auf wenige Kalendertage zu beschränken ist, da die dauerhafte Überwachung sowieso schon stark in das Persönlichkeitsrecht von Beschäftigten einschneidet. Auch das Urteil des Bundesarbeitsgerichts (BAG) zur Beweisverwertung von Videoaufnahmen von Mitarbeitern ändert nichts an der zwingenden Voraussetzung, dass die Speicherdauer an den verfolgten Zwecken gemessen werden muss.

Biometrische Daten

Besondere Vorsicht ist bei der Verarbeitung von biometrischen Daten geboten, da es sich dabei um sogenannte „besondere personenbezogene Daten“ handelt, für deren Verarbeitung Art. 9 DSGVO hohe Hürden setzt. Biometrische Daten können theoretisch aus fast jeder Videoaufnahme gewonnen werden. Entsprechend hoch ist die Verunsicherung. Es müssen aber mehrere Faktoren zusammenkommen, dass bei der Videoüberwachung eine Verarbeitung von biometrischen Daten anzunehmen ist.

Der Europäische Datenschutzausschuss nimmt eine Klassifikation der Verarbeitung von Daten als biometrisch anhand von drei Kriterien vor:

  • Art der Daten: Es muss sich um physikalische, physiologische oder verhaltensbezogene Merkmale einer natürlichen Person handeln.
  • Mittel und Art der Verarbeitung: Es handelt sich um Daten die sich aus einer speziellen technischen Verarbeitung ergeben.
  • Zweck der Verarbeitung: Die Daten müssen für den Zweck der eindeutigen Identifizierung einer natürlichen Person verwendet werden.

Liegen diese drei Punkte vor, ist die Überwachung am Maßstab von Art. 9 DSGVO zu messen und es bedarf in der Regel einer ausdrücklichen Einwilligung in die Verarbeitung der Daten.

Fazit: Videoüberwachung von Mitarbeitern ist ein heikles Thema

Die Videoüberwachung im Unternehmen unterliegt strengen datenschutzrechtlichen Voraussetzungen und einer Menge arbeitsrechtlicher Urteile. Demnach sollte die Überwachung von Arbeitnehmern stets bedacht und geplant erfolgen, um Arbeitnehmerrechte zu wahren und rechtliche Risiken für das Unternehmen zu mindern.

Auch vermeintlich harmlose Vorrichtungen wie Videosprechanlagen sollten inspiziert und datenschutzkonform gestaltet werden. In jedem Fall sollte der Datenschutzbeauftragte des Unternehmens bei der Umsetzung hinzugezogen werden.

Vertiefende Informationen und Anleitungen für die praktische Umsetzung finden Sie auch in unserem Workbook zum Thema, zu erwerben in unserem Datenschutz-Onlineshop.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Selbstbelastungsfreiheit bei Datenschutzvorfällen

Ein Datenschutzvorfall ist nicht nur ärgerlich, durch ihn können auch umfangreiche Meldepflichten gegenüber der Datenschutz-Aufsichtsbehörde entstehen. Welche Möglichkeiten gibt es, sich dabei möglichst wenig selbst zu belasten? Welchen Sonderweg hat der deutsche Gesetzgeber eingeschlagen, um eine Selbstbelastungsfreiheit zu gewährleisten? Inwieweit darf die Meldung einer Datenpanne vor Gericht verwendet werden? Ein Überblick!

Meldepflicht bei einem Datenschutzvorfall

Ein Unternehmen, das personenbezogene Daten gegenüber unbefugten Personen offenlegt, sie unberechtigt vernichtet, verliert oder verändert, ist unter bestimmten Voraussetzungen gemäß Art. 33 Abs. 1 Datenschutz-Grundverordnung (DSGVO) dazu verpflichtet, den Vorfall innerhalb von 72 Stunden zu melden.

Die detaillierte Meldung wird bei der zuständigen Datenschutz-Aufsichtsbehörde eingereicht (siehe unsere Adressliste für die Meldung). Die notwendige Dokumentation und Bekanntgabe der Datenpanne binden nicht nur eine Menge zeitliche Ressourcen der Mitarbeiter, sie rücken das Unternehmen auch in den Fokus der Datenschutz-Aufsichtsbehörde.

Auf der anderen Seite soll die Meldepflicht Transparenz über stattgefundene Datenschutzverletzungen schaffen. Sie erleichtert den Behörden und betroffenen Personen die Vermeidung oder Minimierung der sich aus einer Datenschutzverletzung ergebenden Folgeschäden. Die Meldepflicht dient daher der Gefahrenabwehr. Die Datenschutz-Aufsichtsbehörde ist auf Informationen der Unternehmen angewiesen, um die Einhaltung des Datenschutzes zu überprüfen und Bußgelder für Übertretungen zu verhängen.

Selbstbelastungsfreiheit und Meldepflicht im Spannungsverhältnis

Die Selbstbelastungsfreiheit findet ihren Ursprung in den Art. 1 und 2 des Grundgesetzes. Ebenfalls stellen Rechte, wie das Auskunftsverweigerungsrecht nach den §§ 55, 136 Abs. 1 S. 2 StPO eine gesetzliche Konkretisierung der Selbstbelastungsfreiheit dar. Auch im europäischen Recht findet sich der Grundsatz der Selbstbelastungsfreiheit wieder. Die Selbstbelastungsfreiheit gewährt dem Einzelnen das Recht, nicht zur eigenen Ahndung bei straf- und berufsrechtlichen Verfolgungen sowie Ordnungswidrigkeiten beitragen zu müssen.

In Gegenüberstellung zur Selbstbelastungsfreiheit ruft die Meldeverpflichtung bei Datenpannen gemäß Art. 33 Abs. 1 DSGVO ein klares Spannungsverhältnis hervor. Erwägungsgrund 87 DSGVO spricht sogar explizit davon, dass die Meldung der Datenschutzverletzung zu einem Tätigwerden der Aufsichtsbehörde im Einklang mit ihren Aufgaben und Befugnissen führen kann. Eine Datenschutzverletzung zu melden, gebietet es einem Verantwortlichen Tatsachen offenzulegen, die in der Strafverfolgung oder einem Bußgeld münden könnten. Insoweit gibt es gegen eine Vereinbarkeit der Meldepflicht mit der Selbstbelastungsfreiheit berechtigte Bedenken.

Die Selbstbelastungsfreiheit im Bundesdatenschutzgesetz

Um dem Konflikt zwischen Selbstbelastung und Meldepflicht zu begegnen, hat der deutsche Gesetzgeber Regelungen erlassen. Im speziellen sind dies § 42 Abs. 4 und § 43 Abs. 4 Bundesdatenschutzgesetz (BDSG). Ersterer regelt das Strafverfahren, letzterer das Bußgeldverfahren. Nach diesen Normen dürfen Meldungen in einem späteren Straf- bzw. Ordnungswidrigkeitenverfahren gegen den Meldepflichtigen oder Benachrichtigenden nicht verwendet werden, es sei denn der Meldepflichtige oder Benachrichtigende hat seine Zustimmung gegeben.

Die genannten Regelungen des BDSG schützen allerdings nur bedingt. Denn das Verwertungsverbot erstreckt sich nur auf meldungspflichtige Inhalte. Jegliche Angaben, die gesetzlich nicht erforderlich waren, können damit gegen die natürliche oder juristische Person verwendet werden. Zudem kommt, dass Aufsichts- und/oder Strafverfolgungsbehörden, die auf anderen Wegen Beweise gegen Meldepflichtige erlangen, diese zur Strafverfolgung sowie in einem Bußgeldverfahren nutzen können. Wird der Meldepflichtige oder Benachrichtigende von einer betroffenen Person vor einem Zivilgericht auf Schadenersatz verklagt, findet das Verwertungsverbot ebenfalls keine Anwendung. Auch in einem Schadenersatzverfahren der betroffenen Person gegen das verantwortliche Unternehmen darf der Inhalt der Benachrichtigung verwertet werden.

Ob die Selbstbelastungsfreiheit auf juristische Personen (GmbH, AG, e.V. etc.) anwendbar ist, wurde bisher gerichtlich noch nicht abschließend geklärt. Einerseits deuten die Systematik des § 43 Abs. 4 BDSG und die Intention des deutschen Gesetzgebers, Unternehmen zu schützen, darauf hin. Andererseits gibt es gute Gründe, die dagegensprechen. So leitet sich das Verbot des Selbstbezichtigungszwangs vom Recht auf informationelle Selbstbestimmung ab, das bei juristischen Personen weniger ausgeprägt ist.

Wichtiger ist die Frage, ob die deutsche Regelung im Widerspruch gegen die europäische Verpflichtung (Erwägungsgrund 87 DSGVO) zur effektiven Verfolgung von Datenschutzvorfällen in Unternehmen steht. Im Falle einer gerichtlichen Klärung auf europäischer Ebene könnte sie für mit Europarecht unvereinbar angesehen werden. Wenn dies einträte, wird sich ein Unternehmen im Zuge eines im Anschluss an eine Meldung eingeleiteten Bußgeldverfahrens nicht auf das Verwertungsverbot nach § 43 Abs. 4 BDSG berufen können.

Handlungshinweise bei Datenschutzmeldung

Trotz der unsicheren Rechtslage lassen sich folgende präventive Maßnahmen jetzt schon in Ihrem Unternehmen umsetzen:

  • Machen Sie bei der Meldung nur Angaben, die gesetzlich erforderlich sind.
  • Informieren bzw. schulen Sie Ihre Mitarbeiter regelmäßig dazu, was eine Datenschutzverletzung ist und welche konkreten Präventivmaßnahmen sie ergreifen können, um das Selbstbelastungsrisiko gar nicht erst aufkommen zu lassen.
  • Erlassen Sie eine Richtlinie zum Umgang mit Datenschutzverstößen, um Fehl- und Falschmeldungen auszuschließen.
  • Lernen Sie aus eingetretenen Datenpannen und entwickeln Sie neue Vorbeugungstaktiken.
  • Bestellen Sie einen fachkundigen Datenschutzbeauftragten, der Sie bei allen schwierigen Fragen begleitet.

Fazit: Die Selbstbelastungsfreiheit steht auf wackligen Füßen

Während die DSGVO eine Selbstbelastungsfreiheit bei Datenschutzvorfällen nicht vorsieht, hat der deutsche Gesetzgeber Regelungen erlassen, die den von der EU intendierten Selbstbelastungszwang in erheblichem Maße einschränken. Ob diese Einschränkungen auch für juristische Personen gelten, ist noch nicht eindeutig geklärt. Dennoch können Unternehmen schon jetzt Maßnahmen treffen, um die Selbstbelastungsfreiheit im Falle eines Datenschutzvorfalls nicht auf die Probe stellen zu müssen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Meldung von Datenpannen an Aufsichtsbehörden

Die Datenschutz-Grundverordnung (DSGVO) schreibt Unternehmen vor, bei Datenpannen bzw. Datenschutzverstößen die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden zu informieren. Die Meldung einer Datenpanne kann in der Regel online über die Website der jeweiligen Datenschutz-Aufsichtsbehörde erfolgen. In unserer Übersicht finden Sie das passende Formular.

Kriterien für die und Ausnahmen von der Meldepflicht definiert Art. 33 DSGVO. Ob Sie eine Datenschutzverletzung melden müssen, können Sie nach Lektüre unserer praktischen Anleitung für den Umgang mit Datenpannen selbstständig einschätzen.

Sollte bei einer bestehenden Meldepflicht nicht gemeldet werden, kann in einem sich anschließendem Bußgeldverfahren mit Strafen zu rechnen sein – ganz zu schweigen vom Reputationsverlust bei Bekanntwerden der Datenpanne. Deshalb empfehlen wir Ihnen, den Umgang mit Datenpannen und Datenschutzverstößen unternehmensweit einheitlich mit einer entsprechenden Richtlinie zu regeln (siehe unsere kostenlose Vorlage).

Liste der Aufsichtsbehörden mit Links zur Meldung einer Datenschutzverletzung

Bundesland

Aufsichtsbehörde

Meldung Datenpanne

Baden-Württemberg Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg Onlineformular
Bayern Bayerisches Landesamt für Datenschutzaufsicht Onlineformular
Berlin Berliner Beauftragte für Datenschutz und Informationsfreiheit Formular zum Herunterladen + Ausfüllen
Brandenburg Die Landesbeauftragte für den Datenschutz und Akteneinsicht Brandenburg Online nicht möglich, Kontakt siehe hier
Bremen Die Landesbeauftragte für Datenschutz Onlineformular
Hamburg Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Onlineformular
Hessen Der Hessische Beauftragte für Datenschutz und Informationsfreiheit Formular zum Herunterladen + Ausfüllen
Mecklenburg-Vorpommern Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Onlineformular
Niedersachsen Die Landesbeauftragte für den Datenschutz Niedersachsen Onlineformular
Nordrhein-Westfalen Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen Onlineformular (nach Registrierung)
Rheinland-Pfalz Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz Onlineformular
Saarland Unabhängiges Datenschutz Zentrum Saarland Onlineformular
Sachsen Sächsischer Datenschutzbeauftragter Onlineformular (nach Double-Opt-in)
Sachsen-Anhalt Landesbeauftragter für den Datenschutz Sachsen-Anhalt Onlineformular
Schleswig-Holstein Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Online nicht möglich, Kontakt siehe hier
Thüringen Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit Online nicht möglich, Kontakt siehe hier

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Datenschutz beim Einsatz von Windows 10 im Unternehmen

Das Betriebssystem Windows 10 von Microsoft ist inzwischen auf über 900 Millionen Geräten installiert. Grund genug für die Datenschutzkonferenz (DSK) der deutschen Aufsichtsbehörden sich mit den datenschutzrechtlichen Aspekten auseinanderzusetzen und ein Prüfschema hierfür zu veröffentlichen.

Das Prüfschema zu Windows 10 im Detail

Das Ende 2019 veröffentlichte Prüfschema soll nach Vorstellung der DSK Verantwortlichen ermöglichen, eigenständig die Einhaltung der rechtlichen Vorgaben der Datenschutz-Grundverordnung (DSGVO) beim Einsatz von Windows 10 zu prüfen und dies auch zu dokumentieren. Da es sich bei Windows 10 um eine Produktfamilie handelt, welche zudem durch Updates dauerhaft verändert wird, könne man keine pauschale Aussage treffen. Vielmehr soll jeder Verantwortliche individuell sein Risiko anhand der eingesetzten Versionen und Funktionen bewerten. Einstellungen können ebenfalls nicht empfohlen werden, da es aktuell keine Konfigurationseinstellungen gibt, welche den Datenstrom zu Microsoft vollständig unterbinden.

Wer sich ein konkret umsetzbares Prüfschema von Seiten der Behörden erhofft hat, wird leider enttäuscht. Gerade weil die Übermittlung von Daten nicht vollständig unterbunden werden kann, soll nach den Vorstellungen der DSK jeder Verantwortliche anhand der übertragenen Daten prüfen, ob eine Rechtsgrundlage für die Datenübermittlung an Microsoft vorliegt. Darin liegt das größte Problem bei diesem Schema, welches auch die DSK so erkannt hat: „Da die Datenübertragung verschlüsselt stattfindet, liegen keine detaillierten Erkenntnisse über die Natur der übertragenen Daten von einer unabhängigen Stelle vor.“

Es ist für den Verantwortlichen also gar nicht möglich zu prüfen, welche Daten an Microsoft übermittelt werden. Damit hätte man das Prüfschema bereits beendet und Windows 10 attestieren können, dass ein datenschutzkonformer Einsatz aktuell nicht möglich ist. Schließlich müssen die übermittelten Daten bekannt sein, um das Vorhandensein einer Rechtsgrundlage zu prüfen.

Stattdessen führen die Behörden auf mehreren Seiten auf, durch welche Rechtsgrundlagen und Maßnahmen der Einsatz legitimiert werden kann. Zudem wird auf den Drittlandtransfer in die USA und die Probleme des EU-U.S. Privacy Shields verwiesen. Zuletzt wird zusammenfassend ein Überblick über die entsprechenden Prüfpunkte gegeben. Da die an Microsoft übertragenen Daten jedoch nicht bekannt sind, lässt sich denknotwendig nur wenig davon umsetzen.

Umsetzbare Punkte des Prüfschemas

Wer sich nun nicht Untätigkeit vorwerfen lassen möchte, der kann zumindest einige Punkte aus der Liste umsetzen. Diese legitimieren zwar nicht die Datenübermittlung, können jedoch einer ggfs. prüfenden Aufsichtsbehörde den guten Willen des Verantwortlichen zeigen:

  • Es sollte im Verzeichnis von Verarbeitungstätigkeiten festgehalten werden, welche Verarbeitungstätigkeiten mithilfe von Windows 10 erfolgen.
  • In der Anlage zum Prüfschema werden einige Möglichkeiten beschrieben, wie ein möglichst datensparsamer Einsatz ausgestaltet sein kann.
  • Die DSK verweist auch noch auf eine Orientierungshilfe des Arbeitskreis Informationssicherheit der deutschen Forschungseinrichtungen (AKIF). Diese gibt eine bebilderte Anleitung, wie Windows 10 möglich datensparsam konfiguriert werden kann. Gleichzeitig müssen nach Updates diese Einstellungen überprüft werden, da sie in der Regel zurückgesetzt werden.

Fazit: Ein vollständig datenschutzkonformer Einsatz von Windows 10 ist derzeit nicht möglich

Da der Datenaustausch mit Microsoft im Betriebssystem nicht vollständig unterbunden werden kann und gleichzeitig keine Rechtsgrundlage existiert bzw. evaluiert werden kann, ist die datenschutzkonforme Nutzung von Windows 10 nicht möglich. Man müsste daher, um datenschutzkonform zu agieren, ein datensparsameres Betriebssystem einsetzen. Das wird zwar nicht explizit von der DSK empfohlen, jedoch lässt das Prüfschema keinen anderen Schluss zu. Das Ergebnis am Ende der Prüfung wird nahezu immer lauten, dass der Einsatz nicht datenschutzkonform ist und damit unterbunden werden müsste.

Es ist nicht ganz klar, was die DSK mit dem Prüfschema bezwecken möchte. Vermutlich soll Microsoft hier zum Handeln animiert werden. Es führt jedoch auch dazu, dass nahezu jeder Einsatz von Windows 10 einen Datenschutzverstoß darstellt. Durch das Umsetzen der beschriebenen Maßnahmen lässt sich der Verstoß zwar beschränken, jedoch nicht vollständig vermeiden.

Update vom 4. Februar 2020:

Das bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat in seinem Tätigkeitsbericht für das Jahr 2019 ebenfalls Stellung zu Windows 10 und Telemetriedaten genommen. Aufgrund einer vom BayLDA betriebenen Laboranalyse im Dezember 2019 konnte Windows 10 in der Enterprise-Version so konfiguriert werden, dass keinerlei unerlaubte Datenübermittlung an Microsoft erfolgt. Erstaunlich ist dabei, dass dies mit offiziell von Microsoft zur Verfügung gestellten Informationen und Tools möglich gewesen sein soll. Leider wird keine genauere Beschreibung gegeben, was genau durchgeführt und welche Einstellungen getroffen wurden, um alle Datenflüsse zu deaktivieren.

Für den Nutzer bedeutet dies: Windows 10 Enterprise und damit auch die Education-Version können in Version 1909 datenschutzkonform konfiguriert werden. Das BayLDA stellt jedoch auch klar, dass sich dieses Ergebnis zunächst noch im realen Einsatz von Windows 10 bei Unternehmen bestätigten muss. Hingegen ist Windows 10 Pro für den Einsatz in Unternehmen aus datenschutzrechtlicher Sicht nicht statthaft, da bei dieser Telemetriedaten zwar reduziert, jedoch nicht komplett abgeschaltet werden können.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Das Recht auf Datenübertragbarkeit in der Praxis

Im Gegensatz zu anderen Betroffenenrechten zog das Recht auf Datenübertragbarkeit erst mit der Datenschutz-Grundverordnung (DSGVO) in die europäische Gesetzgebung ein. Das in Art. 20 DSGVO normierte Recht soll gewährleisten, dass jede betroffene Person ihre personenbezogenen Daten herausverlangen kann. Die Herausgabe ist jedoch an einige Bedingungen und Einschränkungen geknüpft – wie dieser Artikel zeigt.

Gesetzliche Voraussetzungen für die Ausübung des Rechts

Betrachtet man den Gesetzestext, so finden sich dort bereits einige konkrete Anforderungen an das Recht auf Datenübertragbarkeit. Zunächst muss es sich um die personenbezogenen Daten der betroffenen Person handeln, welche diese einem Verantwortlichen bereitgestellt hat. Damit fallen bereits Daten aus dem Anwendungsbereich, die der versendende Verantwortliche selbst ermittelt hat. Gleiches gilt, wenn er aus bereitgestellten Daten eigene Rückschlüsse gezogen hat.

Darüber hinaus muss der Verantwortliche die Daten in einem strukturierten, gängigen und maschinenlesbaren Format herausgeben. Maschinenlesbar sind in jedem Fall elektronische Daten. Jedoch können auch Informationen auf Papier maschinenlesbar sein, wenn diese leicht eingescannt und maschinenlesbar gemacht werden können. Gängig sind Formate, die keine Eigenentwicklung darstellen und ohne großen Aufwand verarbeitet werden können. Strukturiert sind Daten, wenn das Ausgangsformat in gewisser Form bestehen bleibt. Werden etwa einzelne Chat-Nachrichten im Fließtext zusammengefasst, ist die Strukturiertheit vermutlich nicht mehr gegeben, da ein anderer Verantwortlicher diese Daten nicht einfach weiterverwenden kann.

Zudem muss die Datenübertragbarkeit nur dann gewährleistet werden, wenn die Datenverarbeitung auf Basis einer Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO bzw. Art. 9 Abs. 2 lit. a DSGVO erfolgt oder auf einem Vertrag gemäß Art. 6 Abs. 1 lit b DSGVO beruht. Die Datenverarbeitung aufgrund rechtlicher Verpflichtungen gem. Art. 6 Abs. 1 lit. c DSGVO und zur Wahrung berechtigter Interessen gem. Art. 6 Abs. 1 lit. f DSGVO fällt aus dem Anwendungsbereich heraus. Ebenso gilt dieses Recht nicht für Verarbeitungen, die erforderlich sind, um eine Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt wahrzunehmen. Klargestellt wird dies in Art. 20 Abs. 3 S. 2 DSGVO.

Zuletzt erfasst das Recht auf Datenübertragbarkeit nur Verarbeitungen, die mit Hilfe automatisierter Verfahren erfolgen. Dies schließt grundsätzlich Verarbeitungen aus, die nicht maschinenlesbar erfolgen und für die Datenübertragbarkeit eingelesen werden müssten. Papierakten sind daher in der Regel vom Recht auf Datenübertragbarkeit ausgeschlossen.

Absatz 3 stellt darüber hinaus klar, dass neben dem Recht auf Datenübertragbarkeit auch das Recht auf Löschung besteht. Allein aufgrund bestehender Aufbewahrungspflichten, besonders im Rahmen der Vertragsabwicklung, kann eine automatische Löschung bei Übertragung nicht erfolgen. Daher hat die betroffene Person weiterhin das Recht auf Löschung, unabhängig vom Recht auf Datenübertragbarkeit.

Zuletzt geht aus Art. 20 Abs. 4 DSGVO hervor, dass Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden dürfen. Diese Verpflichtung trifft die betroffene Person, da der Verantwortliche eine Beeinträchtigung des Rechts anderer Personen in der Regel nicht überprüfen kann. Zu diesen Rechten und Freiheiten gehören neben datenschutzrechtlichen Aspekten auch andere geistige Eigentumsrechte, wie etwa Urheberrechte und Geschäftsgeheimnisse.

Ziel des Rechts und Anwendungsbereich

Praktisch gesehen beschäftigt sich Art. 20 Abs. 1 DSGVO mit der Übermittlung von personenbezogenen Daten von einem Verantwortlichen (im Folgenden versendender Verantwortlicher) zu einem anderen Verantwortlichen (im Folgenden empfangender Verantwortlicher). Zwar kann die betroffene Person ebenfalls die Herausgabe an sich selbst verlangen, allerdings ähnelt dieses Recht stark dem Recht auf Kopie im Rahmen des Auskunftsrechts gem. Art. 15 Abs. 3 DSGVO. Letzteres reicht jedoch weiter, da es nicht nur von der betroffenen Person selbst bereitgestellte Daten erfasst. Daher wird eine betroffene Person in der Regel eher das Auskunftsrecht gem. Art. 15 DSGVO geltend machen.

Im Kern soll das Betroffenenrecht die einfache Datenweitergabe an einen anderen Verantwortlichen gewährleisten. Dies kann etwa erforderlich sein, um einen Anbieterwechsel zu ermöglichen bzw. zu erleichtern. Das zeigt vor allem Art. 20 Abs. 2 DSGVO, welcher die Übermittlung direkt vom versendenden zum empfangenden Verantwortlichen ermöglichen soll. Zudem soll dies auch den sogenannten „Lock-in-Effekt“ verhindern, also die Bindung an einen Anbieter, weil ein Wechsel zu umständlich ist. Damit hat der Gesetzgeber indirekt einen Fokus auf soziale Netzwerke gelegt, welche durch diesen Effekt sonst einen einfachen Wechsel verhindern könnten.

Auch wenn der genaue praktische Anwendungsbereich in der Literatur umstritten ist, so sind sich die meisten Kommentatoren doch einig, dass Art. 20 DSGVO auf viele Datenverarbeitungsvorgänge nicht anwendbar ist. Denkbar sind neben den sozialen Netzwerken andere Portale und Systeme, bei denen ein Anbieterwechsel auch von der Datenübertragung abhängt. Hierunter fallen etwa Cloud-Anbieter oder Webmail-Provider. Allerdings enthalten gewerbliche Clouds nicht nur personenbezogene Daten, die den Anspruchsinhaber betreffen, weswegen die Norm hier wohl nicht anwendbar ist. Ähnlich verhält es sich bei Webmail-Providern.

Praktische Umsetzung des Rechts auf Datenübertragbarkeit

In der Praxis ist bei einem Antrag auf Datenübertragbarkeit zunächst zu prüfen, ob die gesetzlichen Voraussetzungen bei den eigenen Dienstleistungen erfüllt sind. Ist dies der Fall, muss der versendende Verantwortliche die personenbezogenen Daten entsprechend herausgeben oder, wenn dies technisch möglich und gewünscht ist, direkt an den empfangenden Verantwortlichen weiterleiten.

Auch dieses Betroffenenrecht ist gemäß Art. 12 Abs. 3 Satz 1 DSGVO unverzüglich, spätestens aber innerhalb eines Monats, zu erfüllen. Um hierbei nicht unter Zeitdruck zu geraten, ist es sinnvoll, vorab zu prüfen, ob die eigenen Datenverarbeitungen in den Anwendungsbereich des Art. 20 DSGVO fallen. Sofern dies der Fall ist, muss der Verantwortliche gewährleisten, dass er die Daten in einem strukturierten, gängigen und maschinenlesbaren Format herausgeben kann. Die Herausgabe muss über verschlüsselte Kanäle erfolgen.

Fazit: Recht auf Datenübertragbarkeit spielt kaum eine Rolle

Aufgrund des beschränkten Anwendungsbereichs sowie der Ausnahmen und der Möglichkeit des Auskunftsrechts gem. Art. 15 DSGVO wird das Recht auf Datenübertragbarkeit ein Schattendasein fristen und nur für wenige Verantwortliche relevant sein. Dies zumindest so lange, bis der Gesetzgeber Verbesserungen anstellt, die den Anwendungsbereich auf weitere praktische Fälle erweitern.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschäftsgeheimnisse mit einem ISMS nach ISO 27001 schützen

Daten treiben die Geschäftsmodelle von immer mehr Unternehmen. Umso erstaunlicher ist es, dass der Schutz vertraulicher Informationen oft vernachlässigt wird. Das neue Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) zwingt Unternehmen nun dazu, aktiv angemessene Sicherheitsvorkehrungen zu treffen. Wir erklären Ihnen, wie Sie mit einem Informationssicherheits-Managementsystem (ISMS) Geschäftsgeheimnisse in Zukunft angemessen schützen – und was Sie sofort für eine bessere Informationssicherheit tun können.

Die neuen Anforderungen des Gesetzes zum Schutz von Geschäftsgeheimnissen

Am 26. April 2019 löste das Gesetz zum Schutz von Geschäftsgeheimnissen die bisherigen Regelungen zum Verrat von Geschäfts- und Betriebsgeheimnissen im Gesetz gegen den unlauteren Wettbewerb (UWG) ab. Konkret wurden die Regelungen in §§ 17 bis 19 UWG durch die neuen Geschäftsgeheimnisregelungen ersetzt.

Das Gesetz birgt eine grundlegende Veränderung, die viele Unternehmen in Zugzwang setzt. Die Definition des Geschäftsgeheimnisses gem. § 2 Abs. 1 GeschGehG umfasst nun die Voraussetzung, dass eine Information angemessen geschützt werden muss. Andernfalls fällt sie nicht unter den Anwendungsbereich des GeschGehG. Es reicht demnach nicht mehr aus, dass Geschäftsinformationen nach dem subjektiven Willen des Geheimnisinhabers geheim bleiben sollten.

Geschäftsgeheimnisse sind also nur noch dann rechtlich geschützt, wenn vom Inhaber angemessene Geheimhaltungsmaßnahmen zum Schutz der Information getroffen wurden. Will man sich auf ein Geschäftsgeheimnis berufen, muss man dazu nachweisen können, dass den Umständen entsprechend angemessene Geheimhaltungsmaßnahmen getroffen wurden.

Aus dem gesetzlichen Zwang ergeben sich zugleich verschiedene Chancen für Unternehmen. Zum einen sorgt die Umsetzung der höheren Anforderungen an den Schutz geheimer Informationen dafür, dass insgesamt weniger Datenlecks auftreten. Unternehmen können durch bessere Absicherung Cyberangriffe, Innentäter und sonstigen Datendiebstahl abwehren. Beachtliche Nebeneffekte erhöhter Informationssicherheit sind, dass schmerzhaft hohe Bußgelder durch Aufsichtsbehörden vermieden werden und der gute Name erhalten bleibt.

Zum anderen genießt ein Unternehmen, das seine Geschäftsgeheimnisse angemessen schützt, weitreichende Ansprüche gegen Verletzer. Neben dem Anspruch auf Beseitigung, Unterlassung, Auskunft sowie Schadensersatz, kann der Inhaber des Geschäftsgeheimnisses auch die Vernichtung oder Herausgabe, den Rückruf des Produkts, dessen Entfernung aus den Vertriebswegen, dessen Vernichtung oder die Rücknahme vom Markt erwirken. Dabei verbietet das GeschGehG explizit Verstöße gegen Vertraulichkeitsvereinbarungen, was den Schutz solcher Vereinbarungen deutlich erhöht.

Planloser Schutz von Geschäftsgeheimnissen birgt Gefahren

Da Informationen im Unternehmen allgegenwärtig sind, fällt es vielen Organisationen schwer angemessene Schutzmaßnahmen zu treffen und diese durchzusetzen sowie zuverlässig weiterzuentwickeln. Unbedachte Datenschlupflöcher, wie z.B. der Verlust von Laptops oder mobilen Endgeräten, Bring your own device, zugängliche Papiermülltonnen, offene Netzwerke und Cloud-Leaks vermindern oft und teilweise unbemerkt den angemessenen Schutz von Informationen im Sinne des GeschGehG.

Planlos beschlossene Vorkehrungen können jedoch zu weitreichenden Sicherheitsrisiken führen und damit die getroffenen Bemühungen konterkarieren. Beispielsweise sorgen unpraktische Dokumentverschlüsselungsvorgaben oft dafür, dass Mitarbeiter Dokumente ausdrucken und ungesichert lagern. Für die Weiterentwicklung und Kontrolle der Maßnahmen fühlt sich meist niemand zuständig, von der Dokumentation für Beweiszwecke ganz zu schweigen. Dieses Vorgehen bietet rechtlichen Risiken Tür und Tor.

Planvoller Schutz von Geschäftsgeheimnissen mit einem ISMS

Um den Umgang mit Daten vollumfassend auszuleuchten ist ein Informationssicherheits-Managementsystem nach ISO 27001 Gold wert. Die genannte Norm ist ein international anerkannter Standard zur sicheren Verarbeitung von Informationen im Unternehmen. Sie hilft dabei für jede Art von Datenverarbeitung realistische Schutzmaßnahmen zu treffen, ohne unnötig an operativer Flexibilität einzubüßen. Zudem schafft ein ISMS klare Zuständigkeiten, fundierte Risikobewertungen zu unternehmenswichtigen Informationen, Überprüfung der Sicherheitsmaßnahmen, Planung und Kontrolle von Ressourcen sowie Fachkompetenz, Mitarbeiteraufklärung und belastbare Dokumentation.

Aber wie bewerkstelligt man es mittels ISMS die weite Informationslandschaft eines Unternehmens ganzheitlich zu betrachten? Der pflichtmäßig zu durchlaufende Plan-Do-Check-Act Zyklus (PDCA-Zyklus) ist der Schlüssel, um wirksame Informationssicherheitsmaßnahmen zu gewährleisten:

  • Plan: Die Informationssicherheit, Maßnahmen und Ziele werden abstrakt festgelegt, um ein widerspruchsfreies Sicherheitskonzept aufzustellen.
  • Do: Maßnahmen werden vom Konzept abgeleitet, implementiert und in der Organisation aktiv gelebt.
  • Check: Regelmäßige Kontrollen stellen sicher, dass abstrakte Konzepte richtig definiert sind und die Implementierung von Maßnahmen sachgerecht erfolgte.
  • Act: Auf Basis festgestellter Mängel, werden Korrekturmaßnahmen zur Behebung getroffen.

Quickfixes zum Schutz Ihrer geheimen Informationen

Ein ISMS einzuführen dauert seine Zeit. Sollten Sie sich ad-hoc behelfen müssen, empfehlen wir die folgenden Quickfixes:

  1. Alle Informationen erfassen, die im Unternehmen als schützenswert erachtet werden (Definition aus § 2 Nr. 1 a) GeschGehG);
  2. Den erfassten Informationen Schutzklassen zuordnen;
  3. Für jede Schutzklasse angemessene Schutzmaßnahmen installieren. Hier sind sowohl technische und organisatorische Maßnahmen als auch vertragliche Schutzmaßnahmen (Vertraulichkeitsverpflichtungen und Geheimhaltungsvereinbarungen) anzuwenden;
  4. Getroffene Maßnahmen fortlaufend dokumentieren;
  5. Sofern Sicherungsmaßnahmen mit der Zeit überholt sind, sollten sie gegen wirksamere Lösungen ersetzt werden.

Potentielle technische und organisatorische Sicherungsmaßnahmen sind:

  • Verabschiedung stimmiger IT-Sicherheitsrichtlinien;
  • Zugangsbeschränkung (z.B. angemessener Passwortschutz);
  • Gezielte Berechtigungsvergabe und -entziehung;
  • Checklisten zu ausgegebener IT-Hardware und Nutzeraccounts;
  • Umgang mit Testdaten;
  • Verschlüsselung von Daten im Ruhezustand und im Transport;
  • Virenschutz, Firewalls und Backups;
  • Physische Sicherung des Gebäudes und Informationsverarbeitungsanlagen;
  • Handhabung und Entsorgung von Datenträgern und
  • Regelmäßige Audits der Sicherungsmaßnahmen

Mittel- und langfristig kann allerdings nur ein ISMS nach ISO 27001 zuverlässig gewährleisten, dass zielgenau und tatsächlich umfassend Sicherungsmaßnahmen getroffen, eingehalten und fortlaufend entwickelt werden.

Fazit: Sofort loslegen, dann systematisch aufbauen

Das GeschGehG zwingt Unternehmen dazu, wirksame und angemessene Schutzmaßnahmen zu treffen, um die Information im Ernstfall verteidigen zu können. Die Einführung von Sicherheitsvorkehrungen sollte jedoch systematisch und dokumentiert erfolgen. Nach einigen Ad-hoc-Verbesserungen sollte möglichst auf die Einführung eines Informationssicherheits-Managementsystems nach ISO 27001 gesetzt werden.

Lassen Sie jetzt Ihre Datensicherheit nach ISO 27001 zertifizieren. Unser externer Informationssicherheitsbeauftragter führt Sie bis zur erfolgreichen Zertifizierung.