Einwilligungserklärung gemäß DSGVO (Anleitung)

Wer personenbezogene Daten verarbeiten (also: erheben, speichern, auswerten etc.) möchte, braucht dafür eine Rechtsgrundlage. Entweder muss ein Gesetz die Verarbeitung im gegebenen Fall ausdrücklich erlauben bzw. sogar vorschreiben – oder es ist vor Beginn der Datenverarbeitung eine Einwilligung der betroffenen Person notwendig.

Für eine rechtskonforme Einwilligung nach EU-Datenschutz-Grundverordnung (DSGVO) sind jedoch einige wichtige Punkte zu beachten.

Tipp: Lesen Sie in unserem Ratgeber, ob eine Einwilligung überhaupt die passende Rechtsgrundlage für Ihre Datenverarbeitung ist.

DSGVO-Anforderungen an eine rechtskonforme Einwilligungserklärung

Wie eine rechtskonforme Einwilligungserklärung grundsätzlich auszusehen hat, beschreiben die Art. 7 DSGVO und Art. 4 Nr. 11 DSGVO. Demnach sind die folgenden sieben Punkte besonders zu beachten:

1. Form der Einwilligung

Eine Einwilligungserklärung bedarf nicht zwingend der Schriftform. Eine Einwilligung kann auch mündlich, elektronisch oder etwa in Textform erklärt werden. Jede Form bringt jedoch eigene Vor- und Nachteile mit sich, insbesondere was die Nachweisbarkeit betrifft.

Wichtig ist jedoch, dass die Einwilligungserklärung klar verständlich und eindeutig formuliert sein muss. Zur Erhöhung der Verständlichkeit darf man sich dabei visueller Elemente bedienen. Optisch muss die Einwilligungserklärung klar von anderen Sachverhalten abgegrenzt werden.

Mittels schriftlicher Erklärung können Verantwortliche in jedem Fall die Zustimmung der Betroffenen nachweisen und kommen zudem ihrer Rechenschaftspflicht nach Art. 5 Abs. 3 DSGVO nach. Schriftliche Einwilligungserklärungen sind demnach in den meisten Fällen zu bevorzugen.

2. Informiertheit der Einwilligung

Betroffene müssen verstehen, worauf sie sich einlassen. Die betroffene Person muss also vor Erklärung der Einwilligung darüber informiert werden, auf welche konkrete personenbezogenen Daten sich ihre Erklärung bezieht und was der vorgesehene Zweck der Verarbeitung ist. Bedeutung und Tragweite ihrer Erklärung muss die betroffene Person erkennen und gerade darin einwilligen wollen.

Die Einwilligungserklärung muss ebenfalls zum Ausdruck bringen, dass sich bei Nichtabgabe keinerlei Nachteile ergeben und dass sie jederzeit frei widerruflich ist. Der Inhalt der Einwilligung selbst muss deutlich sein und darf nicht versteckt oder unter erschwerten Bedingungen, etwa erst durch mehrfache Verweise, zugänglich sein.

Tipp: Mehr dazu erfahren Sie in unserem ausführlichen Beitrag zur informierten Einwilligung nach DSGVO.

Die Einwilligungserklärung darf, unter Zurverfügungstellung des entsprechenden Links, auf die Datenschutzerklärung oder Allgemeine Geschäftsbedingungen (AGB) verweisen. Diese müssen ebenfalls den Anforderungen einer rechtmäßigen Einwilligungserklärung genügen. Hierbei ist darauf zu achten, dass kein Formbruch erfolgt. Beispielsweise darf in einem analogen Einwilligungsdokument nicht einfach ein Link auf eine mitgeltende Datenschutzerklärung abgedruckt sein. Es gilt die Vorgabe, dass der Inhalt, auf welchen sich die Erklärung bezieht, vor Abgabe durch die einwilligende Person zur Kenntnis gelangen kann. Die Information kann nicht nachgeholt werden, da die Informiertheit Voraussetzung für die Abgabe der Zustimmung ist. Praktikabel und empfehlenswert ist es, die einseitige Informationspflicht des Verantwortlichen nach Art. 12 ff. DSGVO bei Einholung der Einwilligung zu integrieren. In der Regel sind darin alle Informationen enthalten, die es für eine informierte Einwilligung bedarf.

3. Freiwilligkeit der Einwilligung

Die Einwilligung muss auf dem freien Willensentschluss der Betroffenen beruhen. Das Ausbleiben einer Drohung genügt dabei nicht. Vielmehr muss die betroffene Person eine echte Wahlfreiheit haben und die Einwilligung ohne zu erleidende Nachteile verweigern können. Betroffene sind darauf hinzuweisen, dass die Einwilligung ohne negative Konsequenzen verweigert werden darf.

Die Einwilligungserklärung ist insbesondere dann unfreiwillig, wenn die betroffene Person in ihrer Entscheidungsfreiheit eingeschränkt wird. Solche Fälle sind vor allem bei sozialen Abhängigkeitsverhältnissen anzunehmen. Ein solches besteht etwa bei Arbeitsverhältnissen. Eine Einwilligungserklärung ist dabei nicht pauschal unfreiwillig, jedoch ist die Besonderheit zu berücksichtigen, dass Angestellte glauben könnten, dass eine unterlassene Einwilligungserklärung Erschwernisse für den beruflichen Werdegang mit sich bringen kann. In solchen Situationen ist es umso wichtiger, den Betroffenen zu verdeutlichen und zu gewährleisten, dass eine unterbliebene Einwilligungserklärung keine direkten oder indirekten Nachteile mit sich bringt.

Überrumplungssituationen deuten ebenfalls oft auf Unfreiwilligkeit hin, da die betroffene Person daran gehindert wird, den Umfang und die Bedeutung der Einwilligung zu erfassen. Als Überrumplung sind nicht nur solche Situationen zu verstehen, die einen zeitlichen Druck mit sich bringen, sondern auch dann, wenn eine nahestehende Person die Einwilligung fordert und der Betroffene sich zur Einwilligung verpflichtet fühlt, um das Vertrauensverhältnis nicht zu zerrütten.

Nach Art. 7 Abs. 4 DSGVO wird widerleglich vermutet, dass die Einwilligung in die Verarbeitung von Daten, die zur Erfüllung eines Vertrags nicht erforderlich sind, nicht freiwillig ist. Erforderlich bedeutet, dass die Vertragserfüllung ohne die Daten nicht realisierbar ist. Diese Konstellation ist heutzutage insbesondere bei Online-Dienstleistungen sehr präsent. Dabei beruht das Geschäftsmodell auf der Grundlage, dass die Dienstleistung gegen Abgabe von Daten erfolgt, welche nachträglich eine gezielte Werbung oder Weitergabe der Daten ermöglichen (siehe dazu auch unser Ratgeber zum Bezahlen mit Daten).

Eine Einwilligung ist auch nur dann wirksam, wenn mit der Verarbeitung untrennbar verbundene Risiken, bewusst eingegangen werden. Bestehen Risiken beispielsweise bei einem Transfer von Daten der einwilligenden Person in ein unsicheres Drittland, muss sie sich der damit verbundenen Risiken bewusst sein. Namentlich, dass ihre Datenschutzrechte in anderen Rechtsregimen mangels Rechtsschutzmöglichkeiten nicht effektiv durchgesetzt werden können. Um sich als betroffene Person dennoch bewusst dafür zu entscheiden, ein solches Risiko eingehen zu wollen, muss sie sich intellektuell mit der Frage auseinandergesetzt haben können. Dies setzt eine weitreichende Aufklärung voraus.

4. Bestimmtheit und Zweck in der Einwilligung

Aus der Erklärung muss eindeutig hervorgehen, wer genau welche Daten zu welchem konkreten Zweckverarbeitet. Eine pauschale und generelle Erklärung ist nicht ausreichend. Eine Verwendung erhobener Daten zu anderen Zwecken als in der Einwilligung angegeben, ist unzulässig.

Bei der Detailgenauigkeit sollte sich an folgendem Maßstab orientiert werden: Je tiefer der Eingriff in das Persönlichkeitsrecht reicht, desto genauer muss die Einwilligungserklärung sein. Auch sind Einwilligungen hinreichend konkret zu formulieren. D.h., dass eine Einwilligung keine ungewissen und in der Zukunft liegenden Verarbeitungszwecke abdecken kann. Sie bezieht sich immer nur auf ein tatsächlich und konkret beabsichtigtes Ereignis.

Auch mehrere Zwecke können nicht derart miteinander zur Disposition gestellt werden, dass den Betroffenen die eigentliche Entscheidungshoheit in der Sache verloren geht. Dies ist dann anzunehmen, wenn mehrere Zwecke miteinander gekoppelt werden, so dass die betroffene Person sich nicht für nur einen beabsichtigten Verarbeitungszweck entscheiden kann, obschon dies rein tatsächlich möglich wäre.

5. Unmissverständliche und aktive Einwilligung

Den Betroffenen muss bei Abgabe einer Einwilligungserklärung klar sein, dass es sich hierbei um eine solche handelt. Dies kann etwa dadurch erfolgen, dass die Erklärung die Überschrift „Einwilligung“ trägt oder der Inhalt wiedergibt, dass man etwas „zustimmt“ oder in etwas „einwilligt“.

Auch bedarf eine verkörperte Willenserklärung einer aktiven Handlung. Das kann beispielsweise durch eine Unterschrift oder durch Anhaken einer Checkbox bei einem Online-Formular erfolgen. Die Einwilligung darf nicht implizit erfolgen, beispielsweise durch bereits angekreuzte Kästchen oder im Rahmen einer anderen Erklärung. Versteckte Einwilligungen, die Betroffenen „untergejubelt“ werden, sind rechtsmissbräuchlich (siehe dazu auch die Besprechung des EuGH-Urteils zu bereits angehakten Cookie-Bannern).

6. Widerrufsmöglichkeit der Erklärung

Betroffene müssen ihre erklärte Einwilligung jederzeit widerrufen können. Dies ist in der Einwilligungserklärung klar zum Ausdruck zu bringen. Ein Widerrufsverzicht ist unzulässig.

Der Widerruf muss dabei nicht zwingend in derselben Form der Einwilligung abgegeben werden. Entscheidend ist jedoch, dass die Erklärung des Widerrufs nicht schwieriger sein darf als die Erklärung der Einwilligung. Die Widerrufserklärung darf also keine zusätzlichen Hürden oder erschwerte Bedingungen mit sich bringen.

Insbesondere sind Anschrift und Kontaktinformationen mitzuteilen, an welche der Widerruf zu adressieren ist. Auch muss der Widerruf nicht explizit genannt werden. Es reicht eine willentliche Äußerung der betroffenen Person, dass diese die Verarbeitung zu dem vormals eingewilligten Zweck nicht mehr wünscht.

7. Höchstpersönlichkeit der Einwilligung

Wichtig ist schließlich, dass Betroffene stets nur in die Verwendung der eigenen personenbezogenen Daten einwilligen können. Sollen Daten mehrerer Personen verwendet werden, müssen diese individuell einwilligen. Ausdruck des Rechts auf informelle Selbstbestimmung ist allem voran die Entscheidungshoheit des Einzelnen. Dieses gilt absolut. Der Einzelne kann nicht darauf verzichten. Ausnahmefälle existieren bei Minderjährigen. Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist eine Verarbeitung nur rechtmäßig, sofern und soweit eine Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird (Art. 8 DSGVO).

Konsequenzen falscher oder fehlerhafter Einwilligungserklärungen

In der Praxis werden Einwilligungen oft unnötigerweise eingeholt (etwa als Zustimmung zu einer Datenschutzerklärung) oder sie entsprechen nicht den gesetzlichen Anforderungen und sind daher unwirksam. Entsprechend ist die Datenerhebung nicht legitimiert und stellt eine Verletzung des informationellen Selbstbestimmungsrechts der Betroffenen dar.

Dies kann rechtliche Konsequenzen haben. Hier trifft regelmäßig denjenigen, der die Daten erhebt, verarbeitet oder nutzt die volle Beweislast: Er muss gem. Art. 7 Abs. 1 DSGVO nachweisen können, dass er trotz gesetzlichen Verbots ausnahmsweise zur Datenverarbeitung befugt ist – nämlich durch die Einwilligung der betroffenen Person.

Wer nicht die Bedingungen für die Einwilligung erfüllt, kann nach Art. 82 Abs. 5 lit. a) DSGVO mit Geldbußen von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu vier Prozent des globalen Jahresumsatzes des vorangegangenen Geschäftsjahres rechnen.

Fazit: Rechtskonforme Einwilligungserklärungen sind machbar

Was nach großem Aufwand klingt, ist beim Einsatz datenschutzkonformer Technik (Stichwort: Privacy by Design und Privacy by Default) relativ einfach umzusetzen: Einholen, Management, Widerruf und Dokumentation rechtskonformer Einwilligungen.

Je komplexer freilich die Datenverarbeitungen werden, desto anspruchsvoller wird auch die inhaltliche Ausgestaltung einer Einwilligungserklärung. Sobald es also bspw. nicht nur um einen einfachen Newsletterversand geht, sondern um ein E-Mail-Marketing mit Profilbildung und automatisierter Entscheidungsfindung, sollten Sie einen juristisch versierten Experten hinzuziehen.

Grundsätzlich gilt: Eine rechtskonforme Einwilligungserklärung kann sehr viele Datenverarbeitungen möglich machen. Sie sind allerdings nur einzuholen, wenn Verantwortliche gewillt sind, die freiwillige Entscheidung auch tatsächlich zu akzeptieren. Dann steht nämlich auch einer transparenten Aufklärung nichts im Wege.

Negativbeispiele sind die zahlreichen Cookiebanner, wodurch Nutzern mittels sogenannter Dark Patterns die freie Entscheidung gerade genommen werden soll. Sobald Verantwortliche über derartige Manipulationen nachdenken, wird die Einwilligung nicht mehr rechtswirksam eingeholt werden können.

Verantwortliche machen in der Praxis zudem oftmals den Fehler, auf den vermeintlich einfachen Weg der Einwilligung zu setzen, ohne an die Rechtsfolgen der freien Widerruflichkeit zu denken.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Patientenrechtegesetz und Datenschutz in der Praxis

Seit Februar 2013 regelt das Patientenrechtegesetz die rechtliche Beziehung zwischen Patienten und behandelnden Ärzten oder Therapeuten. Wir erläutern Gemeinsamkeiten und Unterschiede zu den Betroffenenrechten und anderen Vorgaben die sich aus der EU-Datenschutz-Grundverordnung (DSGVO) ergeben.

Das Patientenrechtegesetz als Stärkung der Patientenrechte

Vor der Gesetzesnovelle 2013 war es schwierig, sich einen Überblick über Rechte von Patienten gegenüber Ärzten, Krankenhäusern und Krankenkassen zu verschaffen. Die Regelungen waren in verschiedenen Gesetzestexten aus unterschiedlichen Rechtsbereichen verstreut und leiteten sich häufig als sogenanntes Richterrecht aus gesprochenen Urteilen ab.

Das 2013 in Kraft getretene Gesetz zur Verbesserung der Rechte von Patientinnen und Patienten (Patientenrechtegesetz – PatRechteG) bündelt und konkretisiert die unterschiedlichen Regelungen. Es erzeugt damit für die Patienten Transparenz und schafft für die Behandelnden Rechtssicherheit.

Das Patientenrechtegesetz regelt sehr unterschiedliche Bereiche der rechtlichen Beziehung zwischen Patienten und Behandelnden, wie die Ärztehaftung und die Ansprüche des Patienten bei Behandlungsfehlern. Außerdem legt es in mehreren Bereichen die Pflichten von Leistungsträgern, wie den Krankenkassen fest.

Patientenrechtegesetzes und die DSGVO

Als Artikelgesetz erlangten insbesondere die Änderungen des Bürgerlichen Gesetzbuches (BGB) in der Praxis Bekanntheit und Relevanz.  Namentlich wurden die §§ 630 a bis 630 h neu in das BGB aufgenommen. Neben Transparenzpflichten wurden auch spezifische Patientenrechte, allen voran das Akteneinsichtsrecht gestärkt.

Doch durch die nun in der DSGVO verankerten Betroffenenrechte auf Auskunft nach Art. 15 DSGVO ergibt sich in der Praxis mitunter eine Kollision beider Normen. Gleiches ergibt sich auch in Hinblick auf die einseitige Informationspflicht von der DSGVO unterliegenden Gesundheitseinrichtungen nach Art. 12 ff. DSGVO.

Im Folgenden erörtern wir die Unterschiede zwischen Patientenrechtegesetz sowie DSGVO und grenzen die Pflichten für Verantwortliche ab:

Informationspflichten § 630c Abs. 2 bis 4 BGB bzw. Art. 12 Abs. 1 und 13 DSGVO

Ärzte und Therapeuten müssen nach BGB ihre Patienten zu Beginn der Behandlung und, soweit erforderlich, auch im weiteren Verlauf umfassend über sämtliche Umstände aufklären, die für die Behandlung von Bedeutung sind. Dazu gehört die Diagnose, die Therapie und die voraussichtliche Entwicklung des Gesundheitszustands.

Auf Nachfrage oder zur Abwendung gesundheitlicher Risiken hat der Behandelnde den Patienten auf einen möglichen Behandlungsfehler hinzuweisen.

Sobald erkennbar ist, dass die Behandlungskosten nicht vollständig von der Krankenversicherung übernommen werden, ist der Patient in Textform über die voraussichtlichen Kosten zu informieren.

Der Therapeut ist nur in Ausnahmefällen von der Informationspflicht befreit – etwa dann, wenn die Behandlung unaufschiebbar ist oder der Patient ausdrücklich auf eine Aufklärung verzichtet.

Datenschutzrechtlich geht es dagegen um eine Aufklärungspflicht speziell über die den Patienten betreffenden Informationsverarbeitungen. Der datenschutzrechtlich Verantwortliche muss seine Patienten im Vorfeld über sämtliche Datenverarbeitungen und insbesondere Empfänger unterrichten, die im Zuge der Behandlung ebenfalls deren Gesundheitsdaten verarbeiten.

Einwilligung nach § 630d BGB oder Art. 9 Abs. 2 a) DSGVO

Nach BGB ist ein Arzt oder Therapeut ist verpflichtet, vor der Durchführung einer medizinischen Maßnahme die Einwilligung seines Patienten einzuholen. Ist dieser beispielsweise aufgrund seines Gesundheitszustandes nicht in der Lage, die Folgen einer solchen Entscheidung abzuschätzen, ist die Einwilligung eines Berechtigten einzuholen, sofern keine Patientenverfügung vorliegt, in der der Patient seinen Willen bezüglich der betreffenden Maßnahme zuvor festgehalten hat.

Der Patient kann eine Einwilligung jederzeit formlos widerrufen. Es ist keine Angabe von Gründen dafür erforderlich.

Eine Einwilligung für Maßnahmen nach § 630e BGB kann nur dann den Willen des Unterzeichners wiedergeben, wenn davon auszugehen ist, dass dieser tatsächlich darüber informiert war, wozu er sein Einverständnis erklärt. Daher ist eine Einwilligung nur dann gültig, wenn der Patient vorher umfassend und verständlich aufgeklärt worden ist. Die Aufklärung ist mündlich vorzunehmen mit schriftlicher Bestätigung.

Genau hierin ergibt sich in der Praxis oftmals Verwechslungspotenzial mit datenschutzrechtlichen Voraussetzungen. Denn diesbezüglich wird immer nur in die jeweilige Datenverarbeitung, nie in die eigentliche Behandlungsmaßnahme selbst eingewilligt. Oftmals überschneiden sich in der Praxis dann die textuellen Einwilligungserklärungen, wenn die Gesundheitseinrichtung ihren zusätzlichen Aufklärungspflichten in der Einwilligungserklärung nachkommt. Beispielsweise werden oft im Zuge von medizinischen Studien, worin eine für die Regelbehandlung nicht notwendige Gesundheitsdatenverarbeitung stattfinden soll, beide Sachverhalte vermengt. Denn neben der Aufklärung über die eigentliche Maßnahme soll auch die Einwilligung für die damit einhergehende Erhebung von Gesundheitsdaten erteilt werden. Oft wird dann der Fehler begangen, die beiden Sachverhalte nicht ausreichend voneinander zu trennen.

Eine schriftliche Einwilligung sollte nur dort eingeholt werden, wo sie das Gesetz als zwingend erachtet.  Alles andere geht meist zu Lasten der Transparenz für den Einwilligenden. Die Einwilligung des Patienten kann dann nicht mehr ausreichend informiert erfolgen. Gedanklich sollte man im Vorfeld alle Erlaubnistatbestände prüfen, bevor man den vermeintlich einfachen Weg über die Einwilligung wählt. Dort wo beide Erklärungen notwendig sind, sind die Sachverhalte inhaltlich zu trennen.

Dokumentationsverpflichtung nach § 630f BGB und DSGVO-Datenminimierung

Informationen, die für die derzeitige oder künftige Behandlung relevant sind, müssen durch die behandelnde Einrichtung in einer Patientenakte vollumfänglich dokumentiert werden. Dazu zählen die Anamnese, Diagnosen, vorgenommene Untersuchungen und deren Ergebnisse, Befunde, durchgeführte Therapien oder Eingriffe und deren Wirkungen. Außerdem gehen Einwilligungen, Unterlagen über die Aufklärung und Information des Patienten und Ärztebriefe in die Patientenakte ein.

Die Patientenakte kann elektronisch oder in Papierform geführt werden und ist für zehn Jahre nach Abschluss der Behandlung aufzubewahren. Dabei ist der Behandelnde verpflichtet, für eine lückenlose nachvollziehbare Dokumentation Sorge zu tragen: Bei Änderungen von Eintragungen müssen der ursprüngliche Inhalt erkennbar bleiben und der Zeitpunkt sowie der Bearbeiter protokolliert werden. Wird die Patientenakte elektronisch geführt, muss eine manipulationssichere Software verwendet werden.

Als spezialgesetzliche Pflicht, stehen diese Anforderungen dem datenschutzrechtlichen Grundsatz auf Datenminimierung nach Art. 5 Abs. 1 lit c) DSGVO nicht entgegen. Der Schutzzweck der §§ 630a ff. BGB ist, den kompletten Behandlungsverlauf und auch ärztliche Entscheidungen nachvollziehen zu können. Daher sind die damit verbundenen Datenverarbeitungen qua Gesetz auf das notwendige Maß beschränkt, da ihr ein inhärenter Zweck zugunsten des Patienten zugrunde liegt.

Recht auf Einsicht § 630g BGB vs. Recht auf Auskunft Art. 15 DSGVO

In der Praxis wird durch Patienten in der Regel das Einsichtsrecht in die Patientenakte begehrt. Hiernach ergibt sich der Anspruch im Zuge des spezifischen Akteneinsichtsrechts nach Maßgabe des § 630g BGB. Patienten haben also ein Recht darauf, unverzüglich Einsicht in die vollständige, sie betreffende Patientenakte zu haben. Die Einsicht kann nur in besonderen Ausnahmefällen verweigert werden – beispielsweise, wenn dadurch Rechte Dritter verletzt würden oder wenn die begründete Befürchtung besteht, dass der Patient durch die Informationen schwerwiegenden gesundheitlichen Schaden nehmen könnte. Aufzeichnungen über subjektive Eindrücke des Arztes darf dieser aber grundsätzlich nicht geheim halten.

Lehnt ein Arzt eine Einsichtnahme ab, muss er dies plausibel begründen. Im Zweifel sind zunächst Textstellen zu schwärzen, bevor die Einsicht komplett versagt wird.

Der Patient ist am Aufbewahrungsort der Patientenakte Einsicht zu gewähren, nur bei Vorliegen eines wichtigen Grundes kann die Einsicht an einem anderen Ort erfolgen. Daneben kann der Patient gegen Entgelt eine Abschrift der Akte auch in elektronischer anfordern.

Der datenschutzrechtliche Auskunftsanspruch nach Art. 15 DSGVO geht weiter und beinhaltet alle Informationen, die über eine Person gespeichert sind. Demnach auch weitergehende Informationen, die nicht zwingend etwas mit der behandlungsspezifischen Dokumentation zu tun haben. Begrenzt wird der Anspruch allerdings auf personenbezogene Daten. Der Anspruch nach Art. 15 beinhaltet ebenfalls ein Recht auf kostenlose Kopie (Absatz 3) und beinhaltet in der Regel auch die vollständige Patientendokumentation, da diese weiterstgehend personenbezogene Inhalte enthält.

Letztlich sind § 630g BGB und Art. 15 DSGVO zwei unterschiedliche Ansprüche mit verschiedenen Zielrichtungen. Ersterer ist ein zivilrechtliches Akteneinsichtsrecht, zweiterer ermöglicht die Ausübung von Persönlichkeitsrechten. Anhand der Akteneinsicht soll beispielsweise die Möglichkeit eines sich anschließenden Arzthaftungsprozesses ermöglicht werden. Der persönlichkeitsrechtliche Anspruch ist auf eine Überprüfung gerichtet, ob alle Datenverarbeitungen rechtmäßig erfolgten oder ob das informationelle Selbstbestimmungsrecht des betroffenen Patienten – beispielsweise durch unbefugte Offenbarung von Gesundheitsdaten an Dritte – verletzt wurde.

Die Motivation ist in beiden Fällen egal, da das Begehren nicht begründet werden muss. Der datenschutzrechtliche Auskunftsanspruch kann allerdings bei offenkundig unbegründeten oder exzessiven Anträgen nach Maßgabe des Art. 12 Abs. 5 DSGVO ausnahmsweise versagt werden. Eine Kostentragungspflicht für die begehrte Kopie der Daten besteht hierbei in der Regel nicht. Dies wird auch nicht von § 630g BGB verdrängt, der ein solches Entgelt für elektronische Abschriften ausdrücklich vorsieht, so das Ergebnis eines Urteils des Landgerichts Dresden.

Im Zweifel lohnt es sich daher genau hinzuschauen und dem Begehren des Patienten bestmöglich zu entsprechen. Pauschal eingeforderte Entgelte für jedwede Auskunftsersuchen sind rechtswidrig. Gesundheitseinrichtungen sollten einen Prozess integrieren, der die Herausgabe von Behandlungsdokumentation zum Gegenstand hat. Darin sollten sich beide Ansprüche und deren Unterschiede wiederfinden.

Fazit

Patientenrechte stellen Gesundheitseinrichtungen nicht selten nicht nur vor bürokratische, sondern auch rechtliche Hürden. Dabei können Anforderungen an die inhaltliche Gestaltung von Erklärungen oftmals leicht übersichtlicher und klarer zugunsten der Patienten formuliert werden. Handwerkliche Fehler findet man insbesondere bei der nicht notwendigen Einholung von Einwilligungen, intransparenter Patienteninformationen sowie Dokumentationspflichten von Behandelnden.

Spätestens wenn es im Einzelfall um die Versagung von Auskunftsansprüchen oder Einsichtsrechte geht, sollten sich Einrichtungen juristisch rückversichern. Bei einer möglichen Kollision von Informationsinteresse des Patienten und Geheimhaltungsinteresse der Gesundheitseinrichtung sollten bei der Abwägung Fehler vermieden werden. Eine belastbare medizinische Dokumentation ist unumgänglich.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Datenschutz in der Arztpraxis

Eine Arztpraxis hat die datenschutzrechtliche Besonderheit, dass sie sensible personenbezogene Daten verarbeitet. Zudem unterliegen Berufsgeheimnisträger der ärztlichen Schweigepflicht nach § 203 Abs. 1 StGB. Daher haben sowohl Patienten als auch Ärzte ein großes Interesse daran, dass beim Umgang mit personenbezogenen Daten größtmögliche Sorgfalt angewandt wird.

Datenschutz beginnt daher nicht erst an der Tür zum Behandlungszimmer, sondern ist in der gesamten Praxis angemessen umzusetzen. Folgende Tipps helfen Ihnen dabei.

Datenschutz im Empfangsbereich der Arztpraxis

Im Empfangsbereich geht es vor allem zu Stoßzeiten recht hektisch zu. Oftmals warten daher Patienten auf den Gängen oder stehen an der Rezeption an. Für das Praxisteam bedeutet dies, dass bei Telefonaten mit Patienten besondere Vorsicht geboten ist. Gerne werden hierbei Namen und Geburtsdatum des Anrufers sowie dessen Beschwerden oder Diagnose laut ausgesprochen. Das ist jedoch strikt zu vermeiden.

Das medizinische Fachpersonal ist daher hinreichend zu sensibilisieren und trainieren, keine sensiblen Informationen – auch nicht in den Praxisräumen – preiszugeben.

Datenschutz im ärztlichen Behandlungsraum

Da das Behandlungsgespräch aus Patientensicht ein sehr intimes ist, sollte vor allem darauf geachtet werden, dass es niemand mithören kann. Dies setzt voraus, dass eine feste Tür zum Behandlungszimmer besteht und diese während einer Behandlung stets verschlossen ist.

Auch dürfen keine Patientenakten des vorherigen oder nächsten Patienten offen herumliegen. Dies gilt auch für die digitale Form, so dass auf dem PC im Behandlungszimmer stets ein bestenfalls passwortgeschützter Bildschirmschoner eingerichtet sein sollte. Erzwingen Sie den Einsatz eines Sperrbildschirms technisch, entweder manuell oder mittels Gruppenrichtlinie. Die voreingestellte Zeit bis zur automatischen Sperre sollte 10 bis 15 Minuten nicht überschreiten.

Datenschutz beim Betrieb ärztlicher IT

Systeme und Anwendungen in Arztpraxen müssen stets gut gewartet und aktuell gehalten werden. Dabei sollten Sie besonders darauf achten, dass mit dem externen Unternehmen, das die IT wartet oder hostet, ein Auftragsverarbeitungsvertrag besteht. Denn das Gesetz verlangt einen solchen Vertrag bereits dann, wenn nicht ausgeschlossen werden kann, dass das Wartungsunternehmen mit den Patientendaten in Berührung kommen kann. Dies gilt unabhängig von der Größe der Praxis.

Datenschutz hinsichtlich der elektronischen Patientenakte

Bei Führen der elektronischen Patientenakte (ePA) muss die Richtigkeit und Vertraulichkeit der Akten gewährleistet werden. Insbesondere muss bei Berichtigungen oder Änderungen neben dem ursprünglichen Inhalt erkennbar sein, wann und durch wen die jeweilige Änderung vorgenommen wurde (Integritätsschutz).

Befinden sich mehrere Organisationseinheiten und oder Behandler in der Praxis, sollte die Praxissoftware ein Berechtigungsmodel unterstützen, dass Anwendern Zugriff nur auf die eigene Behandlungsdokumentation ermöglicht.

Datenschutz im Falle eines Inkasso-Büro-Einsatzes

Besondere Vorsicht ist bei der Einschaltung eines Inkasso-Büros in der Arztpraxis geboten. Bereits die Tatsache, dass eine bestimmte Person in Behandlung ist, ist schützenswert und damit vertraulich zu behandeln. Diese Information wird unter Umständen an das Inkassounternehmen weitergegeben, gegebenenfalls sogar unter Beifügung der Diagnose auf der Rechnung.

Aus datenschutzrechtlicher Sicht ist daher die Einschaltung eines Inkassobüros ohne vorherige rechtliche Beratung nicht empfehlenswert. Denn die Konstellation im Verhältnis zwischen Praxis und Inkassobüro kann je nach Umgang mit den Forderungen variieren.

Datenschutz bei der Übersendung von Patientendaten per Telefax

Die Übermittlung per Fax hat naturgemäß das Problem, dass die Vertraulichkeit der Daten beim Empfänger aus Sicht des Absendenden nicht gewährleistet werden kann. Insbesondere haben meist mehrere Personen Zugang zum Faxgerät und daher auch zu den Patientendaten.

Eine Anonymisierung der Daten birgt aber die Gefahr von Verwechslungen durch den Empfänger, was gerade im Gesundheitswesen weitreichende Folgen haben kann.

Daher sollte auf die Übermittlung der Arztpraxis per Fax nur zurückgegriffen werden, wenn dies aus Zeitgründen dringend nötig ist. In diesem Fall sollte der Faxvorgang telefonisch begleitet und zuvor angekündigt werden. Sensible Informationen sind zu entpersonalisieren.

Für den Versand von vertraulichen personenbezogenen Gesundheitsdaten ist eine inhaltsverschlüsselte Möglichkeit, wie der verschlüsselte E-Mail-Versand, auch in einer Praxis zu realisieren.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Zustimmung zur Datenschutzerklärung bei Kontaktformularen

Auf nahezu allen Websites gibt es die Möglichkeit, via Formular personenbezogene Daten zu übermitteln, sei es zwecks Kontaktaufnahme, Newsletter oder Gewinnspiel. In aller Regel findet man dort verlinkte Datenschutzhinweise und sehr häufig auch eine Checkbox, um die Kenntnisnahme zu bestätigen oder gar einzuwilligen. Warum dies häufig nicht nur falsch ist, sondern auch ein Risiko für den Betreiber darstellt, erfahren Sie in diesem Artikel. Darüber hinaus zeigen wir Ihnen ganz praktisch, wie eine rechtskonforme Umsetzung gelingt.

Rechtsnatur der Datenschutzerklärung

Bei der Datenschutzerklärung handelt es sich nicht um einen Vertrag. Sie dient lediglich der Erfüllung einer einseitigen Informationspflicht durch den Websitebetreiber und Verantwortlichen für die Datenerhebung. Ob ein Websitebesucher oder Dienstenutzer etwas bestätigt, akzeptiert, zur Kenntnis nimmt oder nicht, spielt keine Rolle für die Erfüllung der Informationspflicht und berührt gleichsam die Rechtmäßigkeit der Datenverarbeitungen, über die informiert wird, in keiner Weise. Die Informationspflicht richtet sich ausschließlich nach Art. 12 f. Datenschutz-Grundverordnung (DSGVO), worin alle Voraussetzungen abschließend festgeschrieben sind.

Risiko bei Bestätigungsvoraussetzung

Da sich die Verpflichtung für den Websitebetreiber in der bloßen Übermittlung der Informationen an den Adressaten erschöpft, beeinflusst die Verlinkung unter Hinweis auf die Erklärung nicht die Rechtmäßigkeit der Datenerhebung. Die Verlinkung dient ausschließlich dem Informationserfordernis.

Sollte gegenüber dem Websitebesucher allerdings der Eindruck erweckt werden, er müsse bestimmten Inhalten in der Datenschutzerklärung zustimmen oder deren Inhalt „absegnen“, ergeben sich gleich zweierlei Probleme.

Zum einen kann die Zustimmung durch den Websitebesucher leicht in eine datenschutzrechtliche Einwilligung uminterpretiert werden, dies insbesondere dann, wenn die fälschlicherweise angenommene Zustimmungsbedürftigkeit zu Datenschutzhinweisen mittels Opt-in umgesetzt ist. Letztlich stützt der Verantwortliche die Datenverarbeitung dann auf die falsche Rechtsgrundlage, was einen Verstoß gegen die Grundsätze von Treu und Glauben sowie der Rechtmäßigkeit nach Art. 5 Abs. 1 lit a) DSGVO zur Folge haben kann.

Zum anderen kann zu Lasten des Websitebetreibers unterstellt werden, die Inhalte der Datenschutzerklärung stünden zur Disposition des Besuchers und gelten damit als Vertragsbedingungen oder gar allgemeine Geschäftsbedingungen (AGB).

So legt auch der Oberste Gerichtshof in Österreich (OGH) in seinem Urteil vom 23. November 2022  dar, dass selbst die verpflichtende Bestätigung zur bloßen Kenntnisnahme bereits einer Klauselkontrolle nach dem AGB-Recht zu unterwerfen sei. Denn diese impliziere gleichsam eine Zustimmung zu dessen Inhalt.

Die Voraussetzung der datenschutzrechtlichen Einwilligung allerdings betrifft einzig die Rechtmäßigkeit und ist nur dann notwendig, wenn die Verarbeitung auf keine andere Rechtsgrundlage, wie etwa auf einen Vertrag oder das berechtigte Interesse gestützt werden kann. Egal welche Rechtsgrundlage einschlägig ist, die Informationen nach Art. 12 ff. DSGVO müssen stets bereitgestellt werden. Eine Verlinkung von Datenschutzhinweisen ist demnach auch dann umzusetzen, wenn kein Opt-in (Einwilligung) notwendig ist.

Folgeprobleme ergeben sich demnach bereits bei durch den Besucher zusätzlich anzukreuzenden Sätzen wie:

  • „Ich willige in die Datenverarbeitung gemäß der Datenschutzerklärung ein“,
  • „Ja, ich wurde hinreichend über die Verarbeitung meiner Daten informiert und bin damit einverstanden“ oder
  • „die Kenntnisnahme der Datenschutzhinweise wird bestätigt und akzeptiert“.
  • „Ich habe den Datenschutzhinweis zur Kenntnis genommen“.

Geht der Websitebesucher aufgrund der unscharfen Formulierung davon aus, es handle sich bei der aktiv vorausgesetzten Zustimmung um eine Einwilligung, hat er die Möglichkeit, diese jederzeit zu widerrufen!

Ebenso läuft man als Websitebetreiber Gefahr, dass der Betroffene davon ausgeht, der Inhalt sei verhandelbar oder es besteht gar die Möglichkeit Teile abzulehnen. Im Zweifel resultieren daraus rechtliche Konsequenzen, die dem Interesse des Websitebetreibers zuwiderlaufen. Denn neben Datenschutzverstößen droht dann eine zivilrechtliche Haftung für Inhalte, die eigentlich ausschließlich zur einseitigen Information dienen.

Zustimmung zur Datenschutzerklärung unvereinbar mit Datenschutzrecht

Auch die Datenschutzkonferenz bestehend aus den Aufsichtsbehörden der Länder (DSK) hat sich zu diesem Thema bereits positioniert. Im Ausgangsfall ging es um Ärzte, die die Akzeptanz ihrer Datenschutzerklärung zur Voraussetzung für die Behandlung machten. Der Fall ist insbesondere dann übertragbar, wenn die Zustimmung zu den Datenschutzhinweise mittels Pflichtfeld eingeholt wird. Die DSK äußerst sich hierzu:

„Die Informationspflicht nach Art. 13 DSGVO bezweckt lediglich, dass der Patientin bzw. dem Patienten die Gelegenheit gegeben wird, die entsprechenden Informationen einfach und ohne Umwege zu erhalten. Sie oder er muss diese jedoch nicht zur Kenntnis nehmen, wenn sie oder er dies nicht möchte.“

Selbst ein Pflichtfeld im Sinne eines „Ich habe die Datenschutzerklärung zur Kenntnis genommen“ steht der Verordnung entgegen und ist mit dem Datenschutzrecht unvereinbar. Auch der Europäische Datenschutzausschuss (EDSA) kommt in seinem verbindlichen Beschluss nach Art. 65 DSGVO zum gleichen Ergebnis. Denn der in Art. 5 Abs. 1 lit a) DSGVO verankerte Fairness-Grundsatz beinhaltet auch die Betrachtung der Rechtsfolgen, welche die Auswahl von Rechtsgrundlagen mit sich bringt. Der Nutzer weiß nicht, ob er im konkreten Fall seine Zustimmung zu in den Datenschutzhinweisen festgelegten Verarbeitungen abgegeben hat oder dies musste. Bzgl. der Zustimmung zu konkreten Zwecken wird der Nutzer gerade nicht hinreichend aufgeklärt. Er ist sich damit über den Inhalt und den Umfang seiner Erklärung naturgemäß im Unklaren.

Achtung bei Informationen zu Cookies in der Datenschutzerklärung

Viele Datenschutzerklärungen auf Websites behandeln auch das Setzen von Cookies und die im Anschluss erhobenen personenbezogenen Daten. Der Einsatz von Cookies bedarf der Einwilligung des Websitebesuchers (siehe die Urteile von EuGH und BGH).

Hier sollten jedoch zwei Dinge nicht vermischt werden: Die Einwilligung oder auch Ablehnung für das Setzen von Cookies muss so erfolgen, dass dies vor dem Besuch der Website passiert. In aller Regel geschieht dies über ein Cookie-Consent-Banner. Wenn keine gesonderte Seite zum Thema Cookies besteht, kann auch in der Datenschutzerklärung die Möglichkeit geboten werden, eine gegebene Einwilligung zu Cookies jederzeit zu widerrufen. Das hat aber keinen Einfluss auf die Datenschutzerklärung als solches.

Oft wird in den Bannern die Einwilligung für sämtliche Dienste und Cookies erteilt. In der Datenschutzerklärung findet man aber einen Hinweis auf eine andere Rechtsgrundlage. Auch hier gilt: Für Cookies und andere Dienste ist nur dann eine Zustimmung einzuholen, wenn im konkreten Fall eine Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO eingeholt werden soll. Für alle anderen Verarbeitungen genügt der Hinweis in der Datenschutzerklärung.

Fazit: Risiko bei Datenschutzerklärungen ist leicht vermeidbar!

Websitebetreiber oder allgemein Verantwortliche sollten also im eigenen Interesse nicht den Eindruck erwecken, die Voraussetzung einer Zustimmungspflicht sei rechtlich notwendig. Neben dem vermiedenen Risiko ist die technische Umsetzung ohne Checkbox in den meisten Fällen auch noch einfacher. Alle damit verbundenen Risiken lassen sich leicht mit folgenden Tipps vermeiden:

  • Kein Opt-in, wo keines benötigt wird! Das Opt-in ist die technisch umgesetzte Einwilligung. Benötigen Sie für die Datenerhebung über ein Formular keine Einwilligung mittels aktiver Handlung in Form des Anklickens, benötigen Sie auch kein Kästchen zum Ankreuzen. So zum Beispiel der Fall bei Anbieten einer bloßen Kontaktaufnahmemöglichkeit über ein Anfrageformular oder einer Online-Bewerbung.
  • Ein bloßer Hinweis auf die Datenschutzerklärung reicht aus. Bestenfalls klammern Sie den Verweis oder Link auf die Datenschutzhinweise komplett aus einem etwaigen Opt-in-Text aus. Formulierungsbeispiel: „Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzhinweise/-erklärung.“
  • Lassen Sie sich das Lesen oder die Kenntnisnahme der Datenschutzhinweise nicht bestätigen. Eine Pflicht zur Kenntnisnahme durch den Betroffenen, gibt es weder für diesen selbst, noch für den Verantwortlichen. Die informationelle Selbstbestimmung des Einzelnen setzt freilich auch voraus, dass sich der Betroffene Datenschutzhinweise nicht durchlesen muss. Allerdings muss er die Möglichkeit haben, an alle Informationen – und zwar die für Ihn relevanten – transparent und einfach zu gelangen. Dies geschieht über eine unmittelbare Erreichbarkeit der Datenschutzhinweise, bestenfalls nur über einen Mausklick. Dies muss über alle Unterseiten des Internetauftritts gewährleistet werden.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Das Recht auf Löschung und das „Recht auf Vergessenwerden“ in der Praxis

Personen, deren personenbezogene Daten verarbeitet werden, haben vorbehaltlich der gesetzlichen Voraussetzungen in Art. 17 Datenschutz-Grundverordnung (DSGVO) das Recht, von dem für die Datenverarbeitung Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden. Dieser Anspruch umfasst auch das „Recht auf Vergessenwerden“ bei der Verarbeitung von veröffentlichten personenbezogenen Daten. Für Unternehmen stellt sich die Frage, wann und in welchem Umfang personenbezogene Daten zu löschen sind und welche Anforderungen für die Gewährleistung des „Rechts auf Vergessenwerden“ erfüllt werden müssen.

Was bedeutet Löschung im Sinne der DSGVO?

Begrifflich ist wichtig, dass die Löschung von Daten eine unwiederbringliche Vernichtung von Daten meint. Hier sind alle Formate von Daten gemeint, ob elektronisch oder in Papierform. Die Löschung elektronischer Daten erfolgt im Regelfall also nicht durch das bloße Verschieben in den Papierkorb, sondern durch (mehrfaches) Überschreiben der Datensätze. Hier kann auf Softwaretools zurückgegriffen werden. Bei analogen Daten sollten Schredder eigesetzt werden. Alternativ besteht die Möglichkeit, die Vernichtung durch einen qualifizierten Dienstleister durchführen zu lassen. Hierzu bedarf es einer entsprechenden vertraglichen Verpflichtung des Dienstleisters, um Missbrauch vorzubeugen (siehe auch unsere Checkliste zur datenschutzkonformen Aktenvernichtung).

Die Löschung umfasst dabei sämtliche Informationssysteme des Verantwortlichen, einschließlich etwaiger Archivierungen oder Backups. Dabei ist stets Vorsicht gefragt! Es ergeben sich eingedenk der Löschung aus Archiven oder Backups in der Praxis Folgefragen. Denn oftmals liegt der Langzeitarchivierung ein eigner Zweck zugrunde (siehe das Praxisbeispiel unten).

Wann besteht ein Anspruch auf Löschung gemäß DSGVO?

Der Löschungsanspruch ist dann gegeben, wenn der Verantwortliche verpflichtet ist, personenbezogene Daten zu löschen. Die Voraussetzungen ergeben sich unmittelbar aus Art. 17 Abs. 1 lit a) – f) DSGVO. Die Aufzählungen der Norm besagen, dass eine Löschung immer dann durch den Betroffenen begehrt werden kann, wenn entweder keine Rechtsgrundlage für die Verarbeitung mehr vorliegt (diese also im Nachhinein weggefallen ist) oder es nie eine Rechtsgrundlage für die Verarbeitung gab. Denn eine Verarbeitung von personenbezogenen Daten ist vorbehaltlich einer gesetzlichen Erlaubnis (Rechtsgrundlage) generell verboten. Hieraus lässt sich ableiten, dass das Recht auf Löschung die notwendige Konsequenz und Rechtsfolge des Grundsatzes der Rechtmäßigkeit der Verarbeitung aus Art. 5 Abs. 1 lit a) DSGVO ist.

Im Idealfall werden personenbezogene Daten eigenverantwortlich und proaktiv durch den für die Verarbeitung Verantwortlichen gelöscht. Denn wenn es keine Rechtsgrundlage (mehr) für die Verarbeitung gibt, entfällt auch die Erlaubnis, die Daten weiterhin speichern zu dürfen.

Hier lassen sich zwei Fälle unterscheiden:

  • Die Rechtsgrundlage entfällt durch aktive Handlung des Betroffenen, beispielsweise durch den Widerruf einer Einwilligung oder den berechtigten Widerspruch gegen die Verarbeitung. Rechtsfolge ist, dass in diesen Fällen keine Rechtsgrundlage mehr besteht. Eine weitergehende Speicherung, die eine Verarbeitung im Sinne der DSGVO ist, stellt eine rechtswidrige Weiterverarbeitung dar.
  • Im andern Fall entfällt die Rechtsgrundlage durch Zweckfortfall rein faktisch und ohne Zutun des Betroffenen. Zum Beispiel durch Erfüllung eines Vertrages, der die Verarbeitung ursprünglich notwendig gemacht hatte. Rechtsfolge ist ebenfalls die Verpflichtung zur Löschung. Diese ergibt sich zusätzlich aus dem Grundsatz der Speicherbegrenzung aus Art. 5 Abs. 1 lit e) DSGVO.

Schwierigkeiten bereitet Unternehmen in der Praxis insbesondere der zweite Fall. Denn dies setzt voraus, dass das Unternehmen den Zweckfortfall und damit die nicht mehr notwendige Speicherung eigenständig erkennt und die Löschung proaktiv realisiert.

Hält das Unternehmen die rechtlichen Voraussetzungen eigenständig ein, ist die Löschverpflichtung im Falle eines Löschbegehrens obsolet, da das Unternehmen keine Verpflichtung mehr trifft. In diesem Fall genügt die Auskunft an den Betroffenen, dass das Unternehmen zum Zeitpunkt der Anfrage keine personenbezogenen Daten ohne Rechtsgrundlage speichert. In der Praxis ist das Recht auf Löschung oft unmittelbare Folge des Rechts aus Auskunft bzw. wird hilfsweise zusammen mit diesem geltend gemacht.

Tipp: Hinterfragen Sie bei der Geltendmachung eines Rechts auf Löschung immer die Rechtsgrundlage nach Art. 6 DSGVO. Gehen Sie den Katalog sämtlicher Rechtsgrundlagen durch. Das, was durch Art. 6 DSGVO positiv abgegrenzt wird – wann ist eine Verarbeitung erlaubt –, grenzt Art. 17 DSGVO gleichermaßen negativ ab – ist eine Rechtsgrundlage entfallen oder lag nie eine Erlaubnis zur Verarbeitung vor?

Der Anspruch des Betroffenen auf Löschung resultiert immer aus der nicht eigenständig nachgekommenen Verpflichtung des Verantwortlichen und zielt daher immer auf die Beseitigung eines rechtswidrigen Zustandes ab!

Praxisbeispiel: CRM vs. Buchhaltung

Der Speicherung von Kundendaten in einer Adressdatenbank beziehungsweise einer CRM-Software liegt ein anderer Zweck zugrunde, als einem möglichen Langzeit-Archiv, in welchem das Unternehmen die Kundendaten zusätzlich speichert. Hier dürfen die Daten womöglich aus einer gesetzlichen, steuerrechtlichen Verpflichtung heraus länger aufbewahrt werden als in der CRM-Software.

Im Falle eines Löschbegehrens eines im CRM gespeicherten Kunden kann die Verpflichtung zur Löschung aus dem Zweckfortfall bestehen, wenn der Geschäftskontakt zum Erliegen kam und keine andere Rechtsgrundlage wie einer (Werbe-)Einwilligung zur längeren Speicherung vorliegt. Damit geht aber keine Löschung auch des personenbezogenen Datums zu Zwecken der Erfüllung buchhalterischer Pflichten im Rahmen der Faktura einher.

Für die Unternehmenspraxis liegt der entscheidende Unterschied darin, dass bei der rechtzeitigen Löschung der Daten aus der Kundendatenbank, diese rein faktisch nicht mehr zu anderen Zwecken durch die Mitarbeiter verarbeitet werden können. Die Löschung bezweckt also die Unmöglichkeit der Nutzung dieser Daten zu weiteren, nicht von der ursprünglichen Rechtsgrundlage gedeckten und damit rechtswidrigen Weiterverarbeitung.

Dieses Beispiel unterstreicht die Wichtigkeit, die Rechtmäßigkeit von Verarbeitungen einzeln anhand des zugrundeliegenden Zweckes zu beurteilen. Oftmals besteht für Unternehmen kein Mehrwert einer „Vorratsspeicherung“ an personenbezogenen Daten, da diese sowieso nicht mehr (weiter)verarbeitet werden dürfen.

Was umfasst das Recht auf Löschung?

Besteht der Anspruch auf Löschung, stellt sich die Folgefrage des Umfangs des Löschungsanspruchs. Der Anspruch enthält sowohl zeitliche als auch quantitative Vorgaben.

Hinsichtlich der zeitlichen Vorgabe muss der Verantwortliche der Löschung unverzüglich nachkommen. Die bedeutet, dass er unmittelbar zur Handlung aufgerufen ist. Sinn und Zweck ist nämlich die Beseitigung eines rechtswidrigen Zustandes. Als finale Grenze ist auch hier die Monatsfrist aus Art. 12 Abs. 3 DSGVO heranziehen, da dessen Text unter anderem auch auf Art. 17 DSGVO verweist.

Hinsichtlich des quantitativen Umfangs muss zwischen den zugrundeliegenden Zwecken unterschieden werden. Da grundsätzlich für jeden Verarbeitungszweck eine gesonderte Rechtsgrundlage vorliegen muss (Zweckbindung), umfasst der Anspruch all diejenigen personenbezogenen Daten, für deren Verarbeitung der Verantwortliche zum Zeitpunkt der Geltendmachung keine Rechtsgrundlage (mehr) hat. Da die Verpflichtung zur Löschung ohnedies unabhängig von einem Löschbegehren besteht, bedarf es auch keiner Konkretisierung des Löschungsanspruchs durch den Betroffenen. Die in der Praxis häufig zu lesenden Begehren der Betroffenen „alle sie betreffenden Daten gelöscht haben zu wollen“ ist zugunsten des Betroffenen dahingehend auszulegen, einen in welchem Umfang auch immer vorliegenden rechtswidrigen Zustand beseitigen zu wollen. Da dies nur der Verantwortliche selbst ermitteln kann, genügen solche Aussagen. Der Maßstab an die Bestimmtheit des Antrages ist also nicht hoch.

Das Recht auf Vergessenwerden

Das Recht auf Löschung umfasst zudem das „Recht auf Vergessenwerden“. Dieses kommt neben der Löschung dann in Betracht, wenn der Verantwortliche die personenbezogenen Daten öffentlich gemacht hat. Dies umfasst aus Sicht der Betroffenen sowohl Fälle, in welchen die Betreiber von Suchmaschinen etwa Verlinkungen zu Suchergebnissen löschen müssen, welche über die Suche zu der betroffenen Person angezeigt werden, als auch Fälle, wenn beispielsweise Mitarbeiterdaten durch den Arbeitgeber auf sozialen Netzwerken veröffentlicht werden.

In der Folge bedarf es alle möglichen Anstrengungen des Verantwortlichen, eine weitestgehende Löschung auch bei Dritten zu bewirken. Dieses Recht des Betroffenen auf „Vergessenwerden“ unterliegt ebenfalls den Voraussetzungen aus Art. 17 Abs. 1 DSGVO. Daher ist zunächst eine Verpflichtung nach obigem Maßstab zu hinterfragen. Besteht eine solche, bedarf es weiterer Anstrengungen, sollten die Daten öffentlich gemacht worden sein.

Die Besonderheit liegt hierbei in der dauerhaften Verpflichtung des Verantwortlichen, angemessene Maßnahmen dafür zu treffen, dass alle weiteren für die Datenverarbeitung Verantwortlichen darüber informiert werden, sowohl Verlinkungen zu personenbezogenen Daten, als auch Kopien oder anderweitige Vervielfältigungen von personenbezogenen Daten des Betroffenen löschen zu müssen. Dem Anspruch auf „Vergessenwerden“ wird folglich nicht mit der einmaligen Löschung abgeholfen, sondern es besteht eine Verpflichtung des Verantwortlichen, die Löschung dauerhaft zu gewährleisten. Das „Recht auf Vergessenwerden“ trägt damit insbesondere der leichten Verbreitung von Daten durch Onlinedienste Rechnung.

Exkurs: Google und das „Recht auf Vergessenwerden“

Einer der bekanntesten Fälle zum „Recht auf Vergessenwerden“ ist die Entscheidung des EuGH vom 13. Mai 2014 gegen Google.

Der EuGH hatte hier aufgrund einer Betroffenenanfrage an Google über die Entfernung von Verlinkungen zu entscheiden, die aus Sicht des Betroffenen persönlichkeitsverletzende Berichte einer spanischen Tageszeitung aus 1998 enthielten. Google führte die von dem Betroffenen begehrte Löschung seinerzeit im Hinblick auf die Informationsfreiheit und das Informationsinteresse der Öffentlichkeit nicht durch, weshalb der Betroffene sich an die spanische Aufsichtsbehörde wandte.

Google wurde in diesem Fall durch die Aufsichtsbehörde zur Löschung der in Rede stehenden Verlinkungen verpflichtet. Auch die im Nachgang durch Google eingereichte Klage gegen diese Entscheidung führte zu keinem anderen Ergebnis. Der allgemeine Persönlichkeitsschutz wurde gegenüber der Informationsfreiheit und dem Informationsinteresse der Öffentlichkeit als vorranging erachtet.

Gilt das „Recht auf Vergessenwerden“ für Verlinkungen weltweit?

Das „Recht auf Vergessenwerden“ gilt nur innerhalb der EU. Mit aktuellem Urteil vom 24. September 2019 wurde hier durch den EuGH geklärt, dass Google seine Suchergebnisse nicht weltweit löschen muss, wenn ein EU-Bürger sein „Recht auf Vergessenwerden“ geltend macht. Der Geltungsbereich der Löschpflicht erstreckt sich danach grundsätzlich nur auf alle Staaten innerhalb der EU und auf EU-Bürger.

Ausnahmen hiervon können allerdings dann gelten, wenn das Interesse der Öffentlichkeit am Zugang zu Suchergebnissen aufgrund anderweitiger journalistischer Regeln für die Datenverarbeitung dem Recht betroffener Personen auf Achtung des Privatlebens und auf Schutz personenbezogener Daten überwiegt.

Uneingeschränktes Auslistungsbegehren gegen Internet-Suchdienst?

In einem aktuellen Urteil des Bundesgerichtshofs (BGH) vom 23. Mai 2023 (VI ZR 476/18) werden Auslistungsbegehren von Betroffenen hinsichtlich eines „Rechts auf Vergessenwerden“ aber nicht schrankenlos gewährleistet. Wer versucht, kritische Einträge klageweise versucht löschen zu lassen, muss die Unrichtigkeit der Angaben hinreichend nachweisen können. Denn andernfalls kann die Informations- und Meinungsfreiheit im Einzelfall höher wiegen als die informationelle Selbstbestimmung des Betroffenen. Stehen Einträge aber ausschließlich kontextlos in einer Vorschau, so sind diese Einträge für sich genommen nicht aussagekräftig. Sie dienen keinem Informationsinteresse, welches dem Betroffenen entgegengehalten werden kann. Eine Veröffentlichung von Fotos mittels Vorschaubildern oder sogenannter Thumbnails in der Google Trefferliste, ist daher grundsätzlich nicht gerechtfertigt. Einem vom Grundsatz her bedingungslosen Anspruch auf Löschung selbiger muss der Suchmaschinenbetreiber nachkommen.

Folge für Suchmaschinenbetreiber und hiervon Betroffene

Betreiber von Suchmaschinen wie z.B. Google müssen im Rahmen der Umsetzung der Datenlöschung dauerhaft dafür Sorge tragen, dass Nutzer nicht von einem Mitgliedstaat aus auf die entsprechenden Verlinkungen auf Nicht-EU-Versionen der Suchmaschine zugreifen können und damit keine Verarbeitung von personenbezogenen Daten, die sich auf diesen Webseiten befinden, erfolgen kann. So wären zum Beispiel über Social Media veröffentlichte Mitarbeiterbilder auf Antrag des Betroffenen durch den Verantwortlichen innerhalb der EU derart zu löschen, dass über den Einsatz von Suchmaschinen dauerhaft keine Verlinkung auf entsprechende Bilder mehr angezeigt wird. Der Betreiber der Suchmaschine muss dann sicherstellen, dass auch durch Zugriff auf Nicht-EU-Seiten keine Verlinkung auf entsprechende Seiten erfolgen kann.

Fazit: Löschpflichten von Anfang an integrieren

Wenn es um Anfragen Betroffener geht, bedarf es im Unternehmen eines professionellen Umgangs hiermit. Neben dem Auskunftsrecht ist das Löschbegehren diejenige Anfrage, die wohl jedem Unternehmen früher oder später begegnen wird. Eine eher stiefmütterliche Herangehensweise kann sich im Nachhinein als Sisyphusarbeit erweisen. Daher lohnt es sich, die hiermit verbundenen Aufgaben im Unternehmen vorab zu realisieren. Denn verarbeitet ein Unternehmen grundsätzlich personenbezogene Daten nur in gesetzlich zulässiger Weise, besteht keine darüberhinausgehende Verpflichtung zur Löschung.

Folgende Punkte sollten zur Umsetzung der Löschpflichten im Unternehmen realisiert werden

  • Synergien nutzen! Für die DSGVO-konforme Datenlöschung und die Gewährleistung des „Rechts auf Vergessenwerden“ sollte im Unternehmen eine organisierte Übersicht über die Art der verarbeiteten Daten, den Zweck der Verarbeitungen und die Ablageorte sowie die gesetzliche Aufbewahrungsfristen geführt werden. Im Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO ist die Angabe der Fristen für die Löschung der jeweiligen personenbezogenen Daten verpflichtend vorgesehen.
  • Empfehlenswert ist ein eigenes Löschkonzept für alle im Unternehmen durchgeführten Verarbeitungstätigkeiten zu erstellen. Hierauf kann dann im Verzeichnis der Verarbeitungstätigkeiten verwiesen werden.
  • Das Einhalten der Löschroutinen hat dokumentiert zu erfolgen. Unternehmen müssen diesen Nachweis führen können. Dies fordert die Rechenschaftspflicht.
  • Löschbegehren sind im Rahmen eines internen Prozesses zur Beantwortung von Betroffenenanfragen nachzukommen. Ein Unternehmen zeigt hierdurch einen professionellen Umgang in der Kommunikation mit Betroffenen. Da die Löschung in der Praxis oftmals an ein Auskunftsbegehren anknüpft, sollte dieser Prozess ganzheitlich etabliert werden. Praktische Hinweise zur Umsetzung finden Sie in unserer Anleitung zum Umgang mit Betroffenenanfragen sowie der zugehörigen kostenlosen Vorlage für eine Richtlinie.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Schadensersatz aufgrund von DSGVO-Verstößen

Bei Verstößen gegen das Datenschutzrecht drohen empfindliche Bußgelder der Aufsichtsbehörden. Doch die Datenschutz-Grundverordnung (DSGVO) enthält auch Regelungen über eine Haftung auf Schadensersatz. Und zwar nicht nur für Verantwortliche, sondern auch Auftragsverarbeiter. Betroffene nutzen diese Möglichkeit immer öfter und klagen auf Schadensersatz.

Haftung und Recht auf Schadensersatz gem. Art. 82 DSGVO

In Art. 82 DSGVO ist geregelt, dass jede Person, der wegen eines Verstoßes gegen die DSGVO ein Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter hat.

Die Regelung zur Haftung auf Schadensersatz soll nicht nur die Rechte der betroffenen Personen stärken, sondern ebenso wie die Bußgeldvorschriften und andere Sanktionsmöglichkeiten die konsequente Durchsetzung der datenschutzrechtlichen Vorschriften befördern.

Stoßrichtung ist dabei nicht die staatliche Sanktionierung, sondern der Ausgleich von erlittenen Nachteilen. Zuständig sind folglich nicht die Aufsichtsbehörden, sondern die betroffenen Personen selbst, die den Anspruch im Streitfall bei den ordentlichen Gerichten einklagen können. Ein Bußgeld- oder sonstiges Verfahren durch die Aufsichtsbehörden kann unabhängig davon immer noch stattfinden.

An dieser Stelle sei auch erwähnt, dass im Datenschutzrecht die beiden Instrumente der Verbandsklage und Musterfeststellungsklage (bisher vor allem aus dem VW-Abgasskandal bekannt) zur Verfügung stehen.

Der zu ersetzende Schaden bei DSGVO-Verstößen

Grundvoraussetzung für einen Schadensersatzanspruch ist, anders als beim Bußgeld mit reiner Sanktionswirkung, dass ein Schaden durch den DSGVO-Verstoß entstanden ist.

Wie der Begriff des Schadens in der DSGVO auszulegen ist, erläutert Erwägungsgrund 146 DSGVO. Demnach soll der Begriff des Schadens im Lichte der Rechtsprechung des Europäischen Gerichtshofs (EuGH) weit auf eine Art und Weise ausgelegt werden, die den Zielen der DSGVO in vollem Umfang entspricht. Gemeint ist damit, dass anders als zum Beispiel im deutschen Zivilrecht, Schadensersatzforderungen nicht nur entstandene Nachteile ausgleichen, sondern darüber hinaus abschrecken und weitere Verstöße unattraktiv machen sollen.

Da nicht nur materielle Schäden (also tatsächlich erlittene Vermögenseinbußen), sondern auch immaterielle Schäden (Zeitverlust, Ärgernis, Rufschädigung, etc.) schadensersatzfähig sind, ist die weite Auslegung vor allem für letztere Schäden relevant. Immaterielle Schäden sind demnach nicht nur durch rein symbolischen Schadensersatz zu kompensieren. Der Schadensersatz kann und soll empfindliche Höhen erreichen. Nicht alle, aber immer mehr Gerichte folgen dieser Auffassung (siehe die Urteilsbesprechungen weiter unten).

Die Einschränkung der Begründung eines Schadens mittels einer Bagatellgrenze sieht der Art. 82 DSGVO nach Auffassung des Europäischen Gerichtshofs (EuGH) nicht vor. Das bedeutet, dass ein erlittener Schaden nicht erst eine gewisse Erheblichkeitsschwelle überschreiten muss, um ersatzfähig zu sein. Dies wurde lange Zeit von nationalen Gerichten einschränkend auch auf Art. 82 DSGVO angewendet.

Der EuGH hat in diesem Zusammenhang allerdings geurteilt, dass der Schadensersatz nach Art. 82 DSGVO ein eigener, europarechtlicher Anspruch ist, der mitgliedstaatliche Regelungen zu Schadensersatz und Haftung überlagert. Nach dem Wortsinn des Erwägungsgrundes 146 DSGVO gibt es keine Einschränkung im Sinne einer Erheblichkeitsschwelle.

Dies bedeutet nicht, dass jeder Verstoß gegen Vorschriften der DSGVO gleichsam einen Schadensersatz begründet. Der erlittene Schaden muss dennoch vor Gericht vorgetragen und begründet werden. Der Datenschutzverstoß muss zudem für den erlittenen Schaden ursächlich gewesen sein.

Beispiel für die Auswirkung des Wegfalls der Erheblichkeitsschwelle

Begründet der Empfang einer Spam-E-Mail an die private E-Mailadresse bereits einen Schaden?

Da Datenschutz Grundrechtsschutz ist, wird man davon ausgehen müssen, dass bestimmte Eingriffe im Sinne von Verstößen gegen die Verordnung und von Datenschutzgesetzen nicht immer gleich einen Schaden begründen. Dies ist zum Beispiel dann anzunehmen, wenn der Betroffene durch einen Verstoß nicht zwangsläufig einen Schaden erleidet. Eine Spam-E-Mail im Postfach führt nicht zu einer Beeinträchtigung, wenn Betroffene diese gar nicht wahrnehmen. Bspw. wenn die Spam-E-Mail regelmäßig im Spamordner landet und dieser einer automatisierten Löschregel unterliegt.

Zwar liegt unter Umständen in Ermangelung einer Rechtsgrundalge ein Verstoß gegen die Rechtmäßigkeit der Verarbeitung aus Art. 5 Abs. 1 lit a) DSGVO vor, der Verstoß begründet aber für den E-Mail-Adressaten keinen erlittenen immateriellen Schaden im Sinne einer unzumutbaren Belästigung.

Hingegen gilt: Legt ein Betroffener eine solche Belästigung dar und ist der unrechtmäßige Versand für den Empfang kausal gewesen, bedarf es keiner Prüfung der Erheblichkeit mehr, sprich ob für den Einzelnen eine messbare Beeinträchtigung vorliegt oder der Schaden außerhalb des allgemeinen Lebensrisikos liegt.  Es reicht im Zweifel die substantiierte Darlegung des erlittenen Schadens wie z.B. die Folgen der unzumutbaren Belästigung im konkreten Fall.

Die Höhe des Schadens festzulegen, obliegt wiederum den angerufenen Gerichten. Hierzu gibt es (noch) keine europaweiten Vorgaben.

Schadensersatzpflichtiger gemäß DSGVO

Haftung des Verantwortlichen

Es haften alle Verantwortlichen, die an einer nicht DSGVO-konformen Verarbeitung, welche für einen Schaden ursächliche ist, beteiligt sind.

Haftung des Auftragsverarbeiters

Der Auftragsverarbeiter haftet in drei Fällen:

  1. Wenn der Schaden darauf basiert, dass der Auftragsverarbeiter seinen auferlegten Pflichten aus der DSGVO nicht nachgekommen ist. Die erste und wichtigste Pflicht, die den Auftragsverarbeiter trifft, ist es einen Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DSGVO abzuschließen. Weitere Pflichten umfassen unter anderem die gegebenenfalls notwendige Benennung eines EU-Vertreters ( 27 DSGVO), das Führen eines Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) und die Zusammenarbeit mit Aufsichtsbehörden (Art. 31 DSGVO). Genaueres dazu lesen Sie in unserem Artikel zu den Pflichten des Auftragsverarbeiters nach DSGVO
  2. Wenn der Schaden darauf basiert, dass der Auftragsverarbeiter eine rechtmäßig erteilte Anweisung des für die Datenverarbeitung Verantwortlichen nicht beachtet hat.
  3. Wenn der Schaden darauf basiert, dass der Auftragsverarbeiter gegen solche Anweisungen gehandelt hat.

Wichtig: Wenn der Auftragsverarbeiter Daten unerlaubt zu eigenen Zwecken verarbeitet, haftet er als Verantwortlicher (Art. 28 Abs. 10 DSGVO).

Gesamtschuldnerische Haftung

Sind Verantwortliche oder Auftragsverarbeiter an derselben schädigenden Verarbeitung beteiligt, kann jeder Verantwortliche oder Auftragsverarbeiter für den gesamten Schaden haftbar gemacht werden. Der Geschädigte kann sich seinen Schuldner aussuchen. Im Falle einer Klage ist es allein dem Geschädigten überlassen, ob er einzelne, mehrere oder alle Beteiligten in Anspruch nimmt. Das macht es betroffenen Personen leichter, den Schadensersatz wirksam einzufordern. Die Verteilung der Schadensanteile an der Gesamtsumme müssen die Gesamtschuldner dann unter sich im Innenverhältnis ausmachen.

Da diese Regelung nicht nur Mehraufwand bedeuten kann, sondern auch einiges an Konfliktpotenzial unter den haftenden Parteien birgt, empfiehlt sich immer eine vertragliche Regelung schon im Vorfeld zur gemeinsamen Verarbeitung oder der Auftragsverarbeitung zu treffen. Auch dies ist ein Grund, warum Auftragsverarbeitungsverträge nie blind unterschrieben werden sollten. Es drohen nicht nur aufsichtsrechtliche Konsequenzen.

Ein Mitverschulden des Geschädigten kann den Anspruch nicht mindern. Die DSGVO kennt hier – anders als im deutschen Zivilrecht üblich – nur volle Haftung oder keine Haftung.

Beweislast und Enthaftung im Rahmen der DSGVO

Im zivilrechtlichen Verfahren gilt in der Regel, dass derjenige, der einen Sachverhalt vorträgt, diesen auch beweisen muss. Im Bereich der DSGVO ist diese Beweislast in Hinblick auf Art. 82 Abs. 3 DGSVO jedoch umgekehrt: Die Rechenschaftspflicht der DSGVO legt dem Verantwortlichen die Pflicht auf, nachweisen zu können, dass er personenbezogene Daten rechtskonform nach den Grundsätzen der Verordnung verarbeitet.

Diese Beweislastumkehr bezieht sich auf das Verschulden. Dagegen trägt der betroffene Anspruchsteller die Beweislast für den Eintritt des Schadens, die Ursächlichkeit zwischen Verstoß und Schaden sowie der Schadenshöhe.

Tipp: Lesen Sie bei activeMind.legal Rechtsanwälte, was Betroffene im Rahmen von Schadenersatzansprüchen beweisen müssen.

Der Verantwortliche oder Auftragsverarbeiter muss im Streitfall demnach beweisen, dass er alle Grundsätze der DSGVO eingehalten hat. Dies ermöglicht, dass sich der Verantwortliche oder Auftragsverarbeiter durch den Nachweis, dass kein Verschulden bezüglich des den Schaden auslösenden Ereignisses vorliegt, zu enthaften.

Ein immaterieller Schaden wird aber allein durch den darzulegenden Kontrollverlust über die Daten im Grunde immer vorliegen.

Das zeigt einmal mehr, wie wichtig eine gute Datenschutzdokumentation und ein ordentlich implementiertes Datenschutzmanagementsystem sind.

Wichtig: Für Verstöße durch Mitarbeiter haftet in der Regel der Arbeitgeber. Eine Entlastung über den Verweis auf deren individuelles Verschulden funktioniert nicht. Eine Entlastung ist auch nicht deshalb möglich, weil der Schaden auf eine Falschberatung des Datenschutzbeauftragten zurückgeht. Dieser kann für eine Falschberatung bei einem Verschulden jedoch möglicherweise in Regress genommen werden. Die Voraussetzungen und Höhe dieses Regresses sind – zumindest bei internen Datenschutzbeauftragten – streng und stark begrenzt.

Tipp: In unserem gesonderten Artikel erfahren Sie mehr zur Haftung des Datenschutzbeauftragten.

Urteile zum Schadensersatz bei DSGVO-Verstößen

Seit Anwendbarkeit der DSGVO fangen immer mehr Betroffene an, die ihnen zur Verfügung stehenden Mittel auszuschöpfen. Dies merkt man vor allem bei der Inanspruchnahme von Betroffenenrechten, wie den Rechten auf Auskunft einschließlich Kopie oder Löschung. Aber auch Klagen auf Schadensersatz nach Art. 82 DSGVO häufen sich. Nicht immer wird ein Schadenersatz zugesprochen und eine klare Linie der Gerichte lässt noch auf sich warten.

Die folgenden Gerichtsurteile und ihre jeweiligen Begründungen für die Verurteilung zu Schadensersatz geben aber immerhin Anhaltspunkte. Vorsicht ist aber in Hinblick auf die Grundsatzentscheidung des EuGH zur verneinten Bagatellgrenze geboten. In Fällen, in denen Gerichte bisher einen ersatzfähigen Schaden aufgrund eines ausdrücklich nicht erheblichen Schadens verneint haben, wird künftig anders entschieden werden müssen. Durch das Urteil wurde die Einstiegshürde für eine Klage nach Art. 82 DSGVO tendenziell entschärft:

ArbG Dresden: 1.500 € Schadensersatz wegen der unerlaubten Weitergabe von Gesundheitsdaten

„ein immaterieller Schaden entsteht nicht nur in den ‚auf der Hand liegenden Fällen‘, wenn die datenschutzwidrige Verarbeitung zu einer Diskriminierung, einem Verlust der Vertraulichkeit, einer Rufschädigung oder anderen gesellschaftlichen Nachteilen führt, sondern auch, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert ist, die sie betreffenden personenbezogen Daten zu kontrollieren.“

ArbG Dresden (13. Kammer), Urteil vom 26. August 2020, Az.: 13 Ca 1046/20

LG Darmstadt: 1.000 € Schadensersatz wegen Weiterleitung einer XING-Nachricht im Rahmen einer Bewerbung an einen unbeteiligten Dritten

„Dem Kläger ist auch ein immaterieller Schaden entstanden. Infolge der Weitersendung der Daten wurden persönliche, berufliche Informationen an einen unbeteiligten Dritten weitergeleitet. Dadurch hat der Kl. die Kontrolle darüber verloren, wer Kenntnis davon hat, dass er sich bei der Beklagten beworben hat.“

Zudem hat das LG Darmstadt auch einen Unterlassungsanspruch, der zusätzlich geltend gemacht wurde, anerkannt.

LG Darmstadt, Urteil vom 26. Mai 2020, Az.:  13 O 244/19

ArbG Düsseldorf: 5.000 € Schadensersatz wegen der Verletzung von Betroffenenrechten (Auskunftsanspruch)

„Verletzt ist zugleich ein europäisches Grundrecht des Klägers; Art. 8 Abs. 2 S. 2 GRCh [Anm.: Charta der Grundrechte der Europäischen Union] gewährleistet das Auskunftsrecht ausdrücklich. […] Verstöße müssen effektiv sanktioniert werden, […] was vor allem durch Schadensersatz in abschreckender Höhe erreicht wird“

ArbG Düsseldorf (9. Kammer), Urteil vom 5. März 2020, Az.: 9 Ca 6557/18

AG Pforzheim: 4.000 € Schadensersatz wegen der unbefugten Verarbeitung (hier: Weitergabe) von Gesundheitsdaten durch einen Psychotherapeuten

„Ein solcher Betrag ist ausreichend, aber auch erforderlich, um eine Abschreckungswirkung […] zu erzielen und dem Kläger zugleich Genugtuung für das erlittene Unrecht zu gewährleisten. […] Zu Gunsten des Beklagten ist zu berücksichtigen, dass das Gericht ausschließt, dass er mit der Weitergabe der Daten kommerzielle Interessen verfolgt hat.“

AG Pforzheim, Urteil vom 25. März 2020, Az.: 13 C 160/19

Hinweis: Neben dem Schadensersatz haben die unterlegenen Parteien auch die Verfahrenskosten zu tragen. So kommen schnell hohe Summen zusammen.

Fazit: Guter Rat spart Geld

Es ist zu erwarten, dass sich Schadensersatzansprüche aus der DSGVO in Zukunft häufen. Sie stehen dabei neben den Bußgeldverfahren der Aufsichtsbehörden. Wie auch ein Bußgeldverfahren können sie nicht nur ärgerlich, sondern vor allem auch teuer und aufwendig für die beklagten Unternehmen sein.

Am besten ist es natürlich, es erst gar nicht so weit kommen zu lassen. Dabei hilft Ihnen ein kompetenter erfahrener Datenschutzbeauftragter und ein ausgereiftes Datenschutz-Managementsystem.

Sollten Sie dennoch mit einer Schadensersatzforderung konfrontiert werden, gilt es richtig zu handeln. Es sollte umgehend festgestellt werden ob tatsächlich eine Verletzung der DSGVO-Vorschriften vorliegt. Wenn Verarbeitungen ausreichend dokumentiert sind, lässt sich gegebenenfalls ein Entlastungsbeweis erbringen. Auch das Anstreben eines Vergleichs kann ein sinnvolles Vorgehen sein.

Lesen Sie hierzu unsere Anleitung zum Umgang mit DSGVO-Abmahnungen und holen Sie in jedem Fall rechtliche Beratung mit einer Spezialisierung auf das Datenschutzrecht ein.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Stand der Technik in der DSGVO – Begriff, Relevanz, Umsetzung

Die Datenschutz-Grundverordnung (DSGVO) führt an mehreren Stellen den Begriff „Stand der Technik“ an. Doch was ist darunter zu verstehen? Wie wichtig ist eine konkrete Definition? Was ist bei der Umsetzung des Datenschutzes im Unternehmen zu berücksichtigen? Ein Überblick mit Anwendungsbeispielen.

Das Kriterium Stand der Technik in der DSGVO

In den Abschnitten „Allgemeine Pflichten“ und „Sicherheit personenbezogener Daten“ regelt die DSGVO in den Art. 25 und 32 DSGVO, dass zum Schutz personenbezogener Daten geeignete technische und organisatorische Maßnahmen zu treffen sind. Der Stand der Technik wird dabei als eines von mehreren Kriterien genannt, anhand derer sich die Geeignetheit dieser Maßnahmen misst und deshalb berücksichtigt werden muss.

Die genannten Kriterien neben dem Stand der Technik sind:

  • Implementierungskosten;
  • Art, Umfang, Umstände und Zwecke der Verarbeitung;
  • die unterschiedliche Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen.

Der Stand der Technik fokussiert demnach als einziges Kriterium auf die technologische Komponente bei der Einschätzung der Geeignetheit von Maßnahmen zum Schutz von personenbezogenen Daten. Was der Stand der Technik aber konkret sein soll, dazu schweigt die DSGVO. Auch eine Definition in anderen nationalen Gesetzen sucht man vergebens. Dabei ist der Begriff anderen nationalen Fachgesetzen nicht fremd. So findet man auch in Fachgesetzen wie beispielsweise dem Bundes-Immissionsschutzgesetz (§ 5 Abs. 1 Nr. 2) oder dem Atomgesetz (§ 7 Abs. 2 Nr. 3) den Begriff „Stand der Technik“.

Das ist durchaus auch sinnvoll. Das Gesetz wird durch die Verwendung von Standards für technische Erkenntnisse geöffnet. Es muss nicht laufend an die wissenschaftliche und technische Entwicklung angepasst werden. Das Bundesverfassungsgericht (BVerfG) sieht darin auch eine Förderung des Grundrechtschutzes. Laut ihm würde eine gesetzliche Fixierung eines bestimmten Standards durch die Aufstellung starrer Regeln die technische Weiterentwicklung wie die ihr jeweils angemessene Sicherung der Grundrechte eher hemmen als fördern. Da es sich beim Schutz personenbezogener Daten um ein Grundrecht handelt (Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union) ist diese Aussage hier durchaus heranzuziehen, auch wenn sie keinem Urteil zum Datenschutz entstammt. Der Begriff soll daher nicht starr verstanden werden, sondern gerade auslegungsbedürftig sein.

Definition und Einordung des Technikstandards

Im deutschen Recht werden neben dem Stand der Technik häufig noch die Standards „allgemein anerkannte Regeln der Technik“ und „Stand von Wissenschaft und Technik“ angeführt. Eine entsprechende dreiteilige Abstufung hat das Bundesverfassungsgericht bereits 1978 in einem Urteil etabliert (BVerfG – 2 BvL 8/77).

Diese Einteilung ordnet den Stand der Technik zwischen die allgemein anerkannten Regeln der Technik als niedrigstem Standard und dem Stand von Wissenschaft und Technik als höchstem Standard ein.

Beim Standard der allgemein anerkannten Regeln der Technik kann sich darauf beschränkt werden, die weit überwiegende Auffassung unter den technischen Praktikern zu ermitteln. Plakativ könnte man hierbei vom Altbewährten sprechen.

Durch die Verwendung des Standards Stand der Technik macht die DSGVO aber klar, dass für den Schutz personenbezogener Daten allgemeine Anerkennung und die praktische Bewährung nicht ausreichen. Vielmehr muss in die Meinungsstreitigkeiten der Techniker eingetreten werden, um zu ermitteln, was technisch notwendig, geeignet und angemessen ist.

Dabei sind die gestellten Anforderungen jedoch nicht so streng, dass die neuesten technischen und wissenschaftlichen Erkenntnisse umgesetzt werden müssen, die den Stand von Wissenschaft und Technik widerspiegeln. Im Stand der Technik soll immer noch eine gewisse Anerkennung und Bewährung in der Praxis realisierter Maßgaben wiedergefunden werden können.

Der Begriff „Stand“ versteht sich daher als etablierter Standard, der in der Praxis bereits erprobt ist und sich als funktionierend erwiesen hat. Der Stand der Wissenschaft dagegen, ist ein weiterentwickelter Stand der Technik, der sich noch zu beweisen hat. Naturgemäß ist die Fortentwicklung eines bestehenden Ist-Zustandes gerade Kernanliegen der wissenschaftlichen Auseinandersetzung. Was heute Stand der Wissenschaft ist, kann übermorgen aber Stand der Technik sein. Daher ist es wichtig, auch die Möglichkeiten einer technischen Entwicklung im Auge zu behalten.

Dabei beschränkt sich der Begriff in der DSGVO nicht zwingend einzig in der technischen Betrachtung. Gefordert ist vielmehr ein generelles Verständnis, welches auch organisatorische Maßnahmen mit umfasst. Denn wirft man einen Blick in die englische Fassung, wird der deutsche Begriff mit „state of the art“ übersetzt. Nach gängigem Verständnis ist dieser aber nicht auf technische Anforderungen beschränkt, sondern findet allgemein Anwendung auf zeitgemäße Maßnahmen und Methodiken zur Erreichung eines Ziels.

Aufgrund des Harmonisierungszwecks des DSGVO, sollte man den Begriff daher nicht starr mit den Begriffen aus dem deutschen Recht vergleichen. Vielmehr bedarf es einer weiteren Auslegung hinsichtlich eines einheitlichen europäischen Standards in welchem alle mitgliedstaatlichen Ausprägungen einfließen.

Konkretes Beispiel: E-Mail-Verschlüsselung

Um diese vielleicht immer noch abstrakt gebliebene Einordung vom Stand der Technik zu verdeutlichen, veranschaulichen wir das am Thema E-Mail-Verschlüsselung:

Grundsätzlich lässt sich bei der Verschlüsselung von E-Mails zwischen Transport- und Inhalts- bzw. Ende-zu-Ende-Verschlüsselung unterscheiden.

  • Unter Transportverschlüsselung versteht man die verschlüsselte Übertragung der Nachricht zwischen zwei Endpunkten. Dabei wird nicht der Inhalt der Nachricht, sondern lediglich der Übermittlungsweg verschlüsselt. Der Nachteil dieser Methode ist, dass ein Angreifer, der die Übermittlung (z.B. durch eine Man-in-the-Middle-Attacke) abfängt, den Inhalt der Nachricht lesen kann.
  • Dagegen schützt eine Inhalts- bzw. Ende-zu-Ende-Verschlüsselung. Hier besitzen Sender und Empfänger jeweils einen Schlüssel, mit dem die Nachricht schon vor dem Versand verschlüsselt und erst beim Empfänger wieder entschlüsselt wird. Wird die Nachricht auf dem Übermittlungsweg abgefangen, kann der Angreifer nichts damit anfangen, da er den Schlüssel nicht kennt.

Folgender Vergleich gibt zwar die technische Komplexität von E-Mail-Verschlüsselung keinesfalls wieder, verdeutlicht aber die Unterschiede:

  • Unverschlüsselt wäre der Versand einer Postkarte.
  • Wird diese in einer abgeschlossenen Schatulle oder einem Briefkuvert transportiert, liegt eine Transportverschlüsselung vor.
  • Wenn die Karte in einer Geheimschrift geschrieben wurde, die nur Sender und Empfänger kennen, liegt eine Inhaltsverschlüsselung vor.

Da immer noch viele E-Mails komplett unverschlüsselt versendet werden, wird argumentiert, dass die Verwendung von Transportverschlüsselung – i. d. R. mittels neuster Transport Layer Security Protokoll (TLS) – noch nicht dem Stand einer allgemein anerkannten Regel der Technik entspricht. Es handelt sich deshalb um den Stand der Technik.

Dies wird sich aber ändern. So gut wie jeder Praktiker hält eine Transportverschlüsselung für erforderlich und das gängige TLS 1.2-Protokoll ist im beruflichen Umfeld inzwischen mehr oder weniger flächendeckend implementiert. Die Verwendung einer Transportverschlüsselung im geschäftlichen E-Mail-Verkehr wird daher in absehbarer Zeit zu den allgemein anerkannten Regeln der Technik zu zählen sein.

Darüber hinaus für die sichere Übertragung auch auf eine Inhaltsverschlüsselung mittels S/MIME oder PGP zu setzen, ist definitiv noch nicht überall etablierter Standard. Es ist aber schon so praxisnah, dass man schon nicht mehr vom Stand der Forschung sprechen kann. Die Verschlüsselung auch des Inhalts von E-Mails ist demnach ebenfalls Stand der Technik.

Eine Verschlüsselung dem Stand von Wissenschaft und Technik entsprechend, wäre zum Beispiel der Einsatz von Quantenkryptographie.

Muss deshalb die Inhaltsverschlüsselung als technische Schutzmaßnahme implementiert werden, wenn personenbezogene Daten per E-Mail versendet werden? Nicht zwingend. Wie zu Beginn dieses Artikels ausgeführt, ist der Stand der Technik eines von mehreren Kriterien anhand derer sich die Geeignetheit einer technischen und organisatorischen Maßnahme zum Schutz von personenbezogenen Daten bemisst. Die anderen von der DSGVO angeführten Kriterien sind die Implementierungskosten, Art, Umfang, Umstände und Zwecke der Verarbeitung sowie Eintrittswahrscheinlichkeit und Schwere des Risikos.

Beim Beispiel der E-Mail hängen die Anforderungen an die Verschlüsselung vor allem davon ab, welche Risiken für eine natürliche Person daraus erwachsen, wenn ein Dritter die versandten Daten mitlesen könnte. Mit anderen Worten: Je brisanter der Inhalt (datenschutzrechtlich) ist, desto höher sind auch die technischen Anforderungen an die Verschlüsselung der E-Mail (Stand der Technik).

Soll also z.B. der Befund im Rahmen einer ärztlichen Untersuchung (besonders sensible personenbezogene Daten) per E-Mail verschickt werden, müssen stärkere technische Anstrengungen unternommen werden, als wenn nur normale Rechnungen (d.h. einfache personenbezogene Daten) verschickt werden sollen. Das Kriterium des Stands der Technik muss dann mehr Berücksichtigung erfahren und es gelten erhöhte Anforderungen daran. Der Arzt muss deshalb auch auf Inhaltsverschlüsselung setzten. Für den Versender einer normalen Rechnung reicht erst einmal eine Transportverschlüsselung.

Das spiegelt auch die aktuelle Meinung der Aufsichtsbehörden wider, welche für die Übermittlung personenbezogener Daten zwingend eine Transportverschlüsselung fordern und diese Anforderung, sobald es um besondere personenbezogene Daten wie etwa Gesundheitsdaten geht, auf die Verwendung von Inhaltsverschlüsselung erweitern. Allein dieses Beispiel zeigt, dass die Begreiflichkeit weit verstanden werden und der Auslegung zugänglich sein muss.

Handlungshinweise zum Stand der Technik

  • Behalten Sie den Stand der Technik unbedingt im Auge. Durch die technische Weiterentwicklung kann es zum Beispiel in absehbarer Zeit heißen, dass der Stand der Technik immer die Verwendung von Inhaltsverschlüsselung zur Vorgabe macht. Einen guten und wertvollen Überblick – auch vor dem Hintergrund des IT-Sicherheits-Gesetzes (ITSiG) – bietet hierzu der eingetragene Verein Bundesverband IT-Sicherheit e.V. (TeleTrusT)
  • Denken Sie an eine allgemeine Risikobewertung. Nur wer sich in einem ersten Schritt über das mit der jeweiligen Verarbeitung verbundene Risiko Gedanken gemacht hat, kann in einem zweiten Schritt über dem Risiko Rechnung tragende, angemessene Maßnahmen nachdenken.
  • Nutzen Sie Vorgaben aus dem Datenschutzrecht auch um Unternehmenswerte zu schützen. Zwar bedeutet Datenschutz in erster Linie Grundrechtsschutz zugunsten natürlicher Personen, durch das Etablieren technischer Vorgaben stützen Sie darüber hinaus oftmals gleichermaßen Unternehmenswerte durch Datensicherheitsmaßnahmen.

Wenn Sie mehr zur E-Mail-Verschlüsselung erfahren möchten, finden Sie dazu einen umfangreichen Ratgeber auf unserer Website. Auch zu anderen Aspekten des technischen Datenschutz finden Sie zahlreiche Praxisratgeber, die den Stand er Technik diskutieren und anwendungsbezogen erläutern. Zu guter Letzt erfahren Sie in unserem Newsletter garantiert davon, wenn sich die aktuellen Anforderungen an den „Stand der Technik“ ändern.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Elektronische Arbeitsunfähigkeitsbescheinigung (eAU) datenschutzkonform einsetzen

Die Pilotphase für die elektronische Arbeitsunfähigkeitsbescheinigung (eAU) ist abgelaufen. Arbeitgeber müssen seit 1. Januar 2023 die eAU elektronisch bei den Krankenkassen ihrer Beschäftigten abrufen. Was gilt es dabei datenschutzrechtlich zu beachten?

Gesundheitsdaten erfordern besonderen Schutz

Selbst wenn die Diagnosen nach wie vor nicht von den Krankenkassen auf der eAU übermittelt werden dürfen, handelt es sich bei dem Gesundheitsstatus um ein sensibles Datum, das unter die besondere Kategorie personenbezogener Daten nach Art. 9 DSGVO (Datenschutz-Grundverordnung) fällt. Es sind daher besondere Maßnahmen zum Schutz dieser Daten geboten.

Die Betroffenen haben ein gesteigertes Interesse an der Vertraulichkeit ihrer sensiblen Informationen. Dies gilt umso mehr im Beschäftigungsverhältnis, da aufgrund der krankheitsbedingten Abwesenheit durch die Kollegen leicht auf den gesundheitlichen Zustand der abwesenden Person zu schließen ist. Verantwortliche Arbeitgeber sind demnach grundsätzlich angehalten, immer nur den Status „abwesend“ preiszugeben, nicht aber den Status „krankheitsbedingt abwesend“ oder „krankgemeldet“ etc.

Rechtsgrundlagen für die Verarbeitung von sensiblen Beschäftigtendaten

Die Rechtsgrundlage für die Verarbeitung sensibler Daten findet sich in Art. 9 Abs. 2 lit. b DSGVO, sowie im Beschäftigungskontext ebenfalls in § 26 Abs. 3 BDSG (Bundesdatenschutzgesetz). Der Arbeitgeber wird die Daten aus den eAU-Bescheinigungen weiterhin für Zwecke der Abführung von Sozialabgaben, für die Lohnabrechnung und ein sich möglicherweise dem Krankheitsstand anschließenden, verpflichtenden Verfahren zur beruflichen Eingliederung, verarbeiten müssen.

Verantwortlichkeit für die Datenverarbeitungen bei der eAU

An den rechtlichen Umständen ändert sich durch die Neueinführung der eAU nichts für verantwortliche Datenverarbeiter. Die Krankenkassen sind als Leistungserbringer Adressaten der Sozialgesetzgebung und haben den Arbeitgebern nach § 109 Abs. 1 Sozialgesetzbuch Viertes Buch (SGB IV) künftig eine Meldung zum Abruf zu erstellen.

Die Gesundheitseinrichtungen selbst sind ihrerseits nach § 295 Abs. 1 Nr. 1 SGB V zur Übermittlung der von ihnen festgestellten Arbeitsunfähigkeitsdaten an die Krankenkassen verpflichtet.

Aufgrund der jeweils eigenen Rechtsgrundlage für die Verarbeitungen dieser Daten treten die Akteure allesamt als eigenständige Verantwortliche auf. Aus der Sicht des jeweils einzelnen Verantwortlichen sind alle Parteien Dritte im Sinne des Art. 4 Nr. 10 DSGVO.

Folgen der eAU für die Praxis

Künftig besteht für Beschäftigte keine Vorlagepflicht der AU-Bescheinigung gegenüber dem Arbeitgeber mehr. Die Meldepflicht dagegen bleibt bestehen. Hierzu gilt nach wie vor, dass Beschäftigte grundsätzlich nach dem dritten Tag ihrer Arbeitsunfähigkeit verpflichtet sind, dem Arbeitgeber eine Arbeitsunfähigkeitsbescheinigung vorzulegen (§ 5 Abs. 1 Satz 2 EntgFG). Der Arbeitgeber darf sogar am ersten Tag ein Attest fordern.

Krankenkassen dürfen Arbeitgebern weiterhin keine konkreten Diagnosen nennen oder nähere Angaben über die Art der Erkrankung machen.

Darüber hinaus dürfen Arbeitgeber nicht pauschal eAU-Daten für Ihre Beschäftigten standardmäßig abrufen. Sie müssen für jeden Beschäftigten individuell eine Erst- oder Folgebescheinigungen anfordern. Bis auf die Umstellung des internen Prozesses ändert sich daher nichts für die Verantwortlichen.

Fazit und Tipps

Nehmen Sie die Umstellung auf die elektronische Arbeitsunfähigkeitsbescheinigung zum Anlass, ihren internen Prozess nochmals zu prüfen. Die technischen Anforderungen an die Abrufeinrichtung sollten Sie zusammen mit dem Datenschutzbeauftragten und IT-Fachleuten umsetzen. Die Informationspflichten gegenüber allen Mitarbeitern sind eventuell punktuell dahingehend anzupassen.

Der Einsatz einer neuen technischen Lösung erfordert die Aufnahme der Verarbeitung in das Verzeichnis von Verarbeitungstätigkeiten (vgl. Art. 30 Abs. 1 DSGVO). Im Zuge dessen sollte auch das damit verbundene Risiko zumindest kursorisch geprüft werden.

Denken Sie immer an die Pflicht als Verantwortlicher, nach Art. 32 Abs. 1 DSGVO geeignete technische und organisatorische Maßnahmen zu treffen. Letztere schließen auch die Sensibilisierung der an der Verarbeitung beteiligten Personalverantwortlichen, IT-Mitarbeiter und Geschäftsleitung ein. Aufgrund der sensiblen Daten ist stets ein hohes Schutzniveau zu gewährleisten. Greifen Sie dazu auf die Fachkunde ihres betrieblichen oder externen Datenschutzbeauftragten zurück.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

ISO 31700 – der neue Standard für Privacy by Design

Die in der Datenschutz-Grundverordnung (DSGVO) verankerten Prinzipien von Privacy by Design und Privacy by Default sollen gewährleisten, dass Produkte und Anwendungen verbraucherfreundlicher entwickelt werden. Die neue ISO-Norm 31700 schafft hierfür erstmals international einen Standard. Wir erklären die wichtigsten Vorgaben der Norm und erläutern die Bedeutung für Unternehmen.

Was steckt in der neuen ISO 31700?

Die ISO (International Organization for Standardization) veröffentlichte die zweiteilige Norm ISO 31700-1 und ISO 31700-2 zum Verbraucherschutz und Privacy by Design für Konsumgüter und Dienstleistungen am 8. Februar 2023. Entsprechende Anforderungen an Datenschutz durch Technikgestaltung ergeben sich unmittelbar aus Art. 25 DSGVO. Die neue ISO-Norm soll helfen, ein Rahmenwerk für die Umsetzung von Privacy by Design zu etablieren. Zunächst ist der Standard unverbindlich.

Die ISO-Norm 31700 geht in der Detailtiefe über den ursprünglichen, konzeptionellen Entwurf von 2009, der damaligen Datenschutzbeauftragten der kanadischen Provinz Ontario, Ann Cavoukian, hinaus und enthält anstatt der sieben Prinzipien nunmehr 30 Anforderungen.

Die ISO 31700-1 enthält allgemeine Anleitungen und Hinweise

  • zur Entwicklung von Funktionen, die es den Verbrauchern ermöglichen, ihre Datenschutzrechte durchzusetzen,
  • zur Zuweisung relevanter Rollen und Befugnisse,
  • zur Bereitstellung von Datenschutzinformationen für Verbraucher,
  • zur Durchführung von Datenschutzrisikobewertungen,
  • zur Festlegung und Dokumentation von Anforderungen an Datenschutzkontrollen,
  • zur Gestaltung von Datenschutzkontrollen,
  • zum Datenmanagement über den gesamten Lebenszyklus sowie
  • zur Vorbereitung auf und zum Umgang mit Datenschutzverletzungen.

Die Norm soll keine spezifischen Anforderungen und Methoden beinhalten, sondern vielmehr als allgemeine Handlungsanweisung verstanden werden.

Spezielle Umsetzungshinweise werden in der ISO 31700-2 dann in einem separaten Dokument anhand von spezifischen Beispielen erläutert. Die Norm stellt die Datenschutzrechte und -präferenzen von Verbrauchern in den Mittelpunkt der Produktentwicklung und des Betriebs. Die aufgezeigten Anwendungsfälle stammen aus dem Online-Einzelhandel, einem Fitnessunternehmen und von intelligenten (vernetzten) Schließsystemen. Exemplarisch werden dort spezielle Systemanforderungen aufgezeigt, die mittels einer Reihe möglicher Abfolgen von Interaktionen zwischen Interessengruppen und Systemen in einem bestimmten Ökosystem veranschaulicht werden.

Relevanz der ISO 31700 für Unternehmen

Die Norm soll erstmalig einen Vorschlag zur globalen Standardisierung von Privacy by Design schaffen und die Anforderungen aus Sicht der Verbraucher betonen. Es wird der Ansatz verfolgt, dass durch die Einhaltung des Standards nicht nur datenschutzrechtliche Vorgaben der Unternehmen erfüllt werden, sondern auch das Vertrauen der Verbraucher gegenüber den Diensteanbietern gestärkt wird. Hält die Norm ihr Versprechen, kann der (scheinbare) Widerspruch zwischen datenschutzkonformer Technikgestaltung und Geschäftserfolg aufgelöst werden.

Die Kurzformel ist: Wettbewerbsvorteil durch Akzeptanz der Verbraucher.

Fazit: Selbstbindung oft nicht ausreichend

Leider bleiben unverbindliche (wenngleich internationale) Standards oft hinter den Erwartungen zurück. Eine wirkliche Auswirkung auf die Unternehmenspraxis ist erst einmal nicht zu erwarten. Wie so oft ist die freiwillige Selbstbindung, ohne einen entsprechenden Marktdruck nicht zu haben.

Eine Zertifizierungsmöglichkeit wäre der erste Schritt in die richtige Richtung. Die freiwillige Umsetzung durch eine kritische Masse an Unternehmen, die eine solche Maßgabe zum in der Praxis vorherrschenden Standard erheben könnte, wird ohne Gegenwert zum Investment unwahrscheinlich sein.

Für Interessierte kann die Norm kostenpflichtig erworben werden. Eine kostenfreie Vorschau der ISO 31700-1 sowie 31700-2 sind zur ersten Durchsicht ebenfalls einzusehen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Privacy by Design und Privacy by Default

Datenschutz, das ist für viele Unternehmen noch immer etwas, um das man sich erst kümmert, wenn alles steht: Umzug in die Cloud, die teuer beauftragte Entwicklung einer App oder das aufwendig programmierte Logistiksystem. Was Unternehmen auch nach wie vor schwer fällt, sind die Anforderungen aus Art. 25 Datenschutz-Grundverordnung (DSGVO) einzuhalten. Die Verordnung verpflichtet Unternehmen, beim Einsatz von IT und Software zu prüfen, ob diese nach Datenschutzmaßstäben entwickelt wurden und eingesetzt werden (Privacy by Design). Hierneben müssen geeignete Voreinstellungen so eingesetzt werden, dass die Datenschutzgrundsätze aus Art. 5 DSGVO eingehalten werden können (Privacy by Default).

Ein Verstoß gegen Privacy by Design und Privacy by Default kann mit hohen Bußgeldern belegt werden. Dabei kann datenschutzkonforme IT sowohl für Unternehmen als auch Betroffene einen großen Nutzen haben.

Privacy by Design und Privacy by Default als Lösung moderner Datenschutzprobleme

Personenbezogene Daten, so eine beliebte Aussage, sind das Gold des 21. Jahrhunderts. Bei genauerem Hinsehen hinkt der Vergleich allerdings, da Daten im Gegensatz zu Gold weder nach Belieben angehäuft noch eingesetzt werden dürfen. Auch sind Daten nicht wie Gold übertragbar: Sie verbleiben stets Persönlichkeitsmerkmal eines Betroffenen. Dieser Betroffene soll, so besagt es das Recht auf informationelle Selbstbestimmung, stets Herr seiner Daten bleiben.

Doch wie lässt sich diese Forderung in einer Welt realisieren, in der personenbezogene Daten faktisch wohl deutlich fungibler sind als Gold? In einer Welt, in der Betroffene Einwilligungserklärungen für eine Verarbeitung ihrer Daten kurzerhand abhaken, weil sie keine Zeit oder Lust haben, sich mit den umfangreich beschriebenen Risiken (z. B. Weitergabe an Dritte, Datenübermittlung in einen unsicheren Drittstaat) auseinanderzusetzen?

Die Anforderungen aus Art. 25 DSGVO können hier eine Lösung darstellen, nämlich

  • Privacy by Design, die datenschutzkonforme Konzeption und Entwicklung von IT-Systemen, sowie
  • Privacy by Default, datenschutzfreundliche Voreinstellungen.

Grob gesagt soll eine Technik standardmäßig stets bestimmte Funktionalitäten zum Schutz der Nutzer bereitstellen und diese sollen dann auch voreingestellt sein.

Eine App soll etwa so konzipiert sein, dass sie standardmäßig nur solche Daten verarbeitet, die für die Basisfunktionalität erforderlich sind und die Funktionalität für den Nutzer bietet, Einstellungen selbst zu treffen (Privacy by Design). Zudem sind bei Installation bzw. Auslieferung nur die minimalen Rechte für die Basisfunktionen voreingestellt (Privacy by Default).

Alle weiteren Funktionen, für die weitere Daten des Betroffenen benötigt würden, müssen vom Nutzer vorher aktiviert werden, wenn er dies wünscht. Vor jeder einzelnen Aktivierung wäre der Nutzer in wenigen Sätzen über den Nutzen, die zugriffsberechtigten Empfänger und die Speicherdauer der jeweiligen Daten zu informieren.

Für den Fall, dass der Nutzer jederzeit auf die Standardkonfiguration der App zurückkehren kann, wären Änderungen oder Ergänzungen des Zwecks einzelner wählbarer Funktionen bedenkenlos umsetzbar. Der Betroffene bliebe so stets Herr seiner Daten, weil er zu jeder Zeit genau wüsste, welche App-Funktion welche seiner Daten zu welchem Zweck benötigt, und weil er einzelne Funktionen aktivieren oder deaktivieren könnte.

Beispiel: Compliance im Unternehmen durch Privacy by Design und Privacy by Default

Als besonders nützlich kann sich Privacy by Design bzw. by Default im Beschäftigungskontext erweisen: Soll etwa die angesprochene App im Unternehmen eingesetzt werden und entspricht die Standardkonfiguration dem, was der Arbeitgeber von seinem Arbeitnehmer vertraglich erwarten darf (z. B. Verwendung der App zu Kommunikationszwecken), kann hinsichtlich der Einwilligung in Zusatzfunktionen (z. B. Aktivierung eines verknüpften Geburtstagskalenders und damit Mitteilung an den Arbeitgeber) von einer freiwilligen Entscheidung des Arbeitnehmers ausgegangen werden. Dieser willigt dann zwar in die Verarbeitung seines Geburtsdatums ein. Dies tut er jedoch nicht, weil er andernfalls die App als solche nicht nutzen kann – und deswegen Konsequenzen des Arbeitgebers fürchten müsste.

Der Arbeitgeber wiederum müsste nicht fürchten, eine nicht rechtskonforme Einwilligung eingeholt zu haben, da er bei Einfügung der App auf die Freiwilligkeit und über den über die Basisfunktion hinausgehenden Verarbeitungszweck hinweist.

Das Beispiel zeigt, wie es technisch möglich ist, durch den Einsatz von Privacy-by-Design-Systemen das informationelle Selbstbestimmungsrecht des Betroffenen zu wahren. So entsteht eine Win-Win-Situation: Auf Seiten des Betroffenen führt der Einsatz von Privacy-Enhancing-Technologies zu einer höheren Akzeptanzbereitschaft, auf Seiten des Unternehmens zu mehr Rechtssicherheit.

Die datenschutzrechtlichen Prinzipien von Privacy by Design und Privacy by Default

Für die Entwicklung, Anschaffung und den Einsatz datenschutzkonformer IT konkretisiert die europäische Datenschutz-Grundverordnung (DSGVO) Datenschutzprinzipien, die in der Literatur unter dem Stichwort „Privacy by Design und Privacy by Default“ seit Langem diskutiert werden. Die drei wesentlichsten Grundsätze sind:

  1. Transparenz der Datenverarbeitung und Kontrollmöglichkeit durch den Betroffenen;
  2. Einsatz von Verfahren, die technischen Sicherheitsstandards genügen;
  3. Datenschutzkonforme Voreinstellungen. Hierzu gehört insbesondere die Umsetzung der Grundsätze von Datenminimierung und Speicherbegrenzung.

Ein weiteres, nicht zwingend datenschutzrechtliches Prinzip, ist die leichte Bedienbarkeit eines Systems, einschließlich der Freigabe und dem Entzug von Berechtigungen, die insbesondere eine Diskriminierung älterer, jüngerer und behinderter Menschen verhindern soll.

Je nach dem, welchem Privacy-by-Design-Modell man in der Literatur folgen möchte, kommen weitere Prinzipien hinzu. Diese können aber, wie etwa die befristete Gültigkeit von Zertifikaten oder sichere Authentifizierungsverfahren auch den bereits genannten Prinzipien untergeordnet werden.

Letztlich ist es sinnvoll, dass man Privacy by Design und Privacy by Default ganzheitlich begreift. Es geht darum, alle zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten natürlicher Personen erforderlichen, geeigneten technischen und organisatorischen Maßnahmen (TOM) zu treffen. Hierfür müssen Verantwortliche zunächst Strategien festlegen, die den Anforderungen des Privacy by Design bzw. Privacy by Default genügen.

Privacy by Design gibt damit eine Antwort auf die Frage nach dem Wie zur Gewährleistung der Datenschutzgrundsätze aus Art. 5 DSGVO. Nur bei Verarbeitungen nach Maßgabe dieser Grundsätze sind Verantwortliche in der Lage, allen Pflichten aus der DSGVO nachzukommen.

Transparenz-Prinzip in der DSGVO

Das datenschutzrechtliche Transparenzprinzip ist bereits in zahlreichen Pflichten und Rechten der DSGVO verkörpert. Neben dem normierten Transparenzgrundsatz aus Art. 5 Abs. 1 lit a DSGVO, ist das Auskunftsrecht nach Art. 15 DSGVO hervorzuheben. Danach ist dem Betroffenen auf Antrag über sämtliche verarbeitungsrelevante Umstände, Auskunft zu erteilen.

Da das Auskunftsrecht auch das Recht auf Kopie miteinschließt, kann es in der Praxis zu einer teuren und zeitraubenden Last für die Verantwortlichen werden. Vor Einführung eines datenverarbeitenden Systems, sollte daher geprüft werden, inwiefern Verantwortliche in der Lage sind, automatisierte Exporte von Betroffenendaten systemseitig abzufragen. Hierbei ist insbesondere darauf zu achten, dass die Abfrage auf Ebene einzelner Betroffener möglich ist und nicht nur ein gesamter Datenbanksatz.

Tipp: Lesen Sie unsere Anleitung für den Umgang mit Anfragen Betroffener und nutzen Sie unsere kostenlose Vorlage für eine Richtlinie Betroffenenanfragen, um eine einheitliche Regelung in Ihrem Unternehmen sicherzustellen.

Prinzip der Datensicherheit in der DSGVO

Neben dem Transparenzprinzip ist auch der Einsatz von Verfahren, die technischen Sicherheitsstandards genügen, im geltenden Datenschutzrecht mehr oder weniger explizit geregelt. So sehen zahlreiche Regelungen in der Verordnung vor, dass neben organisatorischen auch geeignete technische Maßnahmen eingesetzt werden müssen. Hervorzuheben sind hier insbesondere die Anforderungen aus Art. 24 sowie 32 DSGVO. In der Praxis erweisen sich diese Regelungen allerdings immer wieder als problematisch, da Verantwortliche bei einmal eingesetzten IT-Systemen, die sie nicht selbst entwickelt haben, kaum Anpassungsspielraum haben, geschweige denn, eine Verschlüsselungstechnologie oder Multifaktorauthentifizierung nachträglich implementieren können.

Die DSGVO fordert die Verantwortlichen daher vielerorts dazu auf, „unter Berücksichtigung des Stands der Technik und der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die persönlichen Rechte und Freiheiten […] sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung angemessene technische und organisatorische Maßnahmen“ sicherzustellen (Art. 25 Abs. 1 DSGVO).

Ferner sollen, gemäß Erwägungsgrund 78 Satz 4 der Verordnung, „die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Auslegung der Produkte, Dienste und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen, dass die für die Verarbeitung Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen.“

Auch wenn von einer Pflicht der Hersteller im Verordnungstext selbst keine Rede ist, kann sich – so der Wunsch – die Pflicht der Verantwortlichen, den Einsatz datenschutzkonformer Systeme zu prüfen, jedenfalls mittelbar auf die Hersteller von IT-Systemen auswirken.

Prinzip datenschutzkonformer Voreinstellungen in der DSGVO

Art. 25 Abs. 2 DSGVO fordert, durch Voreinstellung eines Systems sicherzustellen, dass nur solche personenbezogenen Daten verarbeitet werden, die für den jeweils bestimmten Verarbeitungszweck erforderlich sind. Konkret soll dies für den Umfang der erhobenen Daten, den Umfang der Verarbeitung, die Speicherfrist und die Zugänglichkeit der Daten gelten. So darf eine Person, welche die Teilnahme an einem sozialen Netzwerk wünscht, nicht dazu gezwungen werden, ihr Profil vorab mit Daten zu füllen, die für die vertragsgemäße Teilnahme an diesem Netzwerk gar nicht erforderlich sind.

Darüber hinaus verlangt Art. 25 DSGVO, dass ein einmal erstelltes Profil nicht ohne Eingreifen einer natürlichen Person (z. B. den Betroffenen oder einen Kundenbetreuer des Netzwerkes) „einer unbestimmten Zahl natürlicher Personen“ zugänglich gemacht wird. Hier wird der grundlegende Gedanke von Privacy by Design deutlich, wonach der Betroffene (oder eine von ihm beauftragte Person) über Umfang und Art der Verarbeitung seiner Daten entscheiden soll.

Datenschutzwidrige Technik empfindlich sanktionierbar

Setzt eine verantwortliche Stelle trotz Vorhandenseins datenschutzkonformer Alternativen auf unsichere bzw. datenschutzkritische IT, muss sie gemäß Art. 83 Abs. 4 DSGVO mit einem Bußgeld von bis zu 10.000.000 Euro (im Fall eines Unternehmens von bis zu 2 % seines weltweiten Jahresumsatzes, falls dieser Betrag höher ist) rechnen. Verantwortliche sollten daher bei der Auswahl von Systemen besonders darauf achten, dass diese zumindest in der Standardeinstellung möglichst wenige personenbezogene Daten verarbeiten bzw. durch Einsatz von Pseudonymisierungstechnik die Aussagekraft der verarbeiteten Daten gezielt begrenzen.

Kommt es demgegenüber trotz Privacy by Design zu einem Datenschutzverstoß, muss die Aufsichtsbehörde den Einsatz datenschutzfreundlicher IT gemäß Art. 82 Abs. 2 lit d) DSGVO bei der Entscheidung über eine Geldbuße und deren Höhe berücksichtigen.

Wirkt Privacy by Design wirtschaftshemmend oder -fördernd?

Wirtschaftlicher Wert personenbezogener Daten erschöpft sich nicht in der Aussagekraft des einzelnen Datums

Auf den ersten Blick scheinen Privacy by Design und Privacy by Default nur die von vielen Unternehmen angestrebte Monetarisierung personenbezogener Daten zu hemmen. Der wirtschaftliche Wert eines personenbezogenen Datums, so könnte man denken, besteht darin, möglichst viele aus sich heraus aussagekräftige Daten über eine Person anzuhäufen. Vor dem Hintergrund, dass ein unkontrolliertes und unbegrenztes Anhäufen aber niemals zulässig war und mit der Datenschutz-Grundverordnung zudem empfindlich sanktioniert werden kann, ist ein strategischer Umgang mit dem Einsatz datenverarbeitender Technologie unabdingbar.

Der wirtschaftliche Wert personenbezogener Daten erschöpft sich nicht in der Aussagekraft des einzelnen Datums. Es ist meist die kontextbezogene Verbindung einzelner Daten zu einer Person, die diese wertvoll machen. Weiß man, wie sich eine Person in bestimmten Situationen verhält oder welche Vorlieben sie zeigt, kann man auf ein Verhalten dieser Person in ähnlichen Situationen oder auf ähnliche Vorlieben schließen. So sind statische schriftbasierte Angaben einer Person über sich selbst in vielen Konstellationen (z. B. Auswahlverfahren, Profilangaben in einem Netzwerk) in Hinblick auf das Kennlernen dieser Person in der Praxis oft weniger wert als Daten, die diese Person in ihrem Verhalten in der Praxis zeigt.

Das Vertrauen auf vermeintlich aussagekräftige statische Daten, wie den Namen, um aus diesem z. B. auf kulturelle Vorlieben zu schließen, führt in einer globalisierten Welt zunehmend zu Fehlschlüssen. Die Pseudonymisierung von Daten widerspricht daher nur in seltenen Fällen wirtschaftlich effektiver Persönlichkeitsanalysen, was große Werbenetzwerke im Onlinebereich längst erkannt haben. Für diese sind die Anwendung von Privacy by Design unverzichtbar. Auch ein Synthetisieren von Daten, sprich künstlich erzeugte, von Echtdaten abgeleitete Datensätze werden zunehmend eine Rolle in Big Data spielen müssen.

Datenschutzfreundliche Technologie als Wettbewerbsvorteil erkennen

Auch die im Privacy-by-Design-Ansatz angestrebte Verlagerung der Kontrolle vom Unternehmen hin zum Betroffenen sollten Unternehmen nicht fürchten. Zahlreiche Analyse-Apps (z. B. im Gesundheitsbereich) machen deutlich, dass Betroffene heute ein sehr großes Interesse daran haben, ihre Daten für Analyse- und Marketingzwecke freiwillig verfügbar zu machen. Je transparenter dabei das Verfahren für den Betroffenen ist, desto höher ist wohl seine Bereitschaft, auf Adblocker oder Ähnliches zu verzichten. Darüber hinaus haben bereits zahlreiche Unternehmen datenschutzfreundliche Technologie als wirksame Marketingstrategie erkannt. Siegel und Zertifikate sollen aber nie eine eigene Prüfung des Verantwortlichen vor Einsatz ersetzen. Oftmals werden Verantwortliche damit über eine vermeintliche Datenschutzkonformität getäuscht.

Tipp: Im Februar 2023 veröffentlichte die International Organization for Standardization mit der Norm ISO 31700 einen internationalen Standard für Privacy by Design.

Fazit: Einbindung des Betroffenen für mehr wirtschaftliche und rechtliche Sicherheit

Privacy by Design und Privacy by Default ist von immenser Bedeutung für die Zukunft des Datenschutzrechts. An die Stelle, wo der Verordnungsgeber es versäumt hat, etwa an internationale Hersteller von datenverarbeitenden Technologien mittels der DSGVO bestimmte Pflichten zu adressieren, verlagert Privacy bei Design diese Anforderung mittelbar auf diese Technologien anwendenden Verantwortlichen hierzulande und europaweit. Die Praxis zeigt bis dato leider, dass ein solcher Marktdruck erst vereinzelt und nicht flächendeckend wahrzunehmen ist.

Dabei sollten viele Unternehmen wider Erwarten nicht nur aus rechtlichen, sondern auch aus genuin wirtschaftlichen Gesichtspunkten auf datenschutzkonforme IT setzen. Denn da, wo der Betroffene über die Verwendung seiner Daten hinreichend informiert ist und diese auch aktiv kontrollieren kann, ist mit seiner Akzeptanz und Einwilligungsbereitschaft zu rechnen. Intransparente, monologische Datenverarbeitungen ohne Beteiligung des Betroffenen stärken dagegen das zunehmende Misstrauen der Bevölkerung in die Verarbeitung ihrer Daten.

Dieser scheinbar unauflösbare Konflikt zwischen Selbstbestimmung und Bezahlen mit den eigenen Daten scheint dem Grundsatz auf datenschutzfreundliche Voreinstellung diametral entgegenzustehen. Langfristig wird der Konflikt vermutlich nur mit Druck auf die großen, datenmächtigen Hersteller befriedet werden. Entweder durch den Markt auch mittels Privacy-by-Design-Anforderungen oder mittels direkter Sanktionsmöglichkeit. Ersteres bedarf einer weitaus umfangreicheren Rechtsdurchsetzung, welche derzeit noch an den Ressourcen der hierfür verantwortlichen öffentlichen Stellen scheitert.

Nichtsdestotrotz ist ein Verstoß gegen das Gebot, möglichst datenschutzkonforme IT einzusetzen, weiterhin empfindlich sanktionierbar. Bereits aus diesem Grund sollten Unternehmen im Zweifel zur datenschutzfreundlicheren Lösung greifen. Dies setzt voraus, dass man sich zunächst aber mit dem möglichen Einsatz verschiedener Lösungen befasst. Von daher gilt auch hier, so frühzeitig wie möglich auf den datenverarbeitenden Prozess maximal Einfluss zu nehmen. Dies beginnt bereits bei der Auswahl, ergo vor Anschaffung. Empfehlenswert ist es daher, standardmäßig einen verpflichtenden Anforderungskatalog für den Einsatz neuer Technologie im Unternehmen heranzuziehen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am: