Bestellung eines externen Datenschutzbeauftragten

Wenn Sie auf einen Experten als externen Datenschutzbeauftragten für Ihr Unternehmen setzen wollen, gilt es diesen sorgfältig auszuwählen und anschließend rechtskonform zu bestellen. Das hier beschriebene Best-Practice-Vorgehen hilft Ihnen dabei, den passenden Datenschutzbeauftragten für Ihr Unternehmen zu finden und eine optimale Zusammenarbeit zu beginnen.

1. Schritt: Auswahl des geeigneten Datenschutzbeauftragten

Wenn Sie sich im Unternehmen entschieden haben, anstelle eines Mitarbeiters (als betrieblichen Datenschutzbeauftragten) lieber einen Experten als externen Datenschutzbeauftragten zu bestellen, sollten Sie bei der Auswahl des geeigneten Dienstleisters mindestens auf folgende Merkmale achten:

  • Die als externe Datenschutzbeauftragte zu bestellenden Mitarbeiter des Anbieters verfügen über eine entsprechende juristische Qualifikation mit Spezialisierung auf das Datenschutzrecht und die datenschutzrechtlichen Nachbargebiete. Datenschutz ist Querschnittsmaterie, deshalb werden über das Datenschutzrecht hinaus etwa Kenntnisse im Arbeitsrecht, öffentlichem Recht, Lauterkeitsrecht, Telekommunikationsrecht, etc. benötigt.
  • Der Anbieter hat Mitarbeiter, die umfassende IT-Kenntnisse vorweisen können. Denn nur so kann der Datenschutzbeauftragte Ihre IT überhaupt richtig prüfen und Ihnen bei der konkreten Umsetzung der gesetzlichen Vorgaben in Ihrem Unternehmen helfen.
  • Das Team des Anbieters verfügt nachweislich über eine mehrjährige Berufserfahrung im Bereich Datenschutz und Informationssicherheit, damit alle Beratungsprozesse möglichst hochgradig optimiert sind.
  • Der Anbieter kann Erfahrungen aus Ihrer Branche vorweisen, so dass etwaige Spezialisierungen Ihres Geschäftsmodells nicht zu unerwarteten Hindernissen werden.
  • Die Integration des internationalen Datenschutzrechts ist beim Anbieter eingeschlossen, damit Sie beim Einsatz von Cloud-Computing, Datentransfers in die USA oder dem Einsatz von Software-as-a-Service (SaaS) datenschutzkonform arbeiten können.
  • Im Idealfall gestaltet der Anbieter seine Leistungs- bzw. Kostenstruktur transparent (z. B. als Datenschutz-Flatrate), so dass Sie vor Kostenfallen bzw. bösen Überraschungen sicher sind.

Lesen Sie hier, worauf Sie beim Vergleich mehrerer Anbieter und der Auswahl eines externen Datenschutzbeauftragten achten sollten.

2. Schritt: Kick-off-Meeting & Dokumentenprüfung

Nachdem Sie sich für das zu Ihrem Unternehmen passende Angebot entschieden haben, sollte eine Art Kick-off-Meeting stattfinden. Bei dieser ersten Besprechung (vor Ort) werden Ihr Management und andere Verantwortliche

  • über die rechtlichen und tatsächlichen Anforderungen des Datenschutzes und der damit zusammenhängenden Fragen der Datensicherheit informiert
  • und auf die zu erfüllenden Aufgaben vorbereitet.

Zu diesem Kick-off-Meeting sollten Sie dem Datenschutz-Dienstleister vorhandene Unterlagen über den aktuellen organisatorischen und technischen Status im Bereich Datenschutz und IT-Sicherheit vorlegen können. Manche Anbieter wollen diese Unterlagen bereits vorab sichten. Sie können in der Regel anonymisiert und von Geschäftszahlen bereinigt sein.

Der zukünftige externe Datenschutzbeauftragte wird diese Unterlagen sichten, bewerten und auf Vollständigkeit sowie Rechtskonformität überprüfen. Dabei prüft er unter Umständen auch gleich die Website Ihres Unternehmens mit.

3. Schritt: Datenschutz-Audit

Als nächster Schritt bei der Bestellung des externen Datenschutzbeauftragten folgt das Datenschutz-Audit direkt bei Ihnen im Unternehmen. Das Audit sollte an dem Standort erfolgen, an dem die maßgebliche Unternehmens-IT betrieben wird, damit sich die Prüfer einen konkreten Eindruck verschaffen können.

Im Rahmen des Datenschutz-Audits werden mit unterschiedlichen Verantwortlichen – insbesondere aus den Bereichen IT, Personal, Marketing und Vertrieb – Fragen zu IT-Sicherheitsmanagement, Datenschutzmanagement und Gebäudesicherheit abgeklärt.

Das Audit dient dazu, den Ist-Zustand im Bereich des Datenschutzes zu dokumentieren. Es werden die im Unternehmen bereits getroffenen und noch umzusetzenden Maßnahmen erfasst, die für einen datenschutzkonformen Zustand erforderlich sind.

Im Idealfall prüfen die Experten des Datenschutz-Anbieters nach anerkannten und systematischen Kriterien, etwa den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Davon können Sie ausgehen, wenn ein entsprechend zertifizierter Auditor dabei ist.

4. Schritt: Auditbericht & Maßnahmenkatalog

Der folgende Auditbericht stellt gewissermaßen die Arbeitsgrundlage für den zu bestellenden externen Datenschutzbeauftragten dar. Dieser kann daraus die fortlaufende Verbesserung der datenschutzrechtlichen Situation in Ihrem Unternehmen herleiten bzw. herbeiführen. Dafür sollte der Bericht

  • eine ausführliche Beschreibung der beim Audit vorgefundenen datenschutzrechtlichen Situation im Unternehmen beinhalten und
  • zu den einzelnen Befunden jeweils eine Handlungsempfehlung geben.

Bei sehr guten Datenschutz-Anbietern sind die Handlungsempfehlungen im Auditbericht mit verschiedenen Prioritätsstufen und Reifegraden versehen. Dadurch können Sie schnell erkennen, ob die Umsetzung die Erfüllung des gesetzlich geforderten Mindeststandards darstellt oder ein darüberhinausgehendes Datenschutz- und Informationssicherheitsmanagement verwirklicht.

5. Schritt: Bestellung des externen Datenschutzbeauftragten

Nach diesen wichtigen Vorbereitungsschritten sind Sie soweit: Sie können den Experten des Anbieters als externen Datenschutzbeauftragten bestellen. Die Bestellung als formaler Akt sollte dokumentiert erfolgen (z. B. mit unserer Vorlage zur DSB-Bestellung).

Je nach Anbieter kann es sein, dass Sie hierbei zwischen verschiedenen Tarifen wählen können, z. B. von der einfachen Umsetzung der gesetzlichen Mindestanforderungen bis hin zum proaktiven Datenschutz-Management. Bei der Entscheidungsfindung sollten Sie vor allem folgende Aspekte beachten:

  • Wie viele Aufgaben wollen Sie an den externen Datenschutzbeauftragten delegieren – und wie viele können Sie überhaupt intern erledigen?
  • Ist Ihr Unternehmen in einer hinsichtlich des Datenschutzes besonderen Branche (z. B. Finanzen, Gesundheit, Online-Marketing) tätig?
  • Verfügt Ihr Unternehmen über mehrere Standorte, ggfs. sogar im Ausland bzw. handelt es sich um einen Konzern?

Fazit: Machen Sie den Datenschutz zur Chefsache

Die geschilderten fünf Schritte sind ein prototypischer Weg zur Bestellung eines externen Datenschutzbeauftragten im Unternehmen. Die Vorschläge beruhen auf der langjährigen Praxis der activeMind AG in diesem Bereich. Andere Anbieter können durchaus andere Wege nehmen.

Als Unternehmer sollten Sie jedoch darauf achten, dass Ihr Weg zum externen Datenschutzbeauftragten ähnlich systematisch erfolgt. Denn nur systematisch umgesetzter und entsprechend dokumentierter Datenschutz macht Ihr Unternehmen rechtskonform – und verschafft Ihnen darüber hinaus einen Wettbewerbsvorteil. Selbst wenn Ihnen das Thema Datenschutz also lästig erscheinen sollte, die Bestellung eines externen Datenschutzbeauftragten sollten Sie zur Chefsache machen!

Dieser aktualisierte Artikel wurde zuerst am 5. Dezember 2016 veröffentlicht.

Unser Vorgehen überzeugt Sie? Dann lassen Sie sich von uns ein individuelles Angebot für Ihren externen Datenschutzbeauftragten erstellen!

Datenschutzkonforme Internetwerbung für Kinder und Jugendliche

Kinder und Jugendliche sind eine stark umworbene Zielgruppe für Werbung – insbesondere online. Denn Minderjährige verfügen nicht nur selbst über eine gewisse Kaufkraft, sondern beeinflussen in beachtlichem Maße auch Kaufentscheidungen der Erwachsenen in ihrem Umfeld. Der Gesetzgeber stellt Kinder und Jugendliche jedoch unter einen besonderen Schutz, weshalb bei allen Erhebungen und Verarbeitungen personenbezogener Daten von Minderjährigen besondere Datenschutzregeln gelten.

Warum gelten für Minderjährige zusätzliche Datenschutzvorgaben?

Marketing bzw. Werbung soll zum einen die Kaufentscheidungen von Kindern und Jugendlichen bzw. der zugehörigen Erwachsenen beeinflussen. Zum anderen wird versucht, junge Menschen so früh wie möglich an Marken zu binden, um in ihnen im Erwachsenenalter treue Kunden zu haben. Darum entwickeln Unternehmen spezielle Strategien, um insbesondere Kinder und Jugendliche so tief wie möglich beeinflussen zu können. Sehr begeisterungsfähig und selten kritisch, bilden diese schließlich eine denkbar attraktive Zielgruppe.

Werbung will Wünsche wecken und die Konsumenten dazu in eine Fantasiewelt entführen, wo ihnen teilweise wahre Wunder versprochen werden. Erwachsene können zwischen diesen Fantasien und der Realität unterscheiden. Kinder besitzen die nötige kritische Unterscheidungsfähigkeit dagegen zunächst überhaupt nicht, sondern bilden diese erst nach und nach aus.

Insbesondere im Internet fällt es Kindern schwer, Werbung als solche zu identifizieren. Hier tarnt sie sich in kostenlosen Online-Games, Gewinnspielen, Kinderklubs und vermeintlichen „Empfehlungen“ von Freunden in sozialen Netzwerken.

Es ist auch unklar, ab wann Minderjährige vollumfänglich verstehen, was es bedeutet, wenn sie eine Einwilligungserklärung abgeben, um Zugang zum gewünschten Ziel zu erhalten. Denn selbst für Volljährige sind die Datenschutzbestimmungen in Einwilligungserklärung nicht selten zu kompliziert.

Außerdem setzen Unternehmen im Internet auf stark personalisierte Werbung. Um an die Wünsche und Vorlieben eines konkreten Nutzers angepasste Werbung platzieren zu können, müssen Anbieter ihre Anwender so genau wie möglich kennen. Das artet in einer wahren Datensammelwut aus, die auch vor Kindern und Jugendlichen nicht Halt macht.

Deshalb sieht der Gesetzgeber für Werbetreibende im Umgang mit Minderjährigen besondere Regeln vor. Die Grundlagen dafür finden sich im Gesetz gegen den unlauteren Wettbewerb (UWG), im Telemediengesetz (TMG), im Jugend-Medienschutz-Staatsvertrag (JMStV) sowie in der EU-Datenschutz-Grundverordnung (DSGVO).

Datenschutzvorgaben für Onlineangebote für Minderjährige

Wie können Onlineinhalte und insbesondere Werbung, die sich an Kinder und Jugendlich richten, also so gestaltet werden, dass sie datenschutzrechtliche Kriterien erfüllen? Auf folgende Punkte sollten Sie besonders achten:

Datenvermeidung und Datensparsamkeit

Art. 5 Abs. 1 lit c) DSGVO nennt die Prinzipien der Datenvermeidung und Datensparsamkeit mit der zentralen Fragestellung: Welche Daten brauche ich, um den angebotenen Dienst erbringen zu können? Nicht wenige Anbieter beantworten diese Frage mit „so viel wie möglich“. Je mehr man weiß, umso besser kann man seine Leistung schließlich an einen Nutzer anpassen. Aber auch schon bei erwachsenen Anwendern hat das Gesetz eine strenge Definition der Erforderlichkeit einer Datenerhebung.

Das bedeutet: erforderlich sind nur diejenigen Daten, ohne deren Kenntnis die Bereitstellung der Dienstleistung nicht möglich wäre. Erst recht bei Angeboten für Kinder dürfen darüber hinaus keine Daten erhoben werden.

Das TMG konkretisiert in § 13 Abs. 6, dass die Nutzung von Onlineangeboten und deren Bezahlung soweit möglich und zumutbar anonym oder unter Nutzung eines Pseudonyms ermöglicht werden muss. Für die meisten Dienste reicht die Angabe einer E-Mail-Adresse völlig aus. Davon, zur Angabe von personenbezogenen Daten von Freunden aufzufordern, sollte völlig abgesehen werden.

Einwilligung

Experten sind sich nicht einig, ab wann Kinder einschätzen können, was es bedeutet, in die Nutzung von persönlichen Daten einzuwilligen. Viele sind der Ansicht, dass dieser Reifeprozess sehr individuell sein kann. Damit eine Einwilligung gültig ist, muss sie informiert und freiwillig erfolgen. Der Betroffene muss umfänglich verstehen, welche Daten genau von ihm erhoben werden und was damit geschieht. Die Information darüber darf also nicht zu übersehen und klar verständlich sein.

Durch Art. 8 Abs. 1 DSGVO wurde nun erstmals ein Mindestalter für Einwilligungen festgelegt. Ein besonderer Schutz soll erst dann nicht mehr notwendig sein, wenn die einwilligende Person das 16. Lebensjahr vollendet hat.

Richtet sich demnach das Angebot direkt an Kinder bzw. Jugendliche, so können diese selbst nur dann eine informierte und freiwillige Einwilligung abgeben, soweit sie das sechzehnte Lebensjahr vollendet haben. Ist dies nicht der Fall, bedarf es der Zustimmung durch die Eltern bzw. deren Beisein.

Hiervon abweichend können die Mitgliedstaaten Regelungen treffen, die das Mindestalter senken. Jedoch darf das Mindestalter nie unter dem vollendeten dreizehnten Lebensjahr liegen. Deutschland hat bisher nicht von dieser Öffnungsklausel der DSGVO Gebrauch gemacht. Anders zum Beispiel Österreich, das in § 4 Abs. 4 DSG (Datenschutzgesetz) ein Mindesteinwilligungsalter von 14 Jahren vorsieht.

Art. 8 DSGVO modifiziert die Anforderungen an eine wirksame Einwilligung nach Art. 7 DSGVO. Alle Voraussetzungen müssen kumulativ vorliegen. Eingegrenzt wird der Anwendungsbereich des Art. 8 DSGVO durch das Erfordernis eines Angebots von Diensten der Informationsgesellschaft. Bezüglich der Begrifflichkeit wird hierzu in Art. 4 Nr. 25 DSGVO auf Art. 1 Nr. 1 lit b) der Richtlinie 2015/1535 verwiesen. Dienst meint dabei jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung. Insbesondere fallen darunter E-Commerce, Streaming-Dienste, der Download von Onlineinhalten, aber auch der Beitritt zu sozialen Netzwerken.

In der Praxis ist vor allem interessant, welche Anforderungen an die Nachweispflicht des Einwilligungsempfängers gestellt werden. Hierzu wird in Art. 8 Abs. 2 DSGVO eine Aussage getroffen. Demnach werden von dem für die Datenverarbeitung Verantwortlichen angemessene Anstrengungen unter Berücksichtigung der verfügbaren Technik abverlangt, um herauszufinden, ob die Einwilligung durch die Eltern oder in deren Beisein erteilt wurde. Hieraus lässt sich der Schluss ziehen, dass ein bloßer Hinweis auf das notwendige Mindestalter vor elektronischer Einholung einer Einwilligung nicht ausreicht. Es empfiehlt sich, stets das Alter abzufragen. Sollte dann die Einwilligung der Eltern eingeholt werden müssen, kann dies z. B. durch Zusendung eines Dokuments oder dem Double-opt-in-Verfahren mit der E-Mail-Adresse der Eltern realisiert werden. Ein wirklich praxistaugliches Legitimationsverfahren besteht jedoch nicht.

Schwierig wird künftig auch zu beurteilen sein, ob sich ein Angebot direkt an ein Kind richtet oder nicht. Dem Wortlaut „direkt“ muss hierbei Rechnung getragen werden. Nicht umfasst werden folglich Angebote, die zwar einen Bezug zu Minderjährigen haben, diese aber nicht direkt ansprechen (z. B. Dienstleistungen und Waren für Kinder, die sich eigentlich auf unbeschränkt geschäftsfähige Personen beziehen). Es ist stets danach zu fragen, ob sich das Angebot typischerweise auch an Kinder richtet bzw. ob dieses regelmäßig von Kindern in Anspruch genommen wird.

Verbot unlauterer und aggressiver geschäftlicher Handlungen

Das UWG spricht in § 3 Abs. 4 und 4a Abs. 2 S. 2 vom Verbot unlauterer und aggressiver geschäftlicher Handlungen. Beide lauterkeitsrechtlichen Vorschriften stellen auch auf das Alter des Adressaten ab. Hierbei darf die geschäftliche Unerfahrenheit aufgrund des Alters nicht durch unlautere oder aggressive Handlungen beeinflusst werden.

Fazit: Die kindgerechte Gestaltung von Onlineinhalten ist möglich

Internetangebote sollten immer so gestaltet sein, dass der Nutzer Herr der Situation und seiner Daten bleibt. Das bedeutet, dass er jederzeit bewusst entscheiden kann, bestimmte Angebote zu nutzen oder nicht – und dafür eindeutig darüber informiert ist, was ihn bei der Nutzung erwartet.

Erst recht bei Kindern ist eine besondere Sorgfalt notwendig, um diese nicht in unfreiwillig entstandene Situationen zu führen. Damit ist nicht nur gemeint, dass Websites und andere Onlineinhalte für Kinder und Jugendliche nicht irreführend gestaltet sein dürfen. Dies beinhaltet unter anderem auch, dass Werbung deutlich erkennbar vom redaktionellen Inhalt getrennt sein muss und Links eindeutig erkennen lassen, zu welchem Ziel sie führen.

Es ist auch notwendig, dass die Informationen, die ein Betreiber zu seinem Angebot bereitstellt – wie etwa die Datenschutzbestimmungen und die Allgemeinen Geschäftsbedingungen – für Kinder verständlich formuliert sind.

Dieser aktualisierte Artikel wurde zuerst am 27. September 2012 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Tell-a-Friend ist Spam: BGH-Urteil zu Freundschaftswerbung

Der Bundesgerichtshof hat mit Urteil vom 12. September 2013 (Az.: I ZR 208/12) entschieden, dass sogenannte Empfehlungs-E-Mails nichts anderes als unverlangte Werbe-E-Mails sind. Richtet sich solch eine Nachricht an einen Gewerbetreibenden oder auch freiberuflich Tätigen, stellt dies einen rechtswidrigen Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb dar.

Empfehlungs-E-Mails sind solche, mit denen Besucher einer Webseite andere Personen auf den Inhalt dieser Webseite aufmerksam machen („Tell-a-friend“). Hierzu bieten zahlreiche Unternehmen auf Ihren Webseiten eine entsprechend komfortabel ausgestaltete Weiterempfehlungsfunktion an. Nutzer müssen nur die E-Mail-Adresse des Empfängers, teilweise auch noch die eigene Adresse eingeben und schon lässt sich eine Empfehlungsnachricht absenden.

Der BGH kam zu dem Schluss, dass solch eine Empfehlungs-E-Mail einer unverlangten Werbe-E-Mail eines Unternehmens (Spam) gleichzusetzen ist. Jede E-Mail, die zumindest mittelbar der Absatzförderung dient, stellt ohne vorherige ausdrückliche Einwilligung eine unzumutbare Belästigung dar und ist grundsätzlich rechtswidrig, § 7 Abs. 2 Nr. 3 UWG. Dieser Grundsatz wird analog auf die Empfehlungs-E-Mail angewandt. Denn auch hier mangelt es erfahrungsgemäß an einer ausdrücklichen Einwilligung des Adressaten in die Zusendung von „Unternehmensinformationen“.

Richtet sich eine solche Empfehlungs-E-Mail an einen Unternehmer (im konkreten Fall einen Rechtsanwalt) erfolgt die E-Mail-Werbung betriebsbezogen und beeinträchtigt den Betriebsablauf im Unternehmen und stellt im Ergebnis einen rechtswidrigen Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb dar. Der Adressat muss die einzelnen Werbemails sichten und falls erforderlich Widerspruch gegen die weitere Zusendung einlegen. Dies ist eine unzumutbare Belästigung und damit einen abmahnfähigen Verstoß gegen das Wettbewerbsrecht.

Ausschlaggebend für die Haftung ist bereits das reine Zur-Verfügung-stellen der Weiterempfehlungsfunktion. Dass der Versand durch einen Dritten vorgenommen wird ist nicht maßgeblich. Unternehmen, die weiterhin eine Weiterempfehlungsfunktion auf ihrer Webseite nutzen, können damit auf Unterlassung in Anspruch genommen werden und möglicherweise kostenpflichtig abgemahnt werden.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.