Vier Kriterien für die Auswahl eines Cloud-Anbieters

Bei der Auswahl eines Cloud-Anbieters sollten Unternehmen nicht nur auf eine optimale Anpassung der Service-Level-Agreements achten. Eine wesentlich wichtigere Rolle spielt der rechtskonforme und sichere Umgang des Cloud-Betreibers mit den Daten des Auftraggebers. Diese vier wichtigen Kriterien helfen Ihnen dabei, Kompetenz und Zuverlässigkeit des Cloud-Anbieters zu überprüfen.

1. Sitz des Cloud-Anbieters

Im Regelfall stellt die Nutzung eines Cloud-Dienstes eine Auftragsverarbeitung nach Art. 28 Datenschutz-Grundverordnung (DSGVO) dar. Dieses Instrument erleichtert die rechtliche Ausgestaltung der Beauftragung des Anbieters deutlich und erspart einiges an Zeit und Mühen. Nach geltendem europäischem Recht ist die Auftragsverarbeitung jedoch nur mit Anbietern möglich, deren Sitz innerhalb der EU bzw. des EWR liegt und deren Administration innerhalb der EU bzw. des EWR erfolgt.

Sitzt der Anbieter in einem Drittstaat, ist bei jeder Weitergabe der Daten an den Cloud-Anbieter zu prüfen, ob diese von einer Rechtsgrundlage gedeckt ist. Liegt eine solche nicht vor, stellt dies einen gravierenden Verstoß gegen Datenschutzrecht dar und kann mit einem hohen Bußgeld belegt werden. Daher sollten nur solche Cloud-Anbieter gewählt werden, deren Datenverarbeitung und Administration ausschließlich von europäischem Boden aus erfolgt.

2. Zertifikate des Cloud-Anbieters

Cloud-Anbieter müssen vor Beginn der Datenverarbeitung und sodann regelmäßig auf die getroffenen technisch-organisatorischen Maßnahmen zum Schutz der Daten des Auftraggebers überprüft werden. Oftmals ist eine Vor-Ort-Kontrolle der Cloud-Anbieter nur mit großem Aufwand möglich und daher nicht praktikabel. Daher sollte der Cloud-Anbieter über entsprechende Zertifikate und Gütesiegel verfügen, die ihm einen angemessenen Umgang mit Daten der Auftraggeber bescheinigen. Denn das Vorhandensein entsprechender Zertifikate kann eine Vor-Ort-Kontrolle ersetzen. Dabei sollte stets darauf geachtet werden, dass die entsprechenden Zertifikate auch den Bereich Datenschutz abdecken.

Verfügt der Cloud-Anbieter beispielsweise über eine ISO 27001 Zertifizierung, so ist dies zwar sehr positiv, aber noch kein für sich allein ausreichender Nachweis für einen rechtskonformen Umgang mit personenbezogenen Daten. Bei jedem Zertifikat sollten daher sowohl die Vertrauenswürdigkeit des Ausstellers als auch die zum Erhalt des Zertifikates nötigen Voraussetzungen geprüft und analysiert werden. Nur wenn für den Erhalt des Zertifikates ein absolut rechtskonformer Umgang mit personenbezogenen Daten Voraussetzung ist, kann das Zertifikat allein als Nachweis genügen. Eine Auflistung entsprechend genügender Zertifikate existiert aufgrund der Individualität der Aufträge und der damit geforderten Schutzstandards jedoch nicht.

3. Portabilität der Daten von Cloud zu Cloud

Ein wesentliches Augenmerk sollte auf die Portabilität der Daten gerichtet werden. Dies bedeutet, dass Daten von einem Anbieter zu einem anderen migriert werden können, und letzterer diese Daten auch in gleichem Maße verarbeiten kann. Oftmals bestehen bei der Datenverarbeitung große Inkompatibilitäten, beispielsweise werden unterschiedliche Zeichensätze wie ACII oder UTF-8 verwendet. Auch kann es unterschiedliche Maximallängen der Datei- und Verzeichnisnamen geben oder verschiedene erlaubte Dateigrößen. Daher sollte stets darauf geachtet werden, dass Cloud-Anbieter Daten nur in der Form verarbeiten, dass diese auch von anderen Anbietern verwertet werden können.

4. Referenzen des Cloud-Anbieters

Darüber hinaus ist die Zuverlässigkeit des Cloud-Anbieters ein wichtiges Auswahlkriterium. Denn die Weitergabe der eigenen Daten an Dritte ist für Unternehmen und die Betroffenen oft mit großem Risiko verbunden. Daher ist insbesondere darauf zu achten, dass der Cloud-Anbieter entsprechende Referenzen vorweisen kann, die ihm ausreichende Erfahrung im Umgang mit den Daten bescheinigen können.

Im Idealfall handelt es sich bei den Referenzen um solche aus derselben Branche oder zumindest um Daten mit demselben Schutzbedarf wie die eigenen Daten. Denn die Sicherheitsanforderungen, die der Cloud-Anbieter erfüllen muss, richten sich stets nach dem Schutzbedarf der weitergegebenen Daten.

Dieser aktualisierte Artikel erschien zuerst am 16. Februar 2015.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Datenschutz bei Bewerberdaten

Um eine gewünschte Stelle zu erhalten, stellt ein Bewerber dem potenziellen Arbeitgeber umfangreiche und teils sensible Informationen über sich zur Verfügung. Darum muss er darauf vertrauen können, dass mit seinen personenbezogenen Daten verantwortungsbewusst umgegangen wird. Das neue Datenschutzrecht versucht dies durch strenge Regelungen zum Umgang mit Bewerberdaten sicherzustellen. Grundsätzlich müssen Unternehmen Bewerberdaten im gleichen Maße schützen, wie die Daten von Angestellten. Die Neufassung des Bundesdatenschutzgesetzes (BDSG) trägt diesem Umstand auch weiterhin Rechnung. Demnach fallen Bewerber unter dem Beschäftigtenbegriff des § 26 Abs. 1 BDSG.

Welche Daten dürfen von Bewerbern erhoben werden?

Auch bei der Erhebung von Informationen über einen Bewerber gelten die Prinzipen der Datensparsamkeit und Zweckbindung im Sinne der Datenschutz-Grundverordnung (DSGVO). Es dürfen also nur solche personenbezogenen Daten erhoben, gespeichert und verarbeitet werden, die für den vorgesehenen Zweck tatsächlich erforderlich sind. Dies gilt für das Bewerbungsgespräch ebenso wie für die Eingabefelder in Formularen bei einer Online-Bewerbung.

Dabei dürfen nur personenbezogene Informationen abgefragt werden, die für eine Entscheidung über die Begründung des konkreten Beschäftigungsverhältnisses erforderlich sind. Der Begriff der Erforderlichkeit der DSGVO ist sehr eng gefasst. Er schließt keineswegs alle Informationen ein, die für einen Arbeitgeber interessant wären, sondern nur solche Angaben, ohne die eine sachgerechte Entscheidung über eine mögliche Einstellung des Bewerbers unmöglich wäre.

Werden darüber hinaus Daten erhoben, gilt dies als Verletzung des Persönlichkeitsrechts des Bewerbers – selbst dann, wenn er diese Angaben scheinbar freiwillig macht. Bei einer Bewerbungssituation ist von einem Abhängigkeitsverhältnis auszugehen, in der ein Bewerber gegebenenfalls mehr Informationen über sich preisgibt, als ihm eigentlich recht ist, um die gewünschte Stelle zu bekommen. Darum dürfen entsprechende Fragen gar nicht erst gestellt werden.

Beispiel: Werden über ein Bewerberformular auch Hobbys abgefragt, so ist diese Information in aller Regel für ein Auswahlverfahren nicht notwendig. Selbst wenn dies als freiwillige Angabe erhoben wird, ist der Bewerber hier in einer gewissen Zwangslage, so dass er sich ggf. unter Druck gesetzt fühlt, hier etwas anzugeben, um seine Bewerbungschancen zu steigern.

Dürfen von Dritten Informationen über den Bewerber eingeholt werden?

Wie für jede Verarbeitung von personenbezogenen Daten, bedarf es auch im Bewerbungsverfahren einer Rechtgrundlage. Da in aller Regel die Daten direkt beim Bewerber erhoben werden, wird man sich hier auf § 26 Abs. 1 BDSG – der auch für die vorvertraglichen Maßnahmen zur Begründung eines Arbeitsverhältnisses gilt – stützen können.

Allerdings kann es auch vorkommen, dass ein potentieller Arbeitgeber die Daten nicht direkt vom Bewerber, sondern von einem Dritten bekommt. Auch hier gelten wieder die bestehenden Rechtgrundsätze der Datenverarbeitung, also ob die Verarbeitung für die Entscheidungsfindung im Bewerbungsverfahren (unbedingt) notwendig ist. Ein Nachfragen bei dem ehemaligen Vorgesetzten des Bewerbers oder das „Durchleuchten“ des Bewerbers auf beruflichen Social-Media-Plattformen sind sicherlich nicht für die Entscheidungsfindung notwendig, auch wenn aus Arbeitgebersicht durchaus dienlich. Dies ist durch den § 26 Abs. 1 BDSG sicherlich nicht mehr gedeckt.

Will ein Arbeitgeber solche Informationsquellen nutzen, so darf er dies nur dann, wenn der Bewerber ausdrücklich darin eingewilligt hat. Dabei gelten die gleichen Beschränkungen, wie für das direkte Gespräch mit dem Bewerber: Auch über Dritte dürfen nur die Informationen eingeholt werden, die auch als Frage gegenüber dem Kandidaten selbst zulässig wären.

Wie ist die Sicherheit von Bewerberdaten zu gewährleisten?

Speichert und verarbeitet ein Unternehmen personenbezogene Daten, dann ist es auch für deren Sicherheit verantwortlich. Dies gilt selbstverständlich auch für Bewerberdaten. Es müssen technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO getroffen werden, die sicherstellen, dass die Daten nicht durch Unberechtigte eingesehen, verändert oder gelöscht werden können.

Besondere Kategorien personenbezogener Daten

Bewerbungsunterlagen enthalten eine Vielzahl von personenbezogenen Daten. Darunter können auch sog. besondere Kategorien von personenbezogenen Daten im Sinne von Art. 9 Abs. 1 DSGVO sein, wie z.B. Daten, die auf die rassische oder ethnische Herkunft von Personen schließen lassen. Dies kann durch sowohl durch ein Bewerberbild als auch durch die Angabe des Geburtsortes geschehen. Auch Gesundheitsdaten können ggf. im Rahmen von Bewerbungsunterlagen vorliegen.

Die Erlaubnis zur Verarbeitung ergibt sich hierbei auch durch die Spezialregelung des § 26 Abs. 3 BDSG, wobei der Verarbeiter, sprich der potentielle Arbeitgeber gem. § 26 Abs. 5 BDSG geeignete Maßnahmen ergreifen muss, um die Grundsätze der Verarbeitung von personenbezogenen Daten gem. Art. 5 DSGVO, also Verarbeitung nach Treu und Glauben, Zweckbindung, Datenminimierung, Richtigkeit und Speicherbegrenzung sicherzustellen. Hier gilt es also genau aufzupassen.

Im Rahmen der technisch-organisatorischen Maßnahmen hat der Verarbeiter  beispielsweise sicherzustellen, dass Bewerbungsunterlagen ausschließlich von den verantwortlichen Entscheidern eingesehen, sicher aufbewahrt und nach Ablauf der entsprechenden Fristen gelöscht werden. Es sollte auch sichergestellt werden, dass keine unüberschaubare Anzahl an Kopien durch das Unternehmen kreisen, weil die Bewerbungsunterlagen beispielsweise als E-Mail-Anhang und somit beliebig oft kopierbar und weiterleitbar an mehr Mitarbeiter als absolut notwendig versandt wurden.

Technische Maßnahmen beinhalten unter anderem eine verschlüsselte Datenübermittlung etwa bei Online-Bewerbungen, eine sichere Speicherung und eine ebenso sichere Löschung beziehungsweise Aktenvernichtung, die sicherstellt, dass die Daten nach ihrer Entsorgung nicht wiederherstellbar und somit durch Unbefugte einsehbar sind.

Bewerbung per E-Mail oder Onlineformular

Um die Papierflut bei Bewerbungsunterlagen auf Seiten des Unternehmens zu minimieren und andererseits die Kosten für den Bewerber für die Bewerbungsunterlagen klein zu halten, hat sich in den letzten Jahren der Versand von elektronischen Bewerbungsunterlagen per E-Mail etabliert. Online-Bewerbungen per E-Mail stellen allerding das Unternehmen datenschutzrechtlich immer vor spezielle Herausforderungen. Selbst wenn das Unternehmen eine verschlüsselte E-Mail-Übermittlung (entweder über s/mime oder PGP-Verschlüsselung) anbietet, so ist der Bewerber in den meisten Fällen nicht in der Lage, eine verschlüsselte Mail zu versenden oder zu empfangen. Bewerbungsunterlagen werden also regelmäßig unverschlüsselt per Mail über das Internet versendet.

Auch wenn sich dies insbesondere bei Initiativbewerbungen nicht immer verhindern lässt, sollte das Unternehmen doch auf diese unsichere Übermittlungsmethode hinweisen und Alternativen für den sicheren Versand von Bewerbungsunterlagen anbieten. Ob dies nun der Rückfall auf die papierhafte Bewerbungsmappe ist, sei dahingestellt.

Eine zeitgemäßere Variante ist sicherlich, ein Online-Bewerbertool zur Verfügung zu stellen. Hier kann der Bewerber über eine verschlüsselte Webseite seine Unterlagen hochladen. Gleichzeitig besteht auf diesem Weg die Möglichkeit, den Bewerber – bevor er seine Unterlagen hochgeladen hat – über die Verarbeitung seiner personenbezogenen Daten gem. Art. 13 DSGVO zu informieren. Auch dies ist eine Anforderung, die die verantwortliche Stelle, also das Unternehmen, bei dem sich die betroffene Person bewirbt, zu erfüllen hat.

Was gilt bei der Nutzung von Dienstleistern im Bewerbungsverfahren?

Wenn Sie die Leistungen von externen Unternehmen wie beispielsweise einem strikt weisungsgebundenen Recruiting-Dienstleister in Anspruch nehmen, bleibt Ihr Unternehmen als verantwortliche Stelle für die Sicherheit der Daten verantwortlich. Sie müssen also sicherstellen, dass der Dienstleister datenschutzkonform mit den Bewerberdaten umgeht. Nach Art. 28 DSGVO liegt eine sogenannte Auftragsverarbeitung vor, weil der Dienstleister in Ihrem Auftrag personenbezogene Daten Ihrer Bewerber verarbeitet. In einem solchen Fall ist bereits vor Beginn der Tätigkeit ein Vertrag zur Auftragsverarbeitung zu schließen. Darin wird festgehalten, in welcher Weise der Dienstleister die Sicherheit der verarbeiteten Daten gewährleistet.

Dies ist in aller Regel dann nicht erforderlich, wenn Sie den Recruiter bzw. Headhunter beauftragen, den Auswahlprozess ohne vorgegebene Kriterien, also weisungsfrei in seinem eigenen Namen durchzuführen. In diesem Fall liegt wohl eine sog. Datenweitergabe an Dritte vor.

Der Recruiter seinerseits hat natürlich alle datenschutzrechtlichen Bestimmungen einzuhalten. Für die Weiterleitung der Daten an Sie als Unternehmen ist dann jedoch eine Rechtsgrundlage notwendig. Dies wird im Allgemeinen die die Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO des Bewerbers zur Weiterleitung seiner Bewerbung an Sie sein. Durch den Übergang der Bewerberdaten an das Unternehmen wird dieses zum Verantwortlichen und hat somit auch vollumfänglich  die  Sicherheit der Daten und die entsprechenden Betroffenenrechte zu gewährleisten.

Wie lange dürfen Bewerberdaten gespeichert werden?

Als Konsequenz aus der Zweckbindung im Umgang mit personenbezogenen Daten ergibt sich, dass Daten zu löschen sind, sobald der vorgesehene Zweck erfüllt oder entfallen ist. Wenn die ausgeschriebene Stelle besetzt ist, entfällt der Grund für die weitere Speicherung der Bewerbungsdaten.

Es ist jedoch möglich und ratsam, Bewerberdaten von abgelehnten Kandidaten bis zu sechs Monate nach Zusendung der Absage aufzubewahren. Nach § 15 AGG kann ein abgelehnter Bewerber einen Entschädigungsanspruch geltend machen, wenn eine Benachteiligung nach § 7 AGG vorliegt. Um sich gegen einen entsprechenden Vorwurf verteidigen zu können, dürfen Bewerberdaten entsprechend länger aufbewahrt werden. Die Klagefrist beträgt zwei Monate nach Eingang der Ablehnung. Da die Zustellung einer möglichen Klage durch das Gericht ebenfalls einige Zeit in Anspruch nehmen kann, ist eine Aufbewahrungsdauer von bis zu sechs Monaten nach Zusendung der Ablehnung vertretbar.

Dieser aktualisierte Artikel erschien zuerst am 2. Dezember 2012.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Datenschutzkonformer Einsatz von Trigger-Mailings

Trigger-Mailings bzw. automatisierte E-Mails sind vor allem für Anbieter von Onlineshops ein wichtiges Informations- und Marketingwerkzeug. Doch wann dürfen Sie welche Trigger-Mailings überhaupt verschicken? Wann ist vorher eine Einwilligung einzuholen? Welche Inhalte sind für automatisierte E-Mails vorgeschrieben? Unser Ratgeber bringt alle Fakten auf den Punkt.

Trigger-Mailings und rechtliche Einschränkungen

Trigger-Mailings genießen bei Anbietern von Webshops hohe Beliebtheit. Ein Trigger-Mailing erzeugt automatisierte E-Mail-Benachrichtigungen an Kunden und Subscriber, wenn eine bestimmte Aktion im Shop oder in einem Newsletter ausgelöst wird. Zum Beispiel werden Trigger-Mailings verkaufsfördernd eingesetzt, wenn ein Kunde seinen Einkauf in einem Onlineshop abbricht (mit Produkten im Warenkorb) oder er über längere Zeit nicht gekaufte Produkte in seiner Wunschliste führt. Ein Trigger-Mailing kann Kunden darüber hinaus auch daran erinnern, dass eine Sendung gerade verschickt wurde.

Damit können Anbieter effizient Kunden und Interessenten mit vorformulierten Nachrichten ansprechen, ohne hohen administrativen Aufwand. Normalerweise wird für die Benachrichtigung die E-Mail-Adresse eines Nutzers verwendet, die sowieso bei der Registrierung für einen Account im Onlineshop erhoben wird – eine kostengünstige und attraktive Lösung für Anbieter und Adressaten, sollte man meinen.

Ganz so einfach ist es leider nicht, denn der europäische und deutsche Gesetzgeber haben dem E-Mail-Marketing so einige Stolpersteine in den Weg gelegt, um die Adressaten vor lästigen Ansprachen zu schützen. Diese Hindernisse finden sich zum einen im Gesetz gegen den unlauteren Wettbewerb (UWG) und zum anderen in der Datenschutz-Grundverordnung (DSGVO).

Hinzu kommt, dass viele Marketing-Automation-Systeme unkontrollierte Trigger-Mailings senden, wenn der Anwender die rechtlichen Grenzen nicht kennt und/oder entsprechende Einstellungen fehlen. Häufig ist nämlich bei Trigger-Mailings eine Einwilligung erforderlich, um Abmahn- und Bußgeldrisiken zu begegnen.

Einschränkungen gelten nur bei Werbung, aber was ist Werbung?

Die Stolpersteine der Gesetzgeber hindern Webshop-Anbieter nicht daran jegliche Art von E-Mail-Benachrichtigung an Betroffene zu versenden. So sind alle Nachrichten, die ausschließlich die Durchführung eines Kaufvertrags oder Dienstleistungsvertrags fördern, regelmäßig zulässig und unterliegen nicht den strengen Grenzen des § 7 UWG. Darunter fallen z.B. Versandbestätigungen und Rechnungen (siehe dazu unser Whitepaper zum DSGVO-konformen E-Mailmarketing).

Für Werbung gelten allerdings die wettbewerbsrechtlichen Grenzen, welche in manchen Fällen das Versenden von Nachrichten ohne Einwilligung des Adressaten verbieten. Werbe-E-Mails sind alle Nachrichten eines Unternehmens, die mittelbar oder unmittelbar auf die Förderung des Absatzes seiner Produkte oder Dienstleistungen gerichtet sind. Unmittelbare Werbung wären dabei z.B. Produktvorschläge, die den Kunden auf das Sortiment des Anbieters hinweisen. Um mittelbare Werbung handelt es sich z.B., wenn ein Anbieter Imagewerbung verschickt oder sein Sponsoring bekanntgibt.

Zusammenspiel von Wettbewerbsrecht und Datenschutzrecht bei E-Mailings

Die DSGVO findet Anwendung auf jedes Trigger-Mailing, denn unab­hängig davon, ob das UWG der DSGVO aufgrund von Art. 95 DSGVO vorgeht, darf das in der DSGVO festgelegte Datenschutzmindestschutzniveau nicht unterschritten werden. Die engen Voraussetzungen des Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen des Anbieters) müssen primär erfüllt sein, damit das Mailing ohne Einwilligung verschickt werden darf. Durch die Einhaltung der Voraussetzungen des § 7 UWG kann die Interessenabwägung zu Ihren Gunsten ausgehen. Dies hat auch die Datenschutzkonferenz (Zusammenschluss der deutschen Datenaufsichtsbehörden) im November 2018 bestätigt. So enthält § 7 Abs. 3 UWG z.B. eine Ausnahme bezüglich der Versendung von Werbe-E-Mailings an Nutzer, die bereits Ihre Bestandskunden sind. Ein Bestandskunde kann jeder Kunde sein, der mindestens zwei Bestellungen getätigt hat und in wiederkehrenden Abständen bei Ihnen Waren bestellt. Diese Definition kann aber je nach Gewerbezweig variieren und individuell festgelegt werden. Durch die beschriebene Ausnahme kann teilweise auch Werbung ohne Einwilligung verschickt werden.

Das berechtigte Interesse ist ausschlaggebend und für einen Anbieter nur gegeben, wenn der Betroffene mit dem Mailing rechnet und es ihn in seinen Interessen oder Grundrechten und Grundfreiheiten nicht beeinträchtigt. Es ist daher immer hilfreich, den Nutzer im Bestellvorgang genau über die geplanten Mailings in Kenntnis zu setzen. Zudem sollten vom Anbieter auch weniger invasive Maßnahmen (wie die gute alte Postsendung) in Betracht gezogen werden. Wenn neben den genannten Voraussetzungen keine mildere Maßnahme greift, kann man sich auf das berechtigte Interesse stützen, was eine Einwilligung des Kunden entbehrlich macht. Eine individuelle Abwägung pro Mailingart ist notwendig.

Varianten von Trigger-Mailings und deren Zulässigkeit ohne Einwilligung

  1. Warenkorbabbruchs-Mailing und Wunschlisten-Erinnerungs-Mailing: Bei Erstbestellern ist diese Nachricht nur zulässig mit vorheriger Einwilligung des Adressaten gem. § 7 Abs. 2 Nr. 3 UWG. Die Ausnahme des § 7 Abs. 3 UWG greift bei Erstbestellern regelmäßig nicht. Bei Bestandskunden können Warenkorbabbruchs-Mailings auf Basis der Ausnahme des § 7 Abs. 3 UWG ohne Einwilligung versandt werden. Es muss sichergestellt sein, dass der Bestandskunde dem Erhalt nicht widersprochen hat und im Bestellungsprozess auf die werbliche Nutzung der Daten hingewiesen wurde. Eine Opt-Out-Möglichkeit muss jedem Mailing beigefügt werden und es dürfen im Mailing nur Waren oder Dienstleistungen beworben werden, die ähnlich zur Kaufhistorie des Kunden sind.
  2. Mailings für Produkt- oder Markenempfehlungen: Hier gelten die gleichen Feststellungen wie beim vorherigen Punkt. Eine Besonderheit ist, dass sich die Produktempfehlungen auf das eigene Angebot bzw. eigene Marken der werbenden juristischen Person beziehen müssen. Andernfalls ist § 7 Abs. 3 Nr. 2 UWG nicht erfüllt und eine Einwilligung des Adressaten erforderlich.
  3. Kundenzufriedenheits-Mailings: Gemäß aktueller Rechtsprechung (LG Hannover, 21.12.2017, AZ: 21 O 21/17; KG Berlin, 07.02.2017, AZ: 5 W 15/17) ist davon auszugehen, dass solche Trigger-Mailings der Einwilligungserfordernis gemäß § 7 Abs. 2 Nr. 3 UWG unterliegen. Eine Einwilligung nach Maßgabe des Art. 7 DSGVO ist einzuholen. Sofern im Kaufprozess an prominenter Stelle darauf hingewiesen wird, dass der Betroffene jederzeit Werbewiderspruch einlegen kann und auch das Kundenzufriedenheitsmailing so einen Hinweis bzw. Opt-out-Link enthält, kann von einer Reduktion des Bußgeldrisikos ausgegangen werden.
  4. Mailing bezüglich Abwicklung einer Bestellung (z.B. Versand und Rechnung): Der Versand solcher Mailings ist uneingeschränkt und ohne Einwilligung zulässig, weil hier keine wettbewerbsrechtlichen Einschränkungen gelten und der Versand durch die Vertragsdurchführung gem. Art. 6 Abs. 1 lit. b DSGVO gerechtfertigt ist, sofern der Empfänger auch der Vertragspartner ist.

Allgemeine Hinweise beim Versand von Trigger-Mailings

Neben der Frage, ob man ein Trigger-Mailing ohne Einwilligung versenden darf, sind einige begleitende Maßnahmen zu treffen, um den Prozess datenschutzkonform zu gestalten:

  1. Falls eine Einwilligung erforderlich ist, müssen die Anforderungen des Art. 6 Abs. 1 lit. a und Art. 7 DSGVO bei der Gestaltung und Durchführung der Einwilligung erfüllt werden.
  2. Die Informationspflichten gem. Art. 13 DSGVO müssen immer eingehalten werden, um die Transparenz gegenüber dem Adressaten zu gewährleisten.
  3. Sofern die angebotene Dienstleistung oder das Produkt sensibel sind, gelten strengere Maßstäbe. Beispielsweise ist bei Erotikversandhäusern, Gesundheitsanbietern, religiösen Vereinigungen und ähnlichen Gewerben vom Versand ohne Einwilligung abzuraten. Davon ausgenommen sind die oben genannten Mailings zur Abwicklung einer Bestellung.
  4. Wer rastet, der rostet: Die ePrivacy-Verordnung könnte die Spielregeln für Trigger-Mailings in naher Zukunft erneut verändern, da die Vorgaben aus dem UWG ersetzt werden. Informieren Sie sich deshalb regelmäßig durch unseren kostenlosen Newsletter.

Fazit: Trigger-Mailings sind datenschutzrechtlich durchaus möglich

Bei der Versendung von Trigger-Mailings muss geltendes Wettbewerbs- sowie Datenschutzrecht eingehalten werden. Bestimmte Mailings können unter engen Voraussetzungen ohne die Einwilligung des Betroffenen verschickt werden, sofern der Inhalt der Mailings nicht sensibel ist. Vor allem der Versand von Mailings an Bestandskunden bietet großes Potential zu werben und gleichzeitig geltendes Recht einzuhalten.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Richtigkeit der Datenverarbeitung

Daten dürfen ausschließlich richtig verarbeitet werden – so fordert es die europäische Datenschutz-Grundverordnung (DSGVO) in Art. 5. Doch was bedeutet der Grundsatz der Richtigkeit der Verarbeitung für die Datenschutzpraxis im Unternehmen? Wann sind Daten korrekt? Wer ist dafür verantwortlich? Wie lange und mit welchem Aufwand ist die Richtigkeit zu gewährleisten? Ein praktischer Überblick!

Verarbeitung richtiger Daten

Die Verarbeitung korrekter und aktueller Daten ist aus Sicht des Betroffenen von großer Bedeutung. Dies gilt insbesondere dann, wenn diese Daten als Grundlagen für Entscheidungen dienen sollen, welche sogar Rechtswirkungen gegenüber den Betroffenen entfalten können.

Die Gewährleistung der Richtigkeit der Daten ist in allen Schritten des Verarbeitungszyklus relevant. Der Verantwortliche hat bereits bei Erhebung für die Richtigkeit der Daten zu sorgen. Wurden Daten bereits erhoben und gegebenenfalls gespeichert, müssen die Daten in allen Verarbeitungsprozessen weiterhin richtig bleiben und erforderlichenfalls aktualisiert werden. Werden unrichtige Daten verarbeitet, so sind diese zu berichtigen oder unverzüglich zu löschen.

Was sind richtige Daten?

Daten müssen nach Art. 5 Abs. 1 lit. d) DSGVO „sachlich richtig sein“. Sachlich richtig können nur solche Daten sein, welche einem objektiven Maßstab zugänglich sein. Dies sind also nicht Werturteile oder Meinungen, sondern ausschließlich Tatsachen. Diese müssen der Wahrheit entsprechen. Achtung bei Meinungsäußerungen: Tatsachen, welche die Grundlage von Werturteilen bilden, müssen ebenfalls sachlich richtig sein.

Wie ist die Richtigkeit der Verarbeitung sicherzustellen?

Der Verantwortliche hat nach dem Grundsatz der Richtigkeit gemäß Art. 5 DSGVO selbst dafür zu sorgen, dass die personenbezogenen Daten, die er verarbeitet, richtig sind. Hierbei sollte der Verantwortliche proaktiv tätig werden und nicht darauf warten, dass Betroffene ihr Recht auf Berichtigung gem. Art. 16 DSGVO geltend machen. Ist das mildere Mittel der Berichtigung nicht möglich, so müssen unrichtige Daten unverzüglich gelöscht werden.

Es gilt zu bestimmen welche Maßnahmen angemessen sind, um die Richtigkeit der Daten zu gewährleisten und insbesondere wann diese Maßnahmen notwendig sind.

Je mehr Zwischenschritte mit einer Datenverarbeitung verbunden sind, desto höher ist das Risiko der Unrichtigkeit von Daten. Ansonsten gilt der Maßstab: Je höher das Risiko für die Betroffenen ist bzw. je größer die Auswirkungen für die Betroffenen sind, desto mehr muss der Verantwortliche unternehmen, um die Richtigkeit der Daten zu garantieren. Dies gilt umso mehr, wenn die verarbeiteten Daten nachträglich nicht korrigiert werden können. Dies ist etwa der Fall bei Auskunfteien, welche Bewertungen über Personen an Dritte weiterleiten. Die Verwendung unrichtiger Daten kann unter diesen Umständen zu großen Nachteilen für den Betroffenen führen.

Auch Profiling und automatische Datenverarbeitungen können zu weitreichenden Konsequenzen für die Betroffenen führen. Aufgrund dessen sieht Erwägungsgrund 71 DSGVO vor, dass technische und organisatorische Maßnahmen zu treffen sind, welche sicherstellen, dass Faktoren, die zu unrichtigen personenbezogenen Daten führen, korrigiert werden und dass das Risiko von Fehlern minimiert wird. Die Pflicht zur Berichtigung besteht somit nicht nur auf Datenebene, sondern auch auf Ebene der Verarbeitungsprozesse.

Setzt der Verantwortliche bei der Datenverarbeitung Dritte oder Auftragsverarbeiter ein, so muss der Verantwortliche auch dafür sorgen, dass die Daten an jenen Stellen ebenfalls aktualisiert und berichtigt werden.

Wie ist die Richtigkeit von Daten aktuell zu halten?

Es kann durchaus sein, dass sich die Richtigkeit von Daten auf einen konkreten Zeitpunkt bezieht und eine nachträgliche Änderung nicht notwendig ist. Konnte z. B. ein Mitarbeiter krankheitsbedingt nicht am Arbeitsplatz erscheinen, so muss nachträglich der Gesundheitszustand nicht geändert werden, wenn der Mitarbeiter wieder gesund ist.

Aktuell und sachlich richtig müssen aber insbesondere Zutritts- und Zugangsberechtigungen von Personen sein. Werden diese nicht regelmäßig überprüft und entsprechend korrigiert, kann dies erhebliche Nachteile für die Sicherheit der Verarbeitung mit sich bringen.

Einmal richtige Daten können jedoch durchaus unrichtig werden. Es ist zu bedenken, dass mit fortgeschrittener Zeit das Vertrauen auf die Richtigkeit von Daten sinkt. Dies gilt insbesondere für veränderbare Daten wie etwa Anschrift oder persönliche Vorlieben. Deshalb ist es nicht nur wichtig richtige Daten zu erheben, sondern im Verlaufe der Datenverarbeitung auch zu aktualisieren und so auf dem neusten Stand zu halten.

Verstöße gegen Grundsätze sind keine Kavaliersdelikte

Da es sich bei der Richtigkeit der Verarbeitung um einen der Grundsätze des Art. 5 DSGVO handelt, gehören Verstöße hiergegen zur Kategorie, die mit höheren Bußgeldern geahndet werden können. Art. 83 Abs. 5 lit. a DSGVO sieht vor, dass die Aufsichtsbehörden Bußgelder bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängen dürfen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Facebook Custom Audiences: datenschutzkonform einsetzbar?

Seit der Einführung des Facebook-Marketingtools „Facebook Custom Audiences“ im Jahr 2012 war unklar, ob ein datenschutzkonformer Einsatz für werbetreibende Unternehmen möglich ist. Von den deutschen Datenschutzaufsichtsbehörden hat sich mehrfach das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) dazu zu Wort gemeldet. Mittlerweile liegen einige Gerichtsurteile vor, die etwas Klarheit bringen.

UPDATE: Der Verwaltungsgerichtshof (VGH) München hat in seinem Beschluss vom 26. September 2018 (Az.: 5 CS 18.1157) das Urteil des Verwaltungsgerichts (VG) Bayreuth und so eine Anordnung des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) bestätigt. Er stellt damit klar, dass die Aufsichtsbehörde den Betreiber eines Onlineshops zurecht zur Löschung einer Kundenliste (“Custom Audience“) verpflichtet hat. Er hält ferner fest, dass es sich beim Einsatz von Facebook Custom Audience nicht um einen Fall der Auftragsverarbeitung handelt, weil Facebook einen eigenen Bewertungs- und Ermessensspielraum bei der Ermittlung des zu bewerbenden Kundenkreises hat.

Was sind Facebook Custom Audiences?

Facebook ist eine Goldgrube für Marketers: eine scheinbar unendlich große Zahl potentieller Werbeadressaten, die raffiniertesten Technologien zur Zielgruppendefinition und eine sehr einfache Bedienung. Eines der beliebtesten Werbeverfahren ist Facebook Custom Audiences. Ein werbetreibendes Unternehmen – z. B. ein Shopbetreiber – kann durch Definition sogenannter „Custom Audiences“ in seinem Facebook-Account über das Netzwerk gezielt Personen bewerben lassen, die entweder seine Website besucht haben und/ oder zu denen ihm E-Mailadressen oder Telefonnummern vorliegen.

Facebook Custom Audiences gibt es in verschiedenen Varianten, die datenschutzrechtlich unterschiedlich zu bewerten sind. Die zwei bekanntesten Varianten sind die Upload- und die Website-Variante.

Custom Audiences Upload

Gehashte E-Mailadressen und Telefonnummern zur Identifikation von Facebook-Nutzern

Die elektronische Bewerbung eigener Kunden unterliegt in Europa strengen Regeln. Oft kommt man um eine Werbeeinwilligung nicht herum, möchte man keine Abmahnungen oder Bußgelder riskieren. Nicht alle Kunden sind jedoch bereit, in Werbung einzuwilligen. Da ist es praktisch, einen Partner wie Facebook zu haben, dem gegenüber der Kunde bereitwillig (wenn auch nicht unbedingt rechtswirksam) in die Nutzung seines veröffentlichten Profils für Werbezwecke eingewilligt hat. Bleibt da nur noch, Facebook darüber zu informieren, welche der eigenen Kunden denn über Facebook beworben werden sollen. Außerdem muss Facebook wissen, ob der Kunde überhaupt bei Facebook registriert ist – und entsprechend beworben werden kann. Hierzu benötigt Facebook Daten des werbenden Unternehmens.

Der Abgleich verfügbarer Facebook-Profile mit den Kunden, die ein Unternehmen bewerben möchte, erfolgt in der Upload-Variante über E-Mailadressen oder Telefonnummern, die das werbende Unternehmen auf Facebook hochlädt. Bei E-Mailadressen und/ oder Telefonnummern handelt es sich aus datenschutzrechtlicher Sicht meist um personenbezogene Daten, für deren Weitergabe nicht Facebook, sondern das werbende Unternehmen verantwortlich ist. Die Weitergabe bedarf grundsätzlich einer Einwilligung des Kunden, die dem werbenden Unternehmen jedoch oft nicht vorliegt.

Facebook: „Datenweitergabe dank Hashings unproblematisch.“

Aus Sicht von Facebook ist es möglich, den Personenbezug der Daten aufzuheben, indem die E-Mailadressen und die Telefonnummern vor dem Upload auf Facebook gehasht werden. Beim Hashing wird aus einem Datum ein Wert erzeugt, der einzig und allein aus diesem einen Datum erzeugt werden kann. Der Hashwert ist sozusagen der einzigartige Fingerabdruck eines Datums. Je nach angewandtem Hashing-Verfahren kann dieser Fingerabdruck unterschiedlich komplex sein.

Datenschutzbehörde: „Hashing hebt Personenbezug nicht auf.“

Die bayerische Datenschutzaufsichtsbehörde bezeichnete in ihrem Tätigkeitsbericht für die Jahre 2013/2014 die von Facebook gewählte Hashing-Methode MD5 als unsicher, was technisch in der Tat zutrifft. Demzufolge führe das angewandte Hashing bei Facebook nicht dazu, dass ein Personenbezug der Daten aufgehoben werde. Dies läge vor allem daran, dass die Hashwerte der E-Mailadressen und der Telefonnummern sehr leicht auf die Ursprungswerte zurückzurechnen seien. Die Weitergabe der E-Mailadressen oder der Telefonnummern ohne Einwilligung des Betroffenen stelle daher eine Ordnungswidrigkeit dar, die mit einem Bußgeld bestraft werden könne.

Ende 2015 führte die Behörde führte das BayLDA deswegen stichprobenartige Prüfungen bei bayrischen Unternehmen durch. Das Ergebnis:

„Durch die Gespräche mit den verantwortlichen Stellen im Rahmen der Prüfung haben wir festgestellt, dass das Verfahren Facebook Custom Audience in der Praxis durchaus Verbreitung findet. Die Unternehmen waren sich aber in keinem Fall bewusst, dass dabei eine datenschutzrechtliche Problematik besteht. Erst auf unser Schreiben hin wurden sie auf die datenschutzrechtlichen Hintergründe und Fragestellungen aufmerksam.“

Weitergabe personenbezogener Daten möglich?

Umstritten war, ob nicht auch eine Weitergabe personenbezogener Daten an Facebook im Rahmen einer Auftragsverarbeitung ohne Einwilligung des Betroffenen rechtskonform sein könnte. In diesem Fall wäre Facebook nicht als Dritter, sondern als weisungsgebundener Auftragsverarbeiter anzusehen gewesen.

Das Bayerische Verwaltungsgericht Bayreuth ist im Mai 2018 – noch vor dem Hintergrund des alten deutschen Datenschutzrechts – zu dem Ergebnis gekommen, dass es sich nicht um einen Fall der Auftragsverarbeitung handelt, sondern um eine Übermittlung an einen Dritten und dass es damit es stets der vorausgehenden Einwilligung des Nutzers sowohl in die Datennutzung als auch in die Datenweitergabe an Facebook bedarf. Diese Bewertung hat nun der VGH München bestätigt und ausführlich begründet, warum es sich nicht um einen Fall der Auftragsverarbeitung handelt.

Er trifft dabei drei Kernaussagen zur Auftragsverarbeitung, die voraussichtlich auch im Rahmen der DSGVO Fortgeltung haben werden:

  1. Maßgebend für die Einordnung eines Vorgangs als Auftragsverarbeitung ist eine objektive Qualifikation der auf Grundlage der vertraglichen Vereinbarung stattfindenden tatsächlichen Abläufe – das schließen eines Auftragsverarbeitungsvertrages macht den Dritten nicht zum Auftragsverarbeiter.
  2. Zur Bewertung, ob faktisch ein Auftragsverarbeitungsverhältnis vorliegt, kommt es darauf an, ob das beauftragte Unternehmen ob ein eigener Entscheidungs- und Ermessensspielraum durch den Auftraggeber ausgeschlossen wird (beispielsweise durch Vorgabe ausdifferenzierter Bewertungskriterien) oder ob das beauftragte Unternehmen ohne Vorgaben über die Datenverarbeitung entscheidet.
  3. Nur die vollständige Unterordnung bei der Erhebung, Verarbeitung und Nutzung der Daten unter die Vorgaben des Auftraggebers hinsichtlich Mittel und Zweck der Datenverarbeitung berechtigt dazu, die Datenübertragung an einen Auftragsverarbeiter von den gesetzlichen Rechtfertigungsanforderungen an die Weitergabe von personenbezogenen Daten auszunehmen. (Stichwort „Weisungsgebundenheit“)

Custom Audiences Website

Retargeting mit datenschutzrechtlich riskanten Identifikationspotentialen

E-Mailadressen und Telefonnummern liegen Websitebetreibern meist nur von Kunden und Newsletter-Abonnenten vor, nicht jedoch von unbekannten Besuchern der eigenen Website. Mit der Custom-Audiences-Website-Variante können auch Besucher der eigenen Website auf Facebook beworben werden. Hierzu wird ein unternehmensspezifischer Pixel in die Website des Unternehmens eingebunden. Besucht ein Facebook-Nutzer die Website, übermittelt das Pixel technische Daten zum Besuch der Website und zum Besucher zusammen mit einer gehashten Version der Facebook-ID des Besuchers an Facebook. Über einen Abgleich der übermittelten ID mit Hashwerten der bei Facebook gespeicherten IDs kann Facebook feststellen, welche Websitebesucher bei Facebook registriert sind und beworben werden können.

Personenbezug von Daten bei Websitebetreibern wohl nicht gegeben.

Wie bei der Upload-Variante ist auch bei der Website-Variante zunächst entscheidend, ob personenbezogene Daten verarbeitet werden. Im Unterschied zur Upload-Variante ist jedoch nicht nur die Weitergabe der Daten, sondern auch deren Erhebung durch den Website-Betreiber mithilfe des Retargeting-Pixels in die Prüfung einzubeziehen. Auch für diese Erhebung ist der Websitebetreiber (mit-)verantwortlich und zwar auch dann, wenn er nicht auf die erhobenen Daten zugreifen kann (siehe unser Ratgeber zu Facebook-Fanpages).

Die Erhebung von Daten über die Nutzung einer Website für Werbezwecke ist als Ergebnis einer Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO erlaubt, wenn die Daten in einem Besucherprofil nicht mit Daten vermischt werden, die eine Identifizierung des Besuchers ermöglichen würden. Eine Identifizierung könnten bestimmte Datenkategorien ermöglichen (z.B. Name, Standortdaten), aber auch eine große Zahl an verschiedenen an sich nicht personenbezogenen Daten, wenn diese das Trackingprofil des Nutzers einzigartig machen.

Vor diesem Hintergrund sollten Unternehmen in einer Custom Audience nach Möglichkeit nicht Daten verschiedener Unternehmenswebsites zusammenführen, sondern für jede Website ein eigenes Retargeting-Pixel verwenden.

Nicht zulässig wäre es ferner, die Nutzer-ID mit den Nutzungsdaten zusammenzuführen, da diese unzweifelhaft eine Identifizierung des Nutzers ermöglichen würde. Der Websitebetreiber hat jedoch allenfalls Zugriff auf den Hashwert der Nutzer-ID. Unter der Voraussetzung, dass Facebook inzwischen ein sicheres Hashing-Verfahren anwendet, lägen für den Websitebesucher zu keinem Zeitpunkt personenbezogene Daten vor. Im Oktober 2017 wurde allerdings laut BayLDA noch immer auf ein unsicheres Hashverfahren zurückgegriffen.

Sofern kein personenbezogenes Tracking erfolgt, wäre wohl auch die Stellungnahme der deutschen Datenschutzkonferenz zur Fortgeltung des TMG belanglos, wonach jedes Tracking einer vorausgehenden Einwilligung bedürfe. Die Behörden haben Ihre Stellungnahme in einer neueren Stellungnahme nämlich inzwischen soweit präzisiert, dass es sich um ein personenbezogenes Tracking handeln müsse.

Personenbeziehbarkeit für Facebook kann nicht ausgeschlossen werden.

Fraglich ist, ob auch hinsichtlich Facebook eine Personenbezogenheit der Daten verneint werden kann. Im Abgleich der Hashwerte durch Facebook könnte eine Zusammenführung des Website-Besucherprofils mit identifizierenden Daten des Facebook-Nutzers gesehen werden.

Eine echte Trennung der Daten würde voraussetzen, dass die Nutzungsprofile in den Custom Audiences unter keinen Umständen in die sonstigen Daten der betroffenen Facebook-Nutzer einfließen können (z.B. Daten, die über die Graph Search erreichbar sind). Facebook sichert in den Nutzungsbedingungen zu Facebook Custom Audiences folgendes zu:

„Facebook gewährt Dritten oder anderen Werbetreibenden keinen Zugriff auf die Custom Audience(s) und lässt ihnen auch keine Informationen darüber zukommen. Außerdem verwenden wir deine Custom Audience(s) auch nicht, um sie zu denjenigen Informationen hinzuzufügen, die wir über unsere Nutzer/innen haben, oder um interessenbasierte Profile zu erstellen oder für andere Zwecke, außer um dir Dienste bereitzustellen, es sei denn, wir haben deine Erlaubnis oder sind von Rechts wegen dazu verpflichtet.“

Fraglich ist allerdings, ob diese Zusicherung überhaupt praktisch realisierbar ist. Denn Ziel des Abgleichs ist es ja gerade, die Custom Audiences (mittels der Hashwerte) mit dem Facebook-Nutzer zu verbinden. Mag eine Zusammenführung des Custom-Audiences-Nutzungsprofils mit identifizierenden Daten zum Facebook-Nutzer von Facebook zwar nicht gewünscht sein, so ließe er sich doch durch Facebook problemlos durchführen, indem die Abgleichfunktion der Hashwerte nicht nur für die technisch gesteuerte Auswahl von Facebook-Nutzern, sondern auch zu deren (geheimer) Profilbildung genutzt würde.

Fazit: Risiken abwägen, Informationspflichten beachten.

Von einem Einsatz der Upload-Variante ohne vorausgehende Einwilligung des Nutzers sollten Unternehmen mit Hinblick auf die Stellungnahme der bayrischen Datenschutzaufsicht, des Urteils des VG Bayreuth und des VGH München in jedem Fall absehen. Die DSGVO stuft werbliche Zwecke zwar als berechtigtes Interesse ein (Erwägungsgrund 47 zur DSGVO), solange hierzu aber keine Aussage der Aufsichtsbehörden oder eine gerichtliche Entscheidung vorliegt, sollte man sich an der bisherigen Bewertung orientieren. Es würde ein nicht unerhebliches Risiko darstellen, die Weitergabe der Daten mit einem überwiegenden berechtigten Interesse des Unternehmens zu begründen.

Die Pixel-Variante ohne sogenannten erweiterten Abgleich kann unter den von der bayrischen Datenschutzaufsicht skizzierten Voraussetzungen mit etwas Risiko eingesetzt werden. Wichtig ist dabei eine ausreichende Information in den Datenschutzhinweisen und die Installation eines echten Widerspruchskripts, das bei Aktivierung jeglichen Datentransfer zu Facebook unterbindet.

Dieser aktualisierte Artikel wurde zuerst am 17. März 2016 veröffentlicht.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Datenschutzprüfungen von Smartphone-Apps

Der Datenschutz kommt bei Smartphone-Apps bisher entscheidend zu kurz: Darüber sind sich Datenschützer weitgehend einig. Das Landesamt für Datenschutzaufsicht in Bayern (LDA) hat daher automatisierte Verfahren entwickelt, um die Anwendungen mit geringem Aufwand auf die Einhaltung der datenschutzrechtlichen Anforderungen hin zu überprüfen.

Problematischer Datenhunger von App-Anbietern

Die Durchsetzung eines akzeptablen Datenschutz-Niveaus bei Smartphone-Apps war bisher relativ schwierig. Die kleinen Programme schienen sich zu schnell in zu unübersichtlicher Menge zu verbreiten. Schließlich gibt es für jede Kleinigkeit im Lebensalltag – vom Feststellen des Sonnenstands bis hin zum Auspusten von Kerzen – inzwischen eine entsprechende Anwendung für mobile Geräte.

Gleichzeitig sind sie relativ einfach und schnell zu beziehen. Zahlreiche Apps werden kostenlos angeboten und sind ohne großen Aufwand über den App Store auf dem Gerät installiert. So gab Apple an, im Jahr 2016 erstmals mehr als zwei Millionen Apps in seinem App Store anzubieten. Auch Googles Play Store bietet aktuell über zwei Millionen Apps zum Download an. Völlig unverhältnismäßig zur Flut der Programme erscheint im Vergleich dazu den meisten Nutzern der Aufwand, eine seitenlange Datenschutzerklärung für jedes Programm durchzulesen und nachzuvollziehen.

Diesen Umstand haben einige Anbieter ausgenutzt, um Daten ihrer Kunden in einem Umfang zu sammeln, der den meisten Nutzern nicht bewusst war. Zwar müssen sich Apps mittlerweile den Zugriff auf Teile des Smartphones oder Tablets vom Nutzer freigeben lassen, aber dabei lassen sich immer wieder Apps Berechtigungen einräumen, die sie für den eigenen Betrieb gar nicht benötigen. Wer kommt schon auf die Idee, dass eine einfache Spiele-App Adressbuchdaten, Standortinformationen, Anruflisten und gespeicherte Bilder auswertet? Wie viele Anwender sind sich darüber im Klaren, dass einige Programme umfangreiche persönliche Daten nicht nur an den Hersteller der Anwendung, sondern gleich an ein Dutzend weiterer Unternehmen weiterleiten? Eine Studie von Forschern der Universität Oxford ergab beispielsweise, dass 42,55 Prozent der Apps im Google Play Store den Facebook-Tracker enthalten. Wie viele Anwender haben einen Überblick darüber, welche App auf welche teils sehr privaten Informationen wie den Inhalt von Textnachrichten oder Fotos zugreift?

Landesbehörde entwickelt automatisiertes Prüfverfahren

Dass seitens der Datenschützer Handlungsbedarf besteht, ist offensichtlich. Das LDA in Bayern prüfte 2013 stichprobenartig 30 Apps und 2014 noch einmal 60 weitere – und fand zahlreiche Verstöße gegen das Datenschutzrecht. Keine App erfüllte die Anforderungen an den Datenschutz. Das Verhalten der Apple- und Android-Apps wurde dabei mithilfe von Methoden aus der IT-Forensik und Erkenntnissen aus aktuellen Forschungsprojekten im Bereich der Mobile Security analysiert.

Untersucht wurden dabei Informationen wie die übermittelten Netzwerkdaten, die beteiligten Datenempfänger, die eingesetzte Verschlüsselung und die Methoden zur Reichweitenmessung.

Worauf sollten App-Anbieter achten?

Die Datenschutz-Grundverordnung (DSGVO) macht auch vor Apps nicht Halt. Daraus ergeben sich unter anderem folgende Erfordernisse:

  • Der Anwender ist vor der erstmaligen Nutzung der App darüber zu informieren, welche seiner personenbezogenen Daten erhoben, zu welchem konkreten Zweck diese genutzt, in welche Länder und an welche genau bestimmten Unternehmen oder sonstigen Stellen diese übermittelt werden. Jede App sollte über eine entsprechende Datenschutzerklärung verfügen, die für den Nutzer schon vor der Installation und beim erstmaligen Start der App einsehbar sein muss. Der Inhalt der Datenschutzerklärung muss darüber hinaus für den Anwender jederzeit abrufbar vorliegen.
  • Die alleinige Existenz einer Datenschutzerklärung ist jedoch nicht ausreichend. Der Anbieter muss nachprüfbar im Rahmen des Möglichen und Zumutbaren sicherstellen, dass der Anwender den Inhalt verstanden hat. Das beinhaltet auch, dass die Erklärung verständlich formuliert und übersichtlich gestaltet ist.
  • Erhebt der Anbieter Daten, die über die gesetzlich geregelten Zwecke beispielsweise zur Durchführung des Rechtsgeschäftes hinaus gehen, ist eine ausdrückliche und freiwillige Einwilligung des betroffenen Nutzers erforderlich. Eine solche Einwilligung muss konkret nennen, welche Daten zu welchen eindeutig definierten Zwecken genutzt werden. Die Erteilung der Einwilligung ist zu protokollieren.
  • Eine Einwilligung ist nur dann gültig, wenn es dem Betroffenen jederzeit möglich ist, diese für die Zukunft zu widerrufen. Der Anbieter muss entsprechende Möglichkeiten und Wege dazu anbieten und ist dazu verpflichtet, den Nutzer ausdrücklich auf sein Widerrufsrecht hinzuweisen.
  • Richten sich Apps an Kinder und Jugendliche unter 16 Jahren, so ist darauf zu achten, dass die Einwilligung der Eltern vorliegen muss, damit personenbezogene Daten verarbeitet werden können.
  • Wird das Nutzerverhalten von der App getrackt, so muss auch hier die Einwilligung vor dem Tracking eingeholt werden. Auch über das Tracking muss in der Datenschutzerklärung informiert werden.
  • Der Anbieter muss geeignete technische Maßnahmen ergreifen, um die Nutzerdaten vor einem Zugriff Dritter zu schützen. Insbesondere muss eine verschlüsselte Datenübermittlung sichergestellt sein. Das LDA Bayern stellt einen Prüfkatalog zur Verfügung, um die Umsetzung der technischen Maßnahmen zu erfassen. Dieser wurde zwar noch nicht auf die Anforderungen der DSGVO aktualisiert, bietet aber dennoch eine wertvolle Auflistung der notwendigen technischen Maßnahmen.
  • Dem Anwender muss die Möglichkeit angeboten werden, Bezahlvorgänge im Zusammenhang mit dem Erwerb oder der Nutzung der App, soweit möglich und zumutbar, anonym oder unter Pseudonym zu tätigen.
  • Anbieter sollten die Einhaltung der datenschutzrechtlichen Bestimmungen sowohl im Hinblick auf den Datenfluss im Rahmen der eigentlichen Anwendung als auch der Reichweitenanalyse kontrollieren. Das LDA nennt diesen Bereich explizit als einen Gegenstand seiner Prüfungen.
  • Der Anbieter ist dazu verpflichtet, sich gegenüber dem Nutzer eindeutig kenntlich zu machen. Daher sollten Apps nicht nur über ein ordnungsgemäßes Impressum verfügen. Der für die Datenverarbeitung verantwortliche Anbieter muss auch in der Datenschutzerklärung erwähnt werden.

Für App-Entwickler und -anbieter hat der Düsseldorfer Kreis einen Leitfaden herausgegeben, damit der Datenschutz bereits in der Planungsphase berücksichtigt werden kann. Aktuell gibt es zwar keine Fassung, welche konkret auf die DSGVO zugeschnitten wurde, allerdings gibt der Leitfaden wichtige Anhaltspunkte über zu berücksichtigende Aspekte bei der App-Entwicklung.

Dieser aktualisierte Artikel wurde zuerst am 24. April 2013 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Anonymisierung, Pseudonymisierung und Verschlüsselung von Daten

Die Verarbeitung von personenbezogenen Daten unterliegt zahlreichen Beschränkungen durch die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG). Für Unternehmen ist deshalb die Beseitigung des Personenbezugs von Daten (Anonymisierung) oder aber ein erhöhter Schutz durch Unkenntlichmachung der Daten (Pseudonymisierung oder Verschlüsselung) ein interessanter Weg. Doch wie sind diese Methoden aus datenschutzrechtlicher Sicht einzuordnen?

Was sind personenbezogene Daten?

Um die Bedeutung von Anonymisierung, Pseudonymisierung und Verschlüsselung verstehen zu können, ist es zunächst wichtig, sich mit dem Personenbezug von Daten auseinanderzusetzen. Die DSGVO hat hierzu in Art. 4 eine Legaldefinition parat. Demnach sind personenbezogene Daten

„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“

Identifizierbarkeit im Sinne der DSGVO

Wenn also etwa im Rahmen einer vermeintlich anonymen Erfassung von Daten in einem Betrieb bekannt ist, dass es sich beispielsweise um eine weibliche Person handelt, die seit zehn Jahren im Betrieb beschäftigt und aktuell in der Personalabteilung angestellt ist, werden vermutlich keine weiteren Informationen notwendig sein, um darauf zu schließen, wer tatsächlich gemeint ist. Mit der Kombination bereits weniger Informationen kann die betroffene Person identifiziert werden. Die Daten sind damit personenbezogen.

Erschwerend kommt hinzu, dass es laut DSGVO nicht notwendig ist, die Person namentlich zu bestimmen. Es genügt, wenn diese anhand der Information zuverlässig als Individuum aus einer Gruppe heraus wiedererkannt werden kann. Außerdem ist nach der Rechtsprechung des Europäischen Gerichtshofes (EuGH) der Begriff der personenbezogenen Daten weit auszulegen („alle Informationen“).

Anonymisierung – Beseitigung des Personenbezugs von Daten

Handelt es sich hingegen nicht oder nicht mehr um personenbezogene Daten, so findet die DSGVO keine Anwendung und die Informationen können (zumindest aus Sicht des Datenschutzrechts) frei verarbeitet werden. Vorschriften wie beispielsweise die Zweckbindung der Datenverarbeitung oder die Einhaltung von Löschpflichten entfallen. Für Unternehmen ist deshalb die Beseitigung des Personenbezugs von Daten ein interessanter Weg.

Der vollständige Entfall des Personenbezugs kann durch Anonymisierung der Daten bewirkt werden. Anonymisierung bedeutet das Verändern der Daten in solch einer Art und Weise, dass ein Rückschluss auf die Person gar nicht oder zumindest nur noch mit unverhältnismäßig hohem Aufwand möglich ist. Was einen unverhältnismäßigen Aufwand darstellt, ist jeweils im Einzelfall zu beurteilen.

Gemäß Erwägungsgrund 26 DSGVO sind alle Mittel zu berücksichtigen, die vom Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren. Daher sollte im Zweifel immer die wirkungsvollste Anonymisierungsmethodik angewendet werden. Eine Anonymisierung ist beispielsweise das unwiederbringliche Löschen des letzten Oktetts einer IP-Adresse (beim Einsatz von Google Analytics geschieht dies durch die Einbindung von anonymizeIP). Es ist jedoch darauf zu achten, dass in den übrigen zu der jeweiligen IP-Adresse gespeicherten Daten keine eindeutigen Merkmale enthalten sind, die eine Identifikation ermöglichen.

Die Anonymisierung eines Datensatzes erfordert daher stets eine gründliche Analyse aller in einem zu anonymisierenden Datensatz enthaltenen Daten auf mögliche Alleinstellungsmerkmale eines Betroffenen; auch solcher, die erst durch Kombination zu einer Bestimmbarkeit führen. Zudem ist zu berücksichtigen, dass ein eingesetztes Anonymisierungsverfahren im Laufe der Zeit an Wirkung verliert, beispielsweise durch die Erlangung neuen Hintergrundwissens oder der Weiterentwicklung der technischen Analyseverfahren.

Mit einer wirksamen Anonymisierung geht außerdem oft ein nicht unwesentlicher Verlust von Informationen im Ergebnisdatensatz einher.

Pseudonymisierung – erhöhter Schutz von Daten

Pseudonymisierung ist gemäß Art. 4 Nr. 5 DSGVO „die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können“.

Unter Pseudonymisierung versteht man also einfacher gesagt das Ersetzen des Namens und anderer direkter Identifikationsmerkmale durch ein eindeutiges Kennzeichen. Dies dient dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. Statt des Betroffenen wird nunmehr der Datensatz eindeutig erkennbar gemacht. Das bedeutet, es gibt im Falle der Pseudonymisierung einen „Schlüssel“, um das Pseudonym den Originaldaten zuordnen zu können.

In dieser Form unterliegen die Informationen als personenbezogene Daten allerdings weiterhin dem Datenschutzrecht. Denn mit Hilfe des Schlüssels ist der Personenbezug wiederherstellbar. Die Anwendung der Pseudonymisierung auf personenbezogene Daten kann die Risiken für die betroffenen Personen nur senken und die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten unterstützen (Erwägungsgrund 28 DSGVO). In den Art. 6, 25 und 32 DSGVO wird ausdrücklich auf die Pseudonymisierung verwiesen.

Erfahren Sie mehr zur Pseudonymisierung von Daten in unserem speziellen Ratgeber zum Thema.

Verschlüsselung – stark erhöhter Schutz von Daten

Einen Mittelweg zwischen Anonymisierung und Pseudonymisierung bildet die Verschlüsselung von Daten, da hier zwar ein Schlüssel zur Wiederherstellung der Originaldaten besteht, jedoch keine Pseudonyme verwendet werden. Im Unterschied zur Pseudonymisierung wird bei der Verschlüsselung der gesamte Datensatz verschlüsselt und es werden nicht lediglich einzelne Identifikationsmerkmale durch Pseudonyme ersetzt.

Während pseudonymisierte Daten weiterhin Aussagekraft haben, ohne den Schlüssel aber keine Identifikation ermöglichen, so haben verschlüsselte Daten ohne den Schlüssel keine Aussagekraft mehr, da der „Klartext“ in unleserliche Zeichenfolgen umgewandelt wird.

Auch verschlüsselte Daten unterliegen jedoch weiterhin dem Anwendungsbereich der DSGVO. Die Information und damit der Personenbezug wird durch die Entschlüsselung wiederhergestellt. Es wird lediglich verhindert, dass ein Dritter – mangels Schlüssel – Missbrauch mit den Daten begehen kann. Wie auch die Pseudonymisierung stellt die Verschlüsselung damit (lediglich) eine Maßnahme dar, um die Sicherheit der Verarbeitung zu erhöhen. In den Art. 6, 32 und 34 DSGVO wird ausdrücklich auf die Verschlüsselung verwiesen.

Fazit: Wahl der Methoden hängt von der geplanten Nutzung der Daten ab

Während die Anonymisierung der Daten also den Personenbezug ganz beseitigt und damit die Verarbeitung dem Anwendungsbereich der DSGVO entzieht, stellen die Pseudonymisierung und die Verschlüsselung in der DSGVO vorgesehene Methoden dar, personenbezogene Daten vor Missbrauch zu schützen.

Will man also Daten außerhalb der Regeln der DSGVO verarbeiten, so muss man sie anonymisieren. Dies geschieht beispielsweise bei anonymen Umfragen zur Kundenzufriedenheit und zum Kundenverhalten. Eine so gewonnene Statistik behält Ihre Aussagekraft auch ohne den Personenbezug.

Will man besonders schützenswerte Daten nach den Regeln der DSGVO verarbeiten, so können Pseudonymisierung und Verschlüsselung Methoden zur sicheren Verarbeitung darstellen.

Eine Maßnahme bei der Speicherung von personenbezogenen Daten wäre etwa, Datensätze mit besonderen Arten personenbezogener Daten wie Gesundheitsdaten nur in pseudonymisierter Form aufzubewahren. Sollte nun unbefugt auf diese zugegriffen werden, bleibt eine Missbrauchsgefahr gering, da ohne den Schlüssel kein Personenbezug herstellbar ist.

Bei der Versendung oder dem Empfang von sensiblen Daten wie Bewerbungsunterlagen, ist als Maßnahme die Verschlüsselung zu empfehlen, so dass nur der vorgesehene Empfänger mit Hilfe des Schlüssels die Informationen wiederherstellen kann.

Je nachdem welche Verwendung für die Daten vorgesehen ist, können also eine dauerhafte Beseitigung des Personenbezugs durch Anonymisierung, oder ein erhöhter Schutz vor Missbrauch durch Pseudonymisierung oder Verschlüsselung die sinnvollste Methode sein.

Dieser aktualisierte Artikel wurde zuerst am 27. Oktober 2015 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Sie wollen ausführliche Informationen zum Datenschutz bei E-Mailmarketing und Newsletter? Dann laden Sie sich jetzt unser kostenloses Whitepaper herunter!

Geschrieben am:

Datenschutz bei Apps

Anbieter und Entwickler von Apps für Smartphones oder Tablets müssen einer großen Bandbreite von Datenschutzanforderungen gerecht werden. Die Einhaltung der Vorgaben wird durch die deutschen Aufsichtsbehörden regelmäßig kontrolliert, u. a. indem sie App-Anbieter mittels ausführlicher Prüfkataloge befragen. Am Beispiel des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) zeigt dieser Artikel, worauf App-Anbieter gute Antworten parat haben sollten und welche Kriterien sie bei der App-Entwicklung unbedingt erfüllen müssen.

Wann ist der Datenschutz bei Apps zu beachten?

Datenschutzgesetze sind immer dann anwendbar, wenn sich durch die Verarbeitung von Daten Rückschlüsse auf die Identität der betroffenen Person ziehen lassen. Nahezu jede Smartphone- oder Tablet-App erhebt, speichert oder verarbeitet in irgendeiner Form solche personenbezogenen Daten. Denn im Kontext von Apps gelten als personenbezogene Daten unter anderem:

  • IP-Adressen;
  • Geräte- und SIM-Kartenkennungen, vor allem: IMEI (International Mobile Equipment Identity, also die Gerätenummer), UDID (Unique Device ID, die Gerätenummer eines iOS-Gerätes), IMSI (International Mobile Subscriber Identity, die Kartennummer), MAC-Adresse (MediaAccessControl-Adresse, also die Hardware-Adresse eines Netzwerkadapters), MSISDN (Mobile Subscriber ISDN-Number, die Mobilfunknummer);
  • Name des Telefons, sofern er den Namen des Nutzers enthält;
  • Standortdaten, vor allem in Kombination mit IP-Adressen;
  • Audiodaten, die einen Stimmvergleich ermöglichen;
  • Aufgenommene Fotos und Filme;
  • Daten für biometrische Erkennungsverfahren wie zum Beispiel der Fingerabdruck sowie
  • Informationen zur App-Nutzung (vor allem im Bereich der Gesundheits-Apps).

Darüber hinaus ist der Zugriff einer App auf Kontaktdaten im Adressbuch, Kalendereinträge, Registrierungsdaten, Anruflisten oder Nachrichten (z. B. SMS oder E-Mails) regelmäßig eine Nutzung personenbezogener Daten.

Wer haftet für Datenschutzkonformität bei Apps?

Der Verantwortliche für die Erhebung und Verarbeitung von personenbezogenen Daten in einer App ist in aller Regel der App-Anbieter. Grundsätzlich haftet also der App-Anbieter bei Datenschutz-Verstößen und ist Adressat aufsichtsrechtlicher Maßnahmen oder Bußgelder.

Das bedeutet jedoch nicht, dass nicht auch der Nutzer einen Datenschutzverstoß begehen kann. Wird etwa die beliebte Messaging App WhatsApp auf einem dienstlichen Telefon verwendet, ohne die Weitergabe von Kontakten zu beschränken, so kann darin auch ein Datenschutzverstoß des Nutzers liegen.

Wurde die App nicht durch den Anbieter entwickelt, so muss dieser trotzdem dafür Sorge tragen, über alle Datenverarbeitungen in der App informiert zu sein und den datenschutzrechtlichen Anforderungen gerecht zu werden. Der Verweis auf Fehler des App-Entwicklers oder mangelnde eigene Kenntnisse hilft bei der Überprüfung durch die Aufsichtsbehörden nicht.

Auch wenn personenbezogene Daten in der App nicht durch den Anbieter selbst erhoben bzw. verarbeitet werden, sondern durch Dritte, bleibt der App-Anbieter im Rahmen einer Auftragsverarbeitung der Verantwortliche. Sollten dabei Cloud-Dienstleister außerhalb der EU bzw. des EWR eingesetzt werden, sind sogar zusätzliche Prüfungen seitens des App-Anbieters vorgeschrieben. Diese Anforderungen der Datenschutz-Grundverordnung (DSGVO) greifen übrigens auch dann, wenn der App-Anbieter selbst ausschließlich außerhalb des EWR Unternehmenssitze hat, die Daten aber hierzulande über Endgeräte erfasst werden.

Bei der Entwicklung von Apps sollten grundsätzlich die Prinzipien einer datenschutzgerechten Gestaltung (Privacy by Design) sowie datenschutzfreundlicher Voreinstellungen (Privacy by Default) beachtet werden. App-Entwickler sind aber vor allem dann von datenschutzrechtlichen Konsequenzen betroffen, wenn sie während der Anwendungsphase weiterhin personenbezogene Daten von App-Nutzern erhalten, weil sie zum Beispiel Fehlermeldungen zugestellt bekommen.

Datenschutz-Prüfkatalog für Apps

Mit dem Prüfkatalog für den technischen Datenschutz bei Apps mit normalem Schutzbedarf legte das BayLDA  Entwicklern und Anbietern von Apps rund 45 Fragen vor, zu denen detailliert Stellung bezogen werden musste. Die Überprüfungen der Aufsichtsbehörde basieren dabei auf der Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter des Düsseldorfer Kreises vom 16. Juni 2014. Deshalb ist davon auszugehen, dass App-Anbieter außerhalb Bayerns mit ähnlichen Fragen durch die Landesaufsichtsbehörden zu rechnen haben.

Arten personenbezogener Daten

  • Welche Nutzungsdaten werden von der App automatisch verarbeitet?
  • Welche Bestandsdaten werden von der App automatisch verarbeitet?
  • Welche Inhaltsdaten werden von der App automatisch verarbeitet?
  • Werden besondere Arten von personenbezogenen Daten eingesetzt? (Gesundheitsdaten, Kreditkartendaten, Andere)

Datenschutzbestimmungen

  • Sind die Datenschutzbestimmungen bereits im App-Store einsehbar (z. B. über die von Google bereitgestellte Funktion „Datenschutzerklärung für Entwickler“), also nicht erst nach Download und Installation der App?
  • Sind die Datenschutzbestimmungen bei erstmaliger App-Nutzung sofort einsehbar (z. B. Pop-Up oder Info-Frame)?
  • Sind die Datenschutzbestimmungen innerhalb der App leicht auffindbar und einsehbar?
  • Handelt es sich um Datenschutzbestimmungen speziell für die App und nicht solche der Webseite des Anbieters?
  • Wird in den Datenschutzbestimmungen die Erhebung, Verarbeitung und Nutzen personenbezogener Daten ausreichend beschrieben?
  • Werden in den Datenschutzbestimmungen die Berechtigungen der App inklusive deren Verwendung ausreichend beschrieben?
  • Liegt ein leicht erkennbares, unmittelbar erreichbares und ständig verfügbares Impressum vor?

Berechtigungen

  • Welche Berechtigungen erhält die App auf dem Gerät? (jeweils mit oder ohne Zugriff auf personenbezogene Daten)
  • Werden nur Berechtigungen eingefordert, die für die Funktion der App zwingend benötigt werden?
  • Wird eine (ausreichende) Einwilligung des Nutzers zuvor abgefragt?

Zugangsdaten

  • Besteht die Möglichkeit einer Registrierung und Anmeldung in der App mit eigenen Zugangsdaten (Benutzername und Passwort)? Falls ja, welche Daten werden für die Registrierung und Anmeldung genutzt:
    • Falls „Ja“, weitere Fragestellungen:
      • Werden ausreichend komplexe Passwörter (mind. 8-stellig mit Groß-/Kleinbuchstaben, Zahlen und Sonderzeichen) erzwungen/durch Darstellung empfohlen?
      • Werden keine anderen gerätebezogenen Daten (z.B. IMEI-Nummer) als Identifizierungswert im Rahmen der Authentifizierung verwendet?
      • Werden die Zugangsdaten des Nutzers lokal gespeichert?
      • Werden die Zugangsdaten im geschützten App-Bereich gespeichert?
      • Werden die Zugangsdaten mit einem für die Passwortspeicherung geeignetem kryptographisches Verfahren (z. B. KeyChain bei iOS, PBKDF2 bei Eigenimplementierung) transformiert, bevor diese lokal gespeichert werden?
      • Werden die Zugangsdaten des Nutzers auf einem Server gespeichert?
      • Werden die Zugangsdaten kryptographisch verarbeitet (d. h. nicht im Klartext) lokal gespeichert?
      • Wird ein für die Passwortspeicherung geeignetes kryptographisches Verfahren (z. B. PBKDF2 bei Eigenimplementierung) eingesetzt, um die Zugangsdaten zu speichern?
      • Werden in der App lokale Session-Timeouts in Abhängigkeit des jeweiligen Schutzbedarfs eingesetzt, die ein erneutes Einloggen nach einer gewissen inaktiven Zeit erzwingen?
      • Werden Passwörter bei der Eingabe in der App maskiert (evtl. auswählbar) um ein „Shoulder-Surfing“ zu verhindern?
      • Werden Passwörter bei einer „Passwort vergessen“-Funktion über einen zeitlich begrenzten Weblink zurückgesetzt?

Datenübertragungen

  • An welche Server werden Daten abgehend vom Gerät übertragen? (anzugeben sind: IP-Adresse/Domainname, Unternehmen/Behörde, innerhalb des EWR, Rechtsgrundlage)
  • Welche Daten werden dabei an welchen Empfänger zu welchem Zweck übertragen? (anzugeben sind: Daten, verantwortliche Stelle, personenbezogen, Zweck)
  • Erfolgt eine verschlüsselte Datenübertragung (mit HTTPS)?
  • Wird Perfect Forward Secrecy bei HTTPS eingesetzt?
  • Wird TLS1.2 bei HTTPS eingesetzt?
  • Ist SSLv2 und SSLv3 bei HTTPS deaktiviert?
  • Ist die Schlüssellänge bei asymmetrischen Verfahren ausreichend lang (4096-Bit bei RSA, 256-Bit bei EC)?
  • Wird verhindert, dass personenbezogene Daten über HTTP-GET-Parameter übertragen werden?
  • Werden vertrauenswürdige SSL-Zertifikate verwendet und diese auch zur Verhinderung von Man-In-The-Middle Angriffen überprüft?
  • Wird SSL-Pinning (feste „Verdrahtung“ des SSL-Zertifikats in der App) eingesetzt?
  • Werden Token-Werte statt Account-Daten (z. B. Kundennummer) für einen Session-Bezug zum Backend verwendet?

Speicherung von App-Daten

  • Welche Daten werden lokal auf dem Gerät gespeichert? + personenbezogen?
  • Werden personenbezogenen Daten nur gespeichert, soweit und solange sie für den Betrieb der App notwendig sind?
  • Werden Daten auf der externen SD-Karte des Geräts gespeichert (falls anwendbar)?
  • Werden die (auf der SD-Karte) gespeicherten Daten nach Deinstallation der App gelöscht (falls anwendbar)?
  • Werden Inhalts- oder Nutzungsdaten der App durch einen Cloud-Backup-Mechanismus des Endgeräts gespeichert, sofern dieser grundsätzlich vom Nutzer aktiviert ist?
  • Ist das Backend gegen Angriffe auf Basis von OWASP-Top 10 (2013) ausreichend geschützt?
  • Kann der Backend-Webserver statt über HTTPS auch über HTTP aufgerufen werden (z. B. SSL-Stripping-Angriff)?

Logging

  • Welche Logging-Varianten in der App werden in der Produktivversion eingesetzt?
  • Werden personenbezogene Daten geloggt?
  • Zulässiges Tracking (z.B. Reichweitenmessung)?
  • Werden Trackingverfahren in der App eingesetzt? (Wenn ja, welche?)
    • Falls „Ja“, weitere Fragestellungen:
      • Wird die IP-Adresse vor der systematischen Verarbeitung (z.B. Geolokalisierung) ausreichend anonymisiert?
      • Wird in den Datenschutzbestimmungen ausreichend darüber informiert?
      • Existiert für den Nutzer eine jederzeit leicht auffindbare Widerspruchsmöglichkeit (z.B. durch eine Opt-Out-Möglichkeit) innerhalb der App?
      • Existiert ggf. ein Vertrag zur Auftragsdatenverarbeitung mit dem Dienstleister (falls Reichweitenmessung nicht selbst betrieben)?
      • Werden eindeutige (Geräte-) IDs vergeben/verwendet? (IMEI, IMSI, MAC-Adresse, Unique-IDs, Andere)
      • Welche Tracking-Cookies werden eingesetzt?

In-App-Browser-Engine (z.B. Webkit)

  • Wird ein In-App Browser eingesetzt?
    • Falls „Ja“, weitere Fragestellungen:
      • Ist ein (JSON-)SSLStrip-Angriff möglich?
      • Wird der HTTP „no-store“ Header vom Backend zur Verhinderung der Speicherung von Cachedaten gesendet?
      • Ist ein Whitelist-Schema für URLs implementiert?
      • Ist ein Caching von Webformulardaten deaktiviert?
      • Ist Javascript disabled (deaktiviert), falls es nicht benötigt wird?
      • Sind Plugins disabled (deaktiviert), falls sie nicht notwendig sind?

Geolokalisierung

  • Wird in der App auf Standortdaten des Geräts zugegriffen?
    • Falls „Ja“, weitere Fragestellungen:
      • Werden Standortdaten nur in der unbedingt nötigen Auflösung („Verwaschung“) erfasst?
      • Werden genaue Standortdaten nur lokal verarbeitet („Rasterbereich“)?
      • Werden Standortdaten lokal gespeichert?
      • Werden Standortdaten an das Backend übertragen?
      • Sind die Abtastintervalle der Standortdaten so groß wie möglich?
      • Besteht die Möglichkeit, die Lokalisierung auszuschalten?

Inhaltsdaten

  • Werden in Bezug auf die Verarbeitung von personenbezogenen Inhaltsdaten die jeweiligen (ggf. besonderen) datenschutzrechtlichen Anforderungen nach dem jeweils einschlägigen Fachrecht beachtet?

Dieser aktualisierte Beitrag wurde zuerst am 30. Juni 2016 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Datenschutzanforderungen an E-Mails und deren Verschlüsselung

Datenpannen, Hacks und Datendiebstahl verursachen der Wirtschaft zunehmend empfindliche Schäden – ganz zu schweigen vom entstehenden Imageschaden. Eine ausreichende Verschlüsselung von E-Mails ist eine der wichtigsten Vorbeugungsmaßnahmen für einen solchen Datenschutznotfall. Laut Datenschutz-Grundverordnung (DSGVO) sind Verantwortliche sogar verpflichtet, ausreichende Schutzmaßnahmen zu ergreifen. Doch wie funktioniert das ganz praktisch?

Unterschiedliche Verschlüsselungsarten für E-Mails

Grundsätzlich lassen sich zwei Formen der E-Mail-Verschlüsselung unterscheiden, die Transport- und die Inhaltsverschlüsselung (auch Ende-zu-Ende-Verschlüsselung genannt).

Bei der Transportverschlüsselung ist „nur“ die Verbindung zwischen den beiden kommunizierenden E-Mail-Servern verschlüsselt. Der Inhalt bleibt jedoch weiterhin lesbar. Bildlich gesprochen, könnte man sich einen Tunnel vorstellen, durch den die Datenpakete geschickt werden. Unbefugte Dritte können nicht in den Tunnel hineinschauen, da dieser entsprechend gesichert ist. Würden Dritte sich jedoch ein Loch zum Tunnel bohren, könnten sie die Datenpakete im Klartext mitlesen. Seit der Einführung am 13. August 2018 wird im Rahmen der Transportverschlüsselung typischerweise das sog. TLS (Transport Layer Security)-Protokoll in der Version 1.3 verwendet.

Bei der Inhaltsverschlüsselung wird hingegen der versandte Inhalt als solcher codiert. In diesem Fall stellt es sich also eher so dar, dass selbst wenn der Dritte in den zuvor beschriebenen Tunnel blicken könnte, er die Datenpakete dennoch nicht mitlesen könnte, da jedes einzelne separat verschlüsselt ist. Hierbei tauschen der Sender und Empfänger zuvor verschiedene Schlüssel (einen öffentlich einsehbaren und dann einen privaten) aus, mit denen sich die Datenpakete wieder öffnen lassen. Deshalb können auch nur die Schlüssel-austauschenden-Beteiligten den versandten Inhalt wieder im Klartext lesen. Aus dem Bereich der Inhaltsverschlüsselung ist das Datenverschlüsselungsformat S/MIME ein besonders populärer Vertreter. Ein weiterer bekannter Vertreter der Inhaltsverschlüsselung ist auch noch PGP (pretty good privacy).

Rechtliche Anforderungen an die E-Mail-Verschlüsselung

Fragt man sich nun, welche Anforderungen die DSGVO aufstellt, so wird man schnell ernüchtert. Gemäß Art. 32 Abs. 1 lit. a) DSGVO heißt es da, dass der Verantwortliche unter Berücksichtigung (u. a.) des Stands der Technik und der Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen hat, um ein angemessenes Schutzniveau zu gewährleisten. Hinter dieser etwas langatmigen Erklärung verbergen sich insbesondere zwei entscheidende Aussagen:

Einerseits orientiert sich die Frage, ob eine Verschlüsselung als sicher anzusehen ist, am Stand der Technik. Eine handfeste Definition dieses Begriffs gibt es bisher nicht. Im weiteren Sinne versteht man darunter diejenigen Technologien, die auf gesicherten Erkenntnissen beruhen und in der Praxis jeweils in bereits ausreichendem Maß zur Verfügung stehen, um angemessen umgesetzt zu werden. Eine gute Erklärung des Begriffs liefert dieser Artikel des Webhostinganbieters 1&1 Ionos.

Andererseits hängt der Einsatz der Verschlüsselung davon ab, welche Risiken für eine natürliche Person daraus erwachsen, wenn ein Dritter die versandten Daten mitlesen könnte. Mit anderen Worten: Je brisanter der Inhalt (datenschutzrechtlich) ist, desto höher sind auch die technischen Anforderungen an die Verschlüsselung der E-Mail (Stand der Technik). Soll also z. B. der Befund im Rahmen einer ärztlichen Untersuchung (besonders sensible personenbezogene Daten) per E-Mail verschickt werden, müssen stärkere technische Anstrengungen unternommen werden, als wenn nur eine normale Rechnung („einfache“ personenbezogene Daten) verschickt werden soll.

Die DSGVO verschweigt auch, was denn nun (gerade) dem gegenwärtigen Stand der Technik entspricht. Eine Antwort hierauf geben aber die Datenschutzaufsichtsbehörden der deutschen Bundesländer. So ergibt sich aus einer öffentlichen Stellungnahme der Datenschutzbehörde des Bundeslandes NRW sowie aus verschiedenen Antworten der Datenschutzbehörden anderer Länder auf Anfrage der activeMind AG, dass der Stand der Technik beim Versand personenbezogener Daten mindestens eine Transportverschlüsselung ist. Bestellt jemand in einem Onlineshop z. B. ein Buch und erhält vom Verkäufer eine Bestellbestätigung per E-Mail, die typischerweise die Versandadresse und Rechnungsdaten des Empfängers enthält, so muss die Verbindung im Regelfall mindestens über TLS 1.3 gesichert sein.

Enthält die E-Mail besonders sensible Daten (Art. 9 Abs. 1 DSGVO), liegt die Messlatte höher. Als Stand der Technik wird dann eine Inhaltsverschlüsselung gefordert. Möchte der Arzt also bspw. seinem Patienten die Ergebnisse einer Blutanalyse zusenden, so müsste der Inhalt der E-Mail zur Gewährleistung der Datenschutzkonformität per S/MIME oder mit einer vergleichbaren Inhaltsverschlüsselung codiert werden. Dies erklärt sich wiederum mit dem oben erwähnten Risiko für die Rechte und Freiheiten natürlicher Personen. Denn bei sensibleren Daten drohen für das betroffene Individuum besonders schmerzhafte Risiken (z. B. Rufschädigung, breiteres Spektrum an Missbrauchsmöglichkeiten, etc.). Bekommt ein Dritter lediglich die zuvor erwähnten Rechnungsdaten in die Finger, sind die Risiken dementgegen geringer, wenn auch dennoch vorhanden.

Handlungsvorschläge für Ihre E-Mail-Verschlüsselung

Ein besonderes Problem der E-Mail-Verschlüsselung zum gegenwärtigen Zeitpunkt ist, dass sowohl Sender als auch Empfänger die notwendigen Voraussetzungen zum Ver- und Entschlüsseln der Nachrichten eingerichtet haben müssen. Allerdings haben noch nicht alle Nutzer die Bedeutsamkeit des Themas erkannt. Dabei ist die Verwendung einer Transportverschlüsselung kein Hexenwerk. Mittels dieser Anleitung lässt sich eine solche mit nur wenigen Klicks einrichten. Auch im Fall der Inhaltsverschlüsselung gibt es Hoffnung. So ist z. B. in den bekannten E-Mail-Client Microsoft Outlook von Hause aus auch eine Lösung für den Einsatz von S/MIME integriert. Unter Zuhilfenahme dieser Anleitung, lassen sich sowohl S/MIME als auch PGP auf den unterschiedlichsten E-Mail-Clients recht leicht installieren. Das Beste daran ist, dass die vorgeschlagenen Lösungen kostenlos sind.

Verfügt der Empfänger nicht über die erforderliche Verschlüsselungstechnik, so können ihm Daten zumindest komprimiert (z. B. mit 7-zip, WinRar oder WinZip) und mit einem Passwort versehen übersandt werden. Damit der Empfänger die Datei auch öffnen kann, wird das Passwort hierzu (vorzugsweise) über einen anderen Kommunikationskanal, wie z. B. SMS oder per Telefon, versandt. Aber auch in diesem Zusammenhang sollte geprüft werden, welche Komprimierungssoftware man benutzt. Unterschiede ergeben sich bei den einzelnen Anbietern insbesondere hinsichtlich der eingesetzten Verschlüsselungsstärke (z. B. 256 Bit), aber auch beim Verschlüsselungsalgorithmus (AES).

Abgesehen davon gibt es aber auch weitaus einfachere Möglichkeiten, den Schutz zu versendender E-Mails zu erhöhen. So empfiehlt die Datenschutzaufsichtsbehörde NRW, im Betreff einer Nachricht keine personenbezogenen Daten (Negativbeispiel: „Syphilisuntersuchung von Erwin Meier am 9.3.2018“), sondern neutrale Schlagwörter (z. B. „Rückmeldung zu Ihrem letzten Termin“) zu verwenden.

Um die Daten vor Veränderung auf dem Transportweg zu erschweren, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) u. a. den Einsatz einer digitalen Unterschrift. Dadurch wird auch stärker sichergestellt, dass die E-Mail tatsächlich vom angegebenen Versender stammt. Hilfreiche Hinweise zur Einführung einer solchen Unterschrift, die bei S/MIME bereits integriert ist, finden sich hier.

Arbeiten Unternehmer dauerhaft dauerhaft zusammen und versenden sie sensible Daten, sollten sich beide überlegen, ob auch mit Blick auf Haftungsfragen der Einrichtungsaufwand in Kauf genommen wird.

Datenschutzrechtliche Haftungsrisiken bei unverschlüsselten E-Mails

Werden per E-Mail versandte Daten von Dritten abgefangen oder diesen bspw. offengelegt, so steht es dem Betroffenen frei, vom Versender Schadensersatz zu verlangen. In diesem Zusammenhang sei nochmals besonders darauf verwiesen, dass es nach der DSGVO nunmehr möglich ist, auch immaterielle Schäden ersetzt zu verlangen. Denkt man z. B. an die zuvor erwähnte Syphilisuntersuchung, so könnte eine nicht wohlgesonnene Person bei Kenntnisnahme diese Informationen ohne größere Probleme in einem sozialen Netzwerk veröffentlichen. Ist der Ruf der betroffenen Person dann erst einmal durch ehrkränkende Äußerungen verletzt, so kann dieser den entstandenen Schaden vom Arzt, der seine E-Mails nicht entsprechend verschlüsselt hat, ersetzt verlangen (vgl. Erwägungsgrund 75 DSGVO). Nicht unerwähnt sollen auch die Bußgelder bleiben, die von der Datenschutzaufsichtsbehörde in diesem Zusammenhang verhängt werden können.

Fazit: E-Mail-Verschlüsselung sollte Standard sein

Den technischen Datenschutz durch E-Mail-Verschlüsselung oder wenigstens passwortgeschützten Versand personenbezogener Daten zu gewährleisten, ist kein Hexenwerk (mehr). Es kann gar nicht oft genug an Verantwortliche und insbesondere Unternehmen appelliert werden, sich mit diesem Thema intensiver zu befassen. Die wirtschaftlichen Schäden, die durch Hacking, Industriespionage, etc. entstehen, steigen von Jahr zu Jahr. Wenn man bedenkt, dass ein Unternehmer herkömmliche Briefe mit Kundendaten ja auch zuklebt, um den Inhalt vor den neugierigen Blicken Dritter zu schützen, leuchtet es nur umso mehr ein, dass dieser die Kommunikation per E-Mail ebenso schützen sollte und muss.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

DSGVO-konforme Verarbeitung im Auftrag (Einführung)

Eine Verarbeitung von Daten im Auftrag liegt in der Regel immer dann vor, wenn Sie personenbezogene Daten von einem Dienstleister weisungsgebunden bearbeiten lassen, ja selbst, wenn dieser nur Zugriff auf die Daten erhalten könnte. Typische Beispiele sind Newsletter-Systeme, Cloud-Computing oder eine externe Buchhaltung. Doch wann genau liegt eine Auftragsverarbeitung vor? Wie verhält es sich bei Dienstleistern außerhalb der EU? Welche Pflichten treffen den Verantwortlichen und den Auftragsverarbeiter nach Datenschutz-Grundverordnung (DSGVO)? Unsere kompakte Einführung verschafft Ihnen den Überblick!

Gesetzliche Grundlagen für die Auftragsverarbeitung

Eines der datenschutzrechtlichen Grundprinzipien ist das sogenannte Verbot mit Erlaubnisvorbehalt. Danach ist jeglicher Umgang mit personenbezogenen Daten ohne Rechtsgrundlage verboten. Eine solche Rechtsgrundlage kann im jeweiligen Fall insbesondere sein

  1. eine gesetzliche Erlaubnis oder
  2. eine Einwilligung des Betroffenen.

Wenn eine solche Rechtsgrundlage vorliegt, kann das Prinzip der Verarbeitung von Daten im Auftrag greifen. Diese Auftragsverarbeitung ermöglicht es, die Berechtigung zur Verarbeitung der personenbezogenen Daten auf einen Dienstleister (Auftragnehmer) zu übertragen.

Das dahinterliegende juristische Prinzip ist die sogenannte Privilegierung des Datenaustauschs zwischen Unternehmen und seinen Dienstleistern. Die Privilegierung ergibt sich aus Art. 4 Nr. 10 DSGVO, wonach Auftragsverarbeiter keine Dritten sind. Der Auftragsverarbeiter wird vielmehr rechtlich so behandelt, als wäre er Teil des Unternehmens und partizipiert an dessen rechtlichen Datenverarbeitungsgrundlagen. Die Privilegierungswirkung gilt unter der DSGVO nunmehr auch für Auftragsverarbeitungen in Drittländern.

Sonderregelungen bei Datenverarbeitungen innerhalb von Konzernen

Zu betonen ist, dass es im Datenschutzrecht kein allgemeines Konzernprivileg gibt. Mit der DSGVO kommen jedoch gewisse Erleichterungen beim Datentransfer zwischen selbstständigen Unternehmen einer zusammengehörenden Unternehmensgruppe. Eine gesetzliche Erlaubnis zur Datenverarbeitung liegt nach Art. 6 Abs. 1 lit. f DSGVO vor, wenn die Verarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist.

Nach Erwägungsgrund 48 S. 1 DSGVO kann der konzerninterne Datenaustausch für „interne Verwaltungszwecke“ ein derartiges berechtigtes Interesse darstellen. Wichtig ist, dass eine Abwägung mit den entgegenstehenden schutzwürdigen Interessen der Betroffenen stattfinden muss. Besteht im Einzelfall kein solches berechtigte Interesse, weil die schutzwürdigen Interessen der Betroffenen überwiegen, kann ein konzerninterner Datentransfer nur mittels Einwilligung des Betroffenen oder im Wege der Grundsätze der Datenverarbeitung gerechtfertigt werden.

Regelungen für die Auftragsverarbeitung in einem Drittland

Eine bedeutsame Neuerung der DSGVO betrifft die Auftragsverarbeitung in Drittländern, also Staaten außerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR). Bisher waren nach BDSG a.F. nur Auftragsverarbeitungen innerhalb der EU von den privilegierenden Regelungen gedeckt. Sobald im Rahmen einer Auftragsverarbeitung die EU/EWR-Grenzen überschritten wurden, weil der Dienstleister sich in einem Drittland befand, galt dieser nicht mehr als Auftragsverarbeiter, sondern als Dritter. Dritter ist jede Person oder Stelle, die nicht in den Kreis des verantwortlichen Auftraggebers fällt. Gegenüber einem Dritten war und ist auch nach der DSGVO die Datenverarbeitung unter den vereinfachten Bedingungen der Auftragsverarbeitung nicht möglich.

Eine Übermittlung personenbezogener Daten in ein Drittland ist allerdings nicht uneingeschränkt möglich. Sie ist nach Art. 44 DSGVO nur zulässig, wenn die weitere Verarbeitung nach den Regeln der DSGVO erfolgt und vergleichbare Schutzmechanismen dafür sorgen, dass die vorgesehenen Rechte der Betroffenen nicht ausgehebelt werden.

Eine Datenübermittlung in ein Drittland kann beispielsweise durch Angemessenheitsbeschlüsse der EU-Kommission gemäß Art. 45 DSGVO zulässig sein. Hiernach beschließt die Kommission, dass ein bestimmtes Drittland ein angemessenes Datenschutzniveau bietet. Ein weiterer Schutzmechanismus besteht nach Art. 46 DSGVO, wenn der Verantwortliche oder Auftragsverarbeiter geeignete Garantien vorsieht und den betroffenen Personen tatsächlich durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stellt. Weiterhin kann der Schutz betroffener Personen dadurch gewährleistet werden, dass die zuständige Aufsichtsbehörde gem. Art. 47 DSGVO verbindliche interne Datenschutzvorschriften genehmigt, sofern diese eine vergleichbare Schutzwirkung sicherstellen können.

Im Übrigen müssen Verantwortliche oder Auftragsverarbeiter, die keine Niederlassung in der EU haben, aber Daten von Unionsbürgern verarbeiten, nach Art. 27 DSGVO schriftlich einen Vertreter in der Union benennen. Dieser muss auch in der Union niedergelassen sein und dient als Ansprechpartner für Aufsichtsbehörden und betroffene Personen bezüglich der Datenverarbeitung.

Wann liegt eine Auftragsverarbeitung vor?

Bei einer Auftragsverarbeitung verarbeitet ein Dienstleister (Auftragsverarbeiter bzw. Auftragnehmer) personenbezogene Daten weisungsabhängig im Auftrag der verantwortlichen Stelle (Verantwortlicher bzw. Auftraggeber).

Typische Fälle einer Auftragsverarbeitung sind externe Lohn- oder Gehaltsabrechnung, Datenträgerentsorgung, Versand eines Newsletters durch eine Agentur oder Nutzung von Cloud-Diensten.

Nach Art. 29 DSGVO arbeitet der Auftragsverarbeiter grundsätzlich weisungsabhängig, es sei denn, dass der Auftragsverarbeiter nach Unionsrecht oder dem Recht des Mitgliedstaates, dem er unterliegt, zur Verarbeitung verpflichtet ist. Bei letzterem handelt es sich um eine sog. Öffnungsklausel. Diese gesetzlichen Ausnahmeklauseln erlauben Mitgliedsstaaten abweichende oder ergänzende Regelungen zur Datenschutz-Grundverordnung vorzunehmen. Im Falle des Art. 29 DSGVO handelt es sich jedoch nur um eine „unechte Öffnungsklausel“: Mitgliedstaaten können nicht grenzenlose Verarbeitungspflichten bestimmen. Stattdessen dürfen Mitgliedstaaten nur dann Verarbeitungspflichten auferlegen, wenn es bereits eine in der DSGVO normierte Verarbeitungsgrundlage gibt. Die Mitgliedstaaten dürfen dann nur regeln, dass für diese bereits in der Verordnung gesetzlich legitimierten Verarbeitungsgrundlagen keine Weisung erforderlich ist. Es bleibt daher abzuwarten, ob die Mitgliedstaaten von dieser Öffnungsklausel überhaupt Gebrauch machen werden. Im neuen deutschen Datenschutzrecht (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) ist noch keine solche Ausnahmeregelung vorgesehen.

Der Auftragsverarbeiter ist gem. Art. 4 Nr. Nr. 8 DSGVO im Gegensatz zum Verantwortlichen derjenige, der nicht „allein oder gemeinsam mit anderen über Zwecke und Mittel der Verarbeitung entscheidet“. Ausschlaggebend ist also, wer faktisch und tatsächlich über die Zwecke und Mittel der Verarbeitung entscheidet. Ob vertraglich lediglich eine Verarbeitung im Auftrag vereinbart wurde, ist unerheblich. Verletzt der Auftragsverarbeiter die Voraussetzungen für die Auftragsverarbeitung, indem er selbst wie ein Verantwortlicher auftritt und über Zweck und Mittel der Datenverarbeitung entscheidet, ist dieser gleich einem Verantwortlichen zu behandeln.

Jemand, der im Rahmen eines Auftragsverarbeitungsvertrages personenbezogene Daten verarbeitet, ist somit nach der DSGVO entweder Verantwortlicher oder Auftragsverarbeiter. Aufgrund dessen entfällt der im Rahmen des alten BDSG verwendete Begriff der „Funktionsübertragung“. Bei der Funktionsübertragung handelte es sich um einen Dienstleister, der im Auftrag Daten verarbeitete, jedoch über einen eigenen Entscheidungsspielraum verfügte. Zum Zwecke der Rechtssicherheit sollte von dem Begriff nicht länger Gebrauch gemacht werden.

Praxistipp zur Erfassung von Auftragnehmern

Um festzustellen, mit welchen Dienstleistern ein Auftragsverarbeitungsverhältnis vorliegt, hat es sich als praktikabel erwiesen, aus der Buchhaltung eine Abrechnungsliste anzufordern. Prüfen Sie anhand dieser Liste, wer personenbezogene Daten verarbeitet. Mit diesen Dienstleistern ist ggf. ein Vertrag zur Auftragsverarbeitung zu schließen.

Wann liegt keine Auftragsverarbeitung vor?

Keine Auftragsverarbeitung liegt vor, wenn der Dienstleister eigenverantwortlich mit den ihm anvertrauten Daten umgeht. Der Auftraggeber überlässt dem Dienstleister die inhaltliche Ausgestaltung, also Entscheidung über Mittel und Zweck der Datenverarbeitung. Über Weisungs- und Kontrollrechte gegenüber dem Dienstleister verfügt der Auftraggeber weder rechtlich noch tatsächlich. Klassische Fälle sind die Finanz-, Steuer- oder Unternehmensberatung.

Umstritten ist, ob eine Auftragsverarbeitung auch dann vorliegt, wenn der Zugriff auf Daten nur in beiläufiger Weise erfolgen kann, wie dies zum Beispiel bei Reinigungskräften oder Kurierdiensten der Fall ist. Hier sollte eine Einzelfallprüfung erfolgen.

Wer ist bei der Auftragsverarbeitung verantwortlich?

In erster Linie ist, wie es der Name schon sagt, der Verantwortliche gem. Art. 24 DSGVO für die Datenverarbeitung verantwortlich. Er hat dafür Sorge zu tragen, dass die Verarbeitung rechtmäßig erfolgt. Dabei hat er Art, Umfang, Umstände und Zwecke der Verarbeitung sowie Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen und hierfür geeignete technische und organisatorische Maßnahmen umzusetzen.

Dem Verantwortlichen obliegt zudem eine Auswahlverantwortung. Der Verantwortliche darf nur mit Auftragsverarbeitern arbeiten, die gem. Art. 28 Abs. 1 DSGVO hinreichend garantieren können, dass „geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen“ der DSGVO erfolgt und die Rechte der betroffenen Personen geschützt werden.

Eine solche hinreichende Garantie bietet die Einhaltung genehmigter Verhaltensregeln gem. Art. 40 DSGVO oder ein genehmigtes Zertifizierungsverfahren gem. Art. 42 DSGVO (z. B. ISO/IEC 27002). Ein Verstoß gegen die Auswahlverantwortung kann mit einer Geldbuße bis zu 10.000.000 Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres (je nachdem welcher der Beträge höher ist) sanktioniert werden.

Wie funktioniert die Auftragsverarbeitung?

Um eine Verarbeitung von Daten im Auftrag datenschutzkonform umzusetzen, sind mehrere Schritte notwendig. Mit dem Dienstleister ist zunächst ein Vertrag zur Auftragsverarbeitung (AV-Vertrag) zu schließen. Dies kann als Einzelvertrag oder als Anlage zum Hauptvertrag erfolgen. Die einzelnen Rechte und Pflichten beider Parteien regelt Art. 28 DSGVO. Die dort aufgeführten Mindestanforderungen müssen im AV-Vertrag enthalten sein, sie können und sollten einzelfallbezogen vertraglich ausgestaltet werden.

Die DSGVO sieht – anders als das BDSG – keine ausdrückliche fortwährende Prüfungspflicht vor. Art. 28 DSGVO bestimmt jedoch, dass eine Auftragsverarbeitung nur mit einem geeigneten Auftragsverarbeiter erfolgen darf, der hinreichend Garantien bietet. Dies ist so zu verstehen, dass die Auswahlpflicht nicht nur für den Beginn des Auftrags, sondern über die Dauer des Vertrags besteht. Der Verantwortliche muss sich also dauerhaft vergewissern, dass der Auftragsverarbeiter zur Verarbeitung geeignet ist.

Fallen die hinreichenden Garantien nachträglich weg oder erweist sich, dass die erforderlichen Garantien tatsächlich nicht eingehalten werden, ist die Auftragsverarbeitung nicht mehr von der datenschutzrechtlichen Privilegierung gedeckt.

In unserem Special zum Thema Auftragsverarbeitung finden Sie kostenlose Vorlagen, Checklisten und andere Hilfsmittel für Ihre DSGVO-Compliance!

Geschrieben am: