Sind Foto-Ident- und Video-Ident-Verfahren datenschutzkonform möglich?

Nachdem die Gematik GmbH, deren Zweck die Digitalisierung der Gesundheitsbranche ist, Anfang August 2022 den deutschen Krankenkassen die Identifizierung ihrer Versicherten mittels Video-Ident-Verfahren untersagte, ist die Aufregung nicht nur bei den Dienstleistern solcher Verfahren, sondern auch bei den beauftragenden Verantwortlichen groß.

Inwiefern Unternehmen zukünftig auf Foto-Ident- und Video-Ident-Verfahren setzen können, welche Sicherheitsmängel laut Chaos Computer Club (CCC) aktuell vorliegen und welche Datenschutzvorgaben zu erfüllen sind, haben wir für Sie zusammengefasst.

Post-Ident-, Foto-Ident- und Video-Ident-Verfahren

Post-Ident-Verfahren

Das Post-Ident-Verfahren sollte der breiten Masse hinlänglich bekannt sein. Hierbei wird beispielsweise zur Eröffnung eines Bankkontos die persönliche Identifizierung durch einen Mitarbeiter der örtlichen Postfiliale vorgenommen. Der Abgleich des Beantragenden erfolgt unmittelbar durch Vorlage des Ausweisdokuments.

Das Post-Ident stellt die datensparsamste Weise dar, die Identität eines Antragstellers zu überprüfen. Es erfolgt weder eine (temporäre) Speicherung der Identifikationsmerkmale, noch werden weitere Unsicherheitsfaktoren wie das Internet im Rahmen des Live-Abgleichs einbezogen.

Abstriche müssen lediglich mangels Praktikabilität zuungunsten der Nutzer in Kauf genommen werden.

Foto-Ident-Verfahren

Bei dem Foto-Ident-Verfahren wird ein Originaldokument wie Reisepass, Personalausweis oder Führerschein fotografiert und zum Abgleich an die verifizierende Stelle häufig mittels App oder auf einer Website hochgeladen. Die Ablichtung des Legitimationspapiers ist für den Inhaber nach § 20 Abs. 2 Personalausweisgesetz (PAuswG) nicht verboten (siehe dazu unser Ratgeber zum Kopieren von Ausweisdokumenten).

Allerdings ist Vorsicht geboten. Da allein die elektronische Erfassung durch Ablichtung bereits eine Verarbeitung im Sinne der DSGVO (Datenschutz-Grundverordnung) darstellt, sind auch sämtliche Maßgaben an die Gewährleistung der Sicherheit personenbezogener Daten umzusetzen. Verantwortliche sind aufgefordert, risikoangemessene Maßnahmen zu ergreifen und die Datenschutzgrundsätze aus Art. 5 DSGVO wie Speicherbegrenzung und Datenminimierung einzuhalten. Die Verarbeitung ist daher nur eingeschränkt in den Grenzen der datenschutzrechtlichen Zulässigkeit möglich.

Die Ausweiskopien können nach dem Willen des Betroffenen entsprechend um nicht zur Identifizierung notwendige Teile geschwärzt werden, ohne den verfolgten Zweck zu vereiteln. Hierfür reichen im Normalfall Adresse, Name und Geburtsdatum. Einer Seriennummer bedarf es grundsätzlich nicht.

Da sich der Zweck darin erschöpft, die Person zu identifizieren, ist eine weitergehende Speicherung regelmäßig rechtswidrig. Die Daten sind unmittelbar nach der Prüfung unwiederbringlich zu löschen, da nicht mehr zur Zweckerreichung erforderlich. Es reicht etwa ein Vermerk „Ausweis/Identität geprüft.“ Gleiches gilt für eine weitergehende Offenbarung an Dritte.

Vielfach geht der Gesetzgeber von einer entsprechenden Löschverpflichtung bezüglich angefertigter Ausweiskopien des Verantwortlichen aus, sobald der zugrundeliegende Zweck entfallen ist. So etwa in § 7 Abs. 3 TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz).

Eine anderslautende Auslegung, beispielsweise das Anführen eines berechtigten Interesses zur Betrugsprävention oder die Notwendigkeit für den Vertragsschluss, kann zugunsten einer längeren Speicherung nicht ins Feld geführt werden.

Eine weitergehende Speicherung ist nur ausnahmsweise zulässig, und zwar wenn ein Gesetz dies ausdrücklich vorsieht. Eine solche Verpflichtung ergibt sich beispielsweise aus § 8 Abs. 2 Geldwäschegesetz.

Video-Ident-Verfahren

In Abkehr zum Foto-Ident-Verfahren, hat man ein Verfahren zur Identifikation mittels Videochat geschaffen. Bei der videobasierten Online-Identifizierung, kurz Video-Ident, wird ein in die Kamera gehaltenes Ausweisdokument mit der zu identifizierenden Person abgeglichen und live auf Echtheit überprüft. Vorteil ist, dass Verantwortliche das Ausweisdokument nicht abspeichern müssen. Sämtliche Unsicherheitsfaktoren wie ein Verlust nach der Erhebung können ausgeräumt werden.

Daher erfreut sich das Video-Ident-Verfahren in der Praxis zunehmender Beliebtheit und wird mittlerweile regelmäßig zwecks Überprüfung für beispielsweise digitale Signaturen, einem Online-Vertragsschluss, der (Erst)Registrierung bei Online-Konten oder aber bei einem Zugriff auf die elektronische Patientenakte (ePA) eingesetzt. Dabei kann der Live-Abgleich sowohl durch natürliche Prüfpersonen (Operatoren), als auch ausschließlich automatisiert erfolgen. Wird in letztgenannten Fall zwecks Stichproben eine temporäre Speicherung durchgeführt und im Anschluss kein Anfangsverdacht eines Betrugsversuches oder einer Fehlprüfung festgestellt, müssen die Daten hiernach ebenfalls unverzüglich gelöscht werden.

Erhebliche Missbrauchsgefahr bei Identifizierungsverfahren

Ein Manko beider Fernidentifizierungen ist die Missbrauchsgefahr. Bei der Online-Identifizierung müssen neben dem Identifikationsverfahren selbst auch der dahinterliegende Zweck datenschutzrechtlich betrachtet werden. Denn das Verfahren soll in vielen Fällen den Zugriff auf (sensible) personenbezogene Daten gerade schützen und erst ermöglichen.

Die Gefahr liegt naturgemäß sowohl in der missbräuchlichen Ersterhebung der Identifikationsdaten oder deren Diebstahl, als auch in der mit der Identifikation verbunden Absicherung und damit die Zugriffsmöglichkeit auf weitere sensible Daten. Aufgrund dieser Doppelgefahr, Identitätsdiebstahl bzw. Identitätsmissbrauch, sowie der Zugriffsmöglichkeit im Falle eines erfolgreichen Hacks, ist die Hürde an eine entsprechende Verarbeitung per se sehr hoch.

Aufgrund der möglichen Reichweite eines Missbrauchs gelten gesteigerte Pflichten des Verantwortlichen zur Missbrauchsprävention. Diese muss grundsätzlich mittels ausreichender technischer und organisatorischer Maßnahmen (TOM) gewährleistet werden. Eine Ende-zu-Ende verschlüsselte Übertragung ist standardmäßig für beide Fernidentifizierungsverfahren zu fordern.

Die Missbrauchsgefahr durch gefälschte Legitimationspapiere ist damit aber nicht vom Tisch.

Gravierende Sicherheitsmängel bei Foto-Ident- und Video-Ident-Verfahren

Alle in der Praxis durchgeführten Versuche zeigen insbesondere bei Einsatz des Foto-Ident-Verfahrens, dass sämtliche Apps leicht überlistet werden können, indem man dem System beispielsweise schlechte Fälschungen unterjubeln kann. Das führt zuweilen zu irrwitzigen Fake-Accounts, die im Namen längst verstorbener Filmstars betrieben werden. Gerade aus Gründen der Fälschungssicherheit wurden Plastikausweise mit fälschungssicheren Merkmalen ausgestattet und EU-weit verbreitet. Eine schnelle Abkehr hin zur digitalen Variante würde dieses Vorgehen ad absurdum führen. Demgemäß spielt das Foto-Ident-Verfahren zum Schutze sensibler Daten allen voran bei der Aufgabenwahrnehmung durch die öffentliche Hand, wie Behördengänge, keine Rolle. Hierfür ist gerade das Verfahren mittels elektronischen Personalausweises realisiert worden.

Auch in Hinblick auf das vermeintlich datenschutzfreundlichere Video-Ident-Verfahren wird seit mehreren Jahren immer wieder über die unzureichende Sicherheit berichtet.

Im Prüfbericht des CCC vom 8. August 2022 werden anhand eingängiger, praktischer Demonstrationen inhärente Schwachstellen der videobasierten Echtheitsprüfung physischer ID-Dokumente angeprangert. In einem Versuch die Sicherheitsanforderungen mehrerer gängiger Video-Ident-Lösungen zu knacken, war es stets gelungen, nur mit Open-Source-Software und roter wasserlöslicher Aquarellfarbe, den Mitarbeitern (Operatoren) bzw. der Software selbst eine fremde Identität vorzuspielen. Der CCC kam daher zu dem Ergebnis, dass es selbst Laien mit überschaubarem Aufwand möglich ist, die Video-Ident-Verfahren zu überlisten. Im Nachgang an die Angriffe war der Zugriff zur elektronischen Patientenakte eines eingeweihten Probanden möglich. Auch Angriffe auf digitale Signaturen und weitere Anwendungen waren erfolgreich. Diese blieben laut CCC unerkannt. Im Lichte dessen befürwortet dieser eine Einstellung des Video-Ident-Verfahrens zumindest dann, wenn ein hoher Schutzbedarf besteht.

Der Bericht macht deutlich, dass Schwachstellen nicht nur bei einem Foto-Ident-Verfahren eine Rolle spielen, sondern laut CCC ebenso für das Video-Ident-Verfahren gelten. Das Risiko eines weitergehenden Missbrauchs ist als hoch einzuschätzen. Daher bedarf es zweifelsohne im Vorfeld eines Einsatzes einer substantiierten Auseinandersetzung mit den Risiken sowie der Ergreifung risikoangemessener Maßnahmen.

Geht es bei dem Video-Ident-Verfahren um die Absicherung besonders schützenswerter Daten (Art. 9 DSGVO), dann muss der Maßstab der an die einzusetzenden technischen und organisatorischen Maßnahmen freilich höher sein. Hierbei kann man – wie berechtigterweise vielerorts gefordert – auch die Frage in den Raum stellen, ob ein Video-Ident-Verfahren grundsätzlich für derartige Verarbeitungen überhaupt zulässig ist – oder ob Ergebnis einer entsprechenden Datenschutzfolgenabschätzung nur lauten kann, dass die Verarbeitung aufgrund des immanenten Risikos zu unterlassen ist.

Diese Auffassung kann man auch in der Grundsatzentscheidung des Bundesbeauftragten für den Datenschutz und die Informationssicherheit in seinem 29. Tätigkeitsbericht 2020 (7.11) finden. Hier heißt es:

„Videoidentifizierungsverfahren sind risikobehaftet. Wo ein sehr hohes Vertrauensniveau erreicht werden muss, sind sie datenschutzrechtlich sogar unzulässig“. In Bereichen „in denen die Identifizierung ein sehr hohes Vertrauensniveau erfüllen muss“ wie beispielsweise „zum Schutz besonders schutzbedürftiger Kategorien von personenbezogenen Daten nach Artikel 9 DSGVO, wie etwa im Gesundheitswesen, (…) können Videoidentifizierungen diesen sehr hohen Schutzbedarf nicht gewährleisten.“

Datenschutzrechtliche Bewertung

Ein Meilenstein der DSGVO war der zarte Versuch des Verordnungsgebers, die beiden Welten Recht und Technik zu vereinen. So findet man in zahlreichen Anforderungen, allen voran Art. 5 Abs. 1 lit. f, 24, 25 und 32 DSGVO, die Gewährleistung eines Datenschutzniveaus durch Technikgestaltung oder Ergreifen technischer Maßnahmen.

Da die Verordnung aber keine konkreten technischen Maßgaben an die Verarbeitung vorgibt, sondern wie in Art. 32 DSGVO vielmehr exemplarisch Maßnahmen aufzählt, zieht sich der risikobasierte Ansatz wie ein roter Faden durch die Verordnung. Der Ansatz enthält die Verpflichtung des für die Verarbeitung Verantwortlichen, sich über die Risikoangemessenheit von Maßnahmen nachweislich Gedanken zu machen und hiernach ausreichende Maßnahmen zu ergreifen, um das mit der konkreten Verarbeitung verbundene Risiko ausreichend zu beherrschen.

Im Kern geht es immer um eine Einzelfallbetrachtung, welche dem Verantwortlichen zwar einen Spielraum zur Beurteilung lässt, ihm aber gleichsam ein verpflichtendes Minimum auferlegt. Orientierung für den Verantwortlichen und Grenze nach unten ist dabei der Stand der Technik.

Alles darüber hinaus ist risikoabhängig und setzt entsprechend eine Risikobetrachtung voraus. Vor Einsatz der Online-Identifizierungsverfahren ist eine solche für den Verantwortlichen regelmäßig nach Art. 35 DSGVO im Zuge einer Datenschutzfolgenabschätzung verpflichtend. Hier müssen prognostisch Risiken beurteilt, der Aufwand von Angreifern miteinbezogen, Maßnahmen festgelegt und ein Ergebnis formuliert werden.

Alle spezifischen Umstände sind substantiiert abzuwägen. So wird es eine Rolle spielen, ob man durch die Erstidentifizierung im weiteren Verlauf Zugriff auf sensible Daten erhalten soll, welche Daten hiervon umfasst sind oder damit nur eine Einmal-Verifizierung erfolgt. Ebenso, ob die Verarbeitung bei dem Verantwortlichen selbst stattfindet oder durch einen Dienstleister (Auftragsverarbeiter) durchgeführt wird.

Fazit: Hohes Risiko birgt hohen Aufwand

Insbesondere seit der Corona-Pandemie haben Onlinelösungen in jedweder Hinsicht Hochkonjunktur. Vielfach musste der Datenschutz hintenanstehen. Noch nicht ausgereifte Technologien wurden im Hau-Ruck-Verfahren eingesetzt.

Wichtig ist, Datenschutz und Digitalisierung nicht gegeneinander auszuspielen. Die Digitalisierung muss vorangetrieben, gleichzeitig dem Schutz der Betroffenen ausreichend Rechnung getragen werden. Daher ist es wichtig, dass bestehende Sicherheitslücken und notwendige Maßnahmen öffentlich diskutiert werden dürfen.

Aufgrund derzeit voraussichtlich immer noch bestehenden Sicherheitslücken bei einem Einsatz von Video-Ident-Verfahren und insbesondere Foto-Ident-Verfahren, begeben sich einsetzende Verantwortliche derzeit auf dünnes Eis. Kosten und Nutzen sollten unbedingt in Relation gebracht, eine entsprechend eingriffsintensive Verarbeitung nach Möglichkeit unterlassen werden.

Will man dennoch nicht auf entsprechende Technologien verzichten, muss der Betroffenenschutz – darunter auch der Datenschutz – Gebot der Stunde sein. Verantwortliche haben die Risiken im Vorfeld gebührend zu würdigen und müssen mittels nachvollziehbarer Sicherheitskonzepte zu einem vertretbaren Ergebnis gelangen.

Erste Krankenkassen haben bereits auf die Untersagung der Gema reagiert und bieten zunächst wieder ausschließlich das Post-Ident-Verfahren an. Da technische und organisatorische Maßnahmen dem stetigen Fortschritt und der Weiterentwicklung unterliegen, sind die Fragen nach einer ausreichenden Sicherheitsarchitektur und zu fordernde Datenschutzgesichtspunkte bei der Technikgestaltung dynamisch. Die Auffassung zum Video-Ident-verfahren kann künftig anders zu bewerten sein, wenn Anbieter der Technologien hier sinnvoll nachsteuern.

Denn gänzlich vor menschlichen Angriffen gefeilte Technologien wird es nicht geben. Ausschlaggebend ist der zu betreibende Aufwand durch die Angreifer. Wird dieser für selbige wirtschaftlich aufgrund Zeit und Mitteleinsatz nicht mehr sinnvoll, kann ein Einsatz auch von Online-Ident-Verfahren zum Schutz sensibler Daten durchaus vertretbar sein.

Das inhärente Risiko bei einem Einsatz von Brücken- oder Übergangstechnologie für den Verantwortlichen bleibt. Bei einem Einsatz von Dienstleistern wird es für Verantwortliche zunehmend wichtiger, technische Maßgaben zu Privacy by Design vertraglich als geschuldete Leistung zu formulieren.

Sinnig erscheint es, den datenschutzfreundlicheren Lösungen zwischenzeitig den Vorzug zu geben und auf eine gesicherte Behördenmeinung zu warten. Es ist zu erwarten, dass entsprechende Dienstleister und Verantwortliche in der jüngeren Vergangenheit und auch künftig im Fokus der Aufsichtsbehörden und Betroffenen standen und stehen werden. Mögliche anhängige Verfahren sind abzuwarten.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

 

Geschrieben am:

Können bayerische Krankenhäuser durch Liberalisierung leichter outsourcen?

Das lange Warten vieler bayerischer Krankenhausbetreiber hat ein Ende. Zum 1. Juni 2022 wurde Art. 27 Abs. 4 Satz 6 des Bayerischen Krankenhausgesetzes (BayKrG) im Hinblick auf die Verarbeitung von Patientendaten durch externe Dienstleister aufgehoben. Führt dies nun zu einer Liberalisierung von Outsourcing, insbesondere im IT-Bereich? Was die neue Regelung besagt und welche Anforderungen Verantwortliche immer noch zu beachten haben, erfahren Sie in diesem Artikel.

Bisherige Problematik und Kritik

Durch den ehemaligen Art. 27 BayKrG war es bayerischen Krankenhäusern bisher nur in engen Grenzen gestattet, Patientendaten außer Haus verarbeiten zu lassen. Ausnahmen gab es bis dato nur für Aufgaben, die im Zusammenhang mit der verwaltungsmäßigen Abwicklung der Behandlung von Patienten erforderlich waren. Die Auslagerung von Services war ausschließlich an andere (Dienstleistungs-)Krankenhäuser möglich.

Zudem sorgte für Schwierigkeiten in der Praxis insbesondere der damit einhergehende vorausgesetzte Gewahrsam über alle Patientendaten. Im Kern musste das verantwortliche Krankenhaus zu jederzeit Herr über die Daten nicht nur aus rechtlicher, sondern auch aus tatsächlicher Sicht sein. Die Hoheit über die Daten musste daher sowohl räumlich als auch zeitlich gewährleistet sein.

In der Praxis hatte dies beispielsweise Auswirkungen auf ausgelagerte Archive oder Aktenvernichtung bis hin zum Betrieb der zentralen IT-Infrastruktur. Für die Archivierung mussten eigens Räumlichkeiten angemietet werden, die Aktenvernichtung hatte auf dem Krankenhausgelände unter Aufsicht von Krankenhauspersonal erfolgen und die zentrale Serverlandschaft durfte ausschließlich lokal eingerichtet sein.

SaaS-Services konnten nur mittels lokaler Installation, Cloudservices noch eingeschränkter genutzt werden. Der Gewahrsam war außerhalb des räumlichen Geltungsbereichs der Kliniken nur mittels technisch nicht trivialer Vollverschlüsselung einschließlich eigener Schlüsselverwaltung durch das Krankenhaus oder einen Treuhänder realisierbar.

Während Privatunternehmen sich etwa auch durch Managed-Services IT-Know-How einkaufen konnten, mussten die Betreiber bayerischer Krankenhäuser ihre Kompetenzen intern selbst aufbauen – kein leichtes Unterfangen.

In der Gesamtschau führte dies nicht selten zu einem Technikvorsprung von Krankenhäusern in anderen Bundesländern mit weniger harten Beschränkungen. Adressierte Betreiber äußerten oft Unmut und kritisierten das BayKrG häufig als nicht mehr zeitgemäß.

Mitunter waren bayerische Krankenhäuser gezwungen sehenden Auges geltendes Recht zu brechen, wenn es unabdingbar war, Dienstleister medizinischer Geräte zwecks (Notfall-)Wartung remote auf die Systeme zugreifen zu lassen.

Mit dem im Juni 2022 in Kraft getretenen Gesetz über den Öffentlichen Gesundheitsdienst (Gesundheitsdienstgesetz – GDG) wurde Art. 27 Abs. 4 Satz 6 des Bayerischen Krankenhausgesetzes nun ersatzlos gestrichen.

Derzeitige (datenschutzrechtliche) Anforderungen an Outsourcingvorhaben

Voranzustellen ist, dass man zwischen der Datenübermittlung an einen eigenständigen Verantwortlichen und dem echten Outsourcing eigener Tätigkeiten im Zuständigkeitsbereich der Krankenhäuser unterscheiden muss. Ersteres war unter Einhaltung datenschutzrechtlicher Vorgaben auch nach alter Rechtslage möglich.

Die neue Regelung erlaubt nunmehr das Outsourcing von Tätigkeiten im Rahmen einer Auftragsverarbeitung nach Maßgabe des Art. 28 DSGVO sowie insbesondere Art. 24 und 32 DSGVO. Darüber hinaus können für Verantwortliche in kirchlicher Trägerschaft weitere Maßgaben nach kirchlichem Datenschutzrecht oder aber weitere spezifische Anforderungen einschlägig sein.

Wichtig bleibt nach wie vor, Krankenhäuser als datenschutzrechtlich Verantwortliche hinsichtlich der gesteigerten Vorgaben an die eigenen Verpflichtungen zum Schutze besonders schützenswerter (Gesundheits-)Daten im Sinne des Art. 9 DSGVO zu sensibilisieren. Denn ein Outsourcing und damit eine Verarbeitung personenbezogener Daten im Auftrag eines Dienstleisters darf nie zu Lasten der Aufrechterhaltung des gesetzlich geforderten hohen Datenschutzniveaus führen.

Verantwortliche müssen dafür Sorge tragen, dass auch die eingesetzten Dienstleister geeignete und risikoangemessene Garantien im Einsatz haben sowie regelmäßig prüfen, um das vorausgesetzte Schutzniveau nicht zu untergraben. Die Verlagerung der Tätigkeit hat nämlich immer auch einen Kontrollverlust zur Folge, da die tatsächliche Datenverarbeitung in die Sphäre des vertraglich verpflichteten Dienstleisters fällt. Dies setzt in der Praxis eine regelmäßige Kontrolle der eingesetzten Auftragsverarbeiter durch die Verantwortlichen voraus.

Neben den allgemeinen Anforderungen findet die Liberalisierung auch ihre Grenzen in weiteren datenschutzrechtlichen Maßgaben. Oft wird verkannt, dass mit der bloßen Möglichkeit nicht gleichzeitig die generelle Erlaubnis einhergeht, Daten beispielweise in einem unsicheren Drittland verarbeiten zu lassen. Sind die Anforderungen bereits für nicht sensible Daten hoch, gilt dies erst recht für sensible Gesundheitsdaten der Patienten. Der remote Wartungszugriff auf ein Krankenhausinformationssystem (KIS), dessen Subsysteme und andere netzgebundene Medizintechnik ist daher nicht – wie oft fälschlicherweise angenommen – ohne Weiteres von in einem Drittland ansässigen Tochterunternehmen des Dienstleisters möglich, obwohl der Vertrag mit einer EWR-Gesellschaft geschlossen wird. Oftmals wird sich ein Zugriff innerhalb des Konzernverbunds nämlich durch den Dienstleister vertraglich vorbehalten. Auch ein Cloud-Backup in ein Rechenzentrum der großen US-Dienstleister ist nicht ohne zusätzliche Anforderungen zu realisieren. Serverstandorte innerhalb der Europäischen Union verleihen dabei trügerische Rechtssicherheit.

Zudem gilt auch weiterhin die Strafbewehrtheit einer Offenbarung von Berufsträgern anvertrauten Privatgeheimnissen, darunter sämtliche behandlungsrelevante Daten. Auch strafrechtliche Normen dürfen durch ein Outsourcing nicht ausgehebelt werden. Dies gilt insbesondere auch für internationale Unternehmen, auf die das deutsche Strafrecht keine Anwendung findet.

Datenschutzrechtliche Bewertung

Das Outsourcing von Tätigkeiten im Krankenhauskontext ist nach wie vor ein schwieriges Unterfangen. Konnten beratende Stellen bislang bereits der Frage nach dem Ob einer entsprechenden Möglichkeit schnell den Riegel vorschieben, gilt es nun rechtssichere Verträge abzuschließen, die im Einzelfall auch eine Prüfung anhand konkreter vertraglicher Zusagen ermöglichen. Ziel der Liberalisierung darf nicht sein, datenschutzrechtliche Pflichten mit outzusourcen, sondern einem bestmöglichen Automatisierungsgrad und einer bestmöglichen IT-gestützten Patientenversorgung im Gesundheitswesen die Zukunft zu bereiten.

Auch Dienstleister im Gesundheitssektor sollten sich in den Bereichen Datenschutz und Informationssicherheit auf diese Chancen einstellen und sich einen Marktvorteil vor denjenigen Marktbegleitern sichern, bei denen Datenschutzgesichtspunkte bis zu diesem Zeitpunkt eine noch untergeordnete Rolle spielen.

Eine Liberalisierung war auch vor dem Hintergrund weiterer gesetzlicher Vorgaben an den technischen Datenschutz notwendig. Das Patienten-Daten-Schutzgesetz (PDSG) und der § 75 c SGB V bei Nicht-KRITIS-Krankenhäusern oder dem § 8a BSIG für KRITIS-Krankenhäuser setzen bereits in gewisser Weise ein Outsourcing voraus. Es wäre unmöglich nicht offen zu einer Umgehung des Art. 27 Abs. 4 BayKrG aufzurufen, wenn der Gesetzgeber dort gleichsam die umfangreiche Implementierung von Sicherheitsvorkehrungen zum Schutz der Patientendaten verlangt.

Ein gänzlich abgeschottetes Krankenhausnetz ohne Zugriff von außen wird auch in Hinblick auf die Anforderungen an die Telematikinfrastruktur nicht mehr betrieben werden können.

Eine dem Stand der Technik entsprechende Sicherheitsarchitektur ist vor diesem Hintergrund zwingend. Nicht allein aufgrund des stetig anwachsenden Sicherheitsinteresses war der Gesetzgeber auf Bundesebene schneller und ermöglichte eingedenk des eigentlich strengeren strafrechtlichen Geheimnisschutzes im neugefassten § 203 StGB bereits Ende 2017 eine Offenbarungsmöglichkeit des Geheimnisträgers an berufsmäßig tätige Gehilfen auch in Form von outgesourcten IT-Dienstleistungen.

Fazit: Liberalisierung ist kein datenschutzrechtlicher Freibrief

Die bisherige Regelung des Art. 27 BayKrG war zweifelsohne aus der Zeit gefallen. Die Änderung hat viel zu lange auf sich warten lassen und ist im Grundsatz zu begrüßen.

Betreiber bayerischer Krankenhäuser dürfen nun aber nicht dem Irrglauben unterliegen, dass damit auch sonstige Erleichterungen hinsichtlich der Einhaltung einschlägiger datenschutzrechtlicher Vorschriften einhergehen. Insbesondere im Kontext der Verarbeitung von besonders sensiblen Patientendaten ist die Messlatte der datenschutzrechtlichen Anforderungen an die Übertragung von Aufgaben an Auftragsverarbeiter weiterhin hoch.

Die neu eröffneten Möglichkeiten bedingen auch ein Mehr an Prüfpflicht und Überwachung. Fundierte Kenntnisse über die Prüfung vertraglich durch den Dienstleister zugesicherter Pflichten, sowie die Umsetzung technischer Sicherheitsmaßnahmen sind unabdingbar.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

 

Geschrieben am:

Bestellung eines externen Datenschutzbeauftragten

Wenn Sie auf einen Experten als externen Datenschutzbeauftragten für Ihr Unternehmen setzen wollen, gilt es diesen sorgfältig auszuwählen und anschließend rechtskonform zu bestellen. Das hier beschriebene Best-Practice-Vorgehen hilft Ihnen dabei, den passenden Datenschutzbeauftragten für Ihr Unternehmen zu finden und eine optimale Zusammenarbeit zu beginnen.

1. Schritt: Auswahl des geeigneten Datenschutzbeauftragten

Wenn Sie sich im Unternehmen entschieden haben, anstelle eines Mitarbeiters (als betrieblichen Datenschutzbeauftragten) lieber einen Experten als externen Datenschutzbeauftragten zu bestellen, sollten Sie bei der Auswahl des geeigneten Dienstleisters mindestens auf folgende Merkmale achten:

  • Die als externe Datenschutzbeauftragte zu bestellenden Mitarbeiter des Anbieters verfügen über eine entsprechende juristische Qualifikation mit Spezialisierung auf das Datenschutzrecht und die datenschutzrechtlichen Nachbargebiete. Datenschutz ist Querschnittsmaterie, deshalb werden über das Datenschutzrecht hinaus etwa Kenntnisse im Arbeitsrecht, öffentlichem Recht, Lauterkeitsrecht, Telekommunikationsrecht, etc. benötigt.
  • Der Anbieter hat Mitarbeiter, die umfassende IT-Kenntnisse vorweisen können. Denn nur so kann der Datenschutzbeauftragte Ihre IT überhaupt richtig prüfen und Ihnen bei der konkreten Umsetzung der gesetzlichen Vorgaben in Ihrem Unternehmen helfen.
  • Das Team des Anbieters verfügt nachweislich über eine mehrjährige Berufserfahrung im Bereich Datenschutz und Informationssicherheit, damit alle Beratungsprozesse möglichst hochgradig optimiert sind.
  • Der Anbieter kann Erfahrungen aus Ihrer Branche vorweisen, so dass etwaige Spezialisierungen Ihres Geschäftsmodells nicht zu unerwarteten Hindernissen werden.
  • Die Integration des internationalen Datenschutzrechts ist beim Anbieter eingeschlossen, damit Sie beim Einsatz von Cloud-Computing, Datentransfers in die USA oder dem Einsatz von Software-as-a-Service (SaaS) datenschutzkonform arbeiten können.
  • Im Idealfall gestaltet der Anbieter seine Leistungs- bzw. Kostenstruktur transparent (z. B. als Datenschutz-Flatrate), so dass Sie vor Kostenfallen bzw. bösen Überraschungen sicher sind.

Lesen Sie hier, worauf Sie beim Vergleich mehrerer Anbieter und der Auswahl eines externen Datenschutzbeauftragten achten sollten.

2. Schritt: Kick-off-Meeting & Dokumentenprüfung

Nachdem Sie sich für das zu Ihrem Unternehmen passende Angebot entschieden haben, sollte eine Art Kick-off-Meeting stattfinden. Bei dieser ersten Besprechung (vor Ort) werden Ihr Management und andere Verantwortliche

  • über die rechtlichen und tatsächlichen Anforderungen des Datenschutzes und der damit zusammenhängenden Fragen der Datensicherheit informiert
  • und auf die zu erfüllenden Aufgaben vorbereitet.

Zu diesem Kick-off-Meeting sollten Sie dem Datenschutz-Dienstleister vorhandene Unterlagen über den aktuellen organisatorischen und technischen Status im Bereich Datenschutz und IT-Sicherheit vorlegen können. Manche Anbieter wollen diese Unterlagen bereits vorab sichten. Sie können in der Regel anonymisiert und von Geschäftszahlen bereinigt sein.

Der zukünftige externe Datenschutzbeauftragte wird diese Unterlagen sichten, bewerten und auf Vollständigkeit sowie Rechtskonformität überprüfen. Dabei prüft er unter Umständen auch gleich die Website Ihres Unternehmens mit.

3. Schritt: Datenschutz-Audit

Als nächster Schritt bei der Bestellung des externen Datenschutzbeauftragten folgt das Datenschutz-Audit direkt bei Ihnen im Unternehmen. Das Audit sollte an dem Standort erfolgen, an dem die maßgebliche Unternehmens-IT betrieben wird, damit sich die Prüfer einen konkreten Eindruck verschaffen können.

Im Rahmen des Datenschutz-Audits werden mit unterschiedlichen Verantwortlichen – insbesondere aus den Bereichen IT, Personal, Marketing und Vertrieb – Fragen zu IT-Sicherheitsmanagement, Datenschutzmanagement und Gebäudesicherheit abgeklärt.

Das Audit dient dazu, den Ist-Zustand im Bereich des Datenschutzes zu dokumentieren. Es werden die im Unternehmen bereits getroffenen und noch umzusetzenden Maßnahmen erfasst, die für einen datenschutzkonformen Zustand erforderlich sind.

Im Idealfall prüfen die Experten des Datenschutz-Anbieters nach anerkannten und systematischen Kriterien, etwa den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Davon können Sie ausgehen, wenn ein entsprechend zertifizierter Auditor dabei ist.

4. Schritt: Auditbericht & Maßnahmenkatalog

Der folgende Auditbericht stellt gewissermaßen die Arbeitsgrundlage für den zu bestellenden externen Datenschutzbeauftragten dar. Dieser kann daraus die fortlaufende Verbesserung der datenschutzrechtlichen Situation in Ihrem Unternehmen herleiten bzw. herbeiführen. Dafür sollte der Bericht

  • eine ausführliche Beschreibung der beim Audit vorgefundenen datenschutzrechtlichen Situation im Unternehmen beinhalten und
  • zu den einzelnen Befunden jeweils eine Handlungsempfehlung geben.

Bei sehr guten Datenschutz-Anbietern sind die Handlungsempfehlungen im Auditbericht mit verschiedenen Prioritätsstufen und Reifegraden versehen. Dadurch können Sie schnell erkennen, ob die Umsetzung die Erfüllung des gesetzlich geforderten Mindeststandards darstellt oder ein darüberhinausgehendes Datenschutz- und Informationssicherheitsmanagement verwirklicht.

5. Schritt: Bestellung des externen Datenschutzbeauftragten

Nach diesen wichtigen Vorbereitungsschritten sind Sie soweit: Sie können den Experten des Anbieters als externen Datenschutzbeauftragten bestellen. Die Bestellung als formaler Akt sollte dokumentiert erfolgen (z. B. mit unserer Vorlage zur DSB-Bestellung).

Je nach Anbieter kann es sein, dass Sie hierbei zwischen verschiedenen Tarifen wählen können, z. B. von der einfachen Umsetzung der gesetzlichen Mindestanforderungen bis hin zum proaktiven Datenschutz-Management. Bei der Entscheidungsfindung sollten Sie vor allem folgende Aspekte beachten:

  • Wie viele Aufgaben wollen Sie an den externen Datenschutzbeauftragten delegieren – und wie viele können Sie überhaupt intern erledigen?
  • Ist Ihr Unternehmen in einer hinsichtlich des Datenschutzes besonderen Branche (z. B. Finanzen, Gesundheit, Online-Marketing) tätig?
  • Verfügt Ihr Unternehmen über mehrere Standorte, ggfs. sogar im Ausland bzw. handelt es sich um einen Konzern?

Fazit: Machen Sie den Datenschutz zur Chefsache

Die geschilderten fünf Schritte sind ein prototypischer Weg zur Bestellung eines externen Datenschutzbeauftragten im Unternehmen. Die Vorschläge beruhen auf der langjährigen Praxis der activeMind AG in diesem Bereich. Andere Anbieter können durchaus andere Wege nehmen.

Als Unternehmer sollten Sie jedoch darauf achten, dass Ihr Weg zum externen Datenschutzbeauftragten ähnlich systematisch erfolgt. Denn nur systematisch umgesetzter und entsprechend dokumentierter Datenschutz macht Ihr Unternehmen rechtskonform – und verschafft Ihnen darüber hinaus einen Wettbewerbsvorteil. Selbst wenn Ihnen das Thema Datenschutz also lästig erscheinen sollte, die Bestellung eines externen Datenschutzbeauftragten sollten Sie zur Chefsache machen!

Dieser aktualisierte Artikel wurde zuerst am 5. Dezember 2016 veröffentlicht.

Unser Vorgehen überzeugt Sie? Dann lassen Sie sich von uns ein individuelles Angebot für Ihren externen Datenschutzbeauftragten erstellen!

Geschrieben am:

Schriften auf Websites DSGVO-konform einbinden (Anleitung)

Webfonts wie Google Fonts sind von kaum einer modernen Website wegzudenken. Doch werden diese Schriftarten über einen externen Anbieter geladen, führt dies zu datenschutzrechtlichen Problemen und ggfs. Schadensersatzansprüchen, wie ein aktuelles Urteil zeigt. Wir erklären Ihnen, wie Sie die Schriften auf Ihrer Website testen und als Webfonts rechtskonform einbinden.

Was ist das Problem bei Webfonts?

Viele Anbieter von Webfonts, sprich typografischer Gestaltungen in Form von Schriftarten, hosten diese selbst. Darunter auch Google als größter Anbieter einer Schriftbibliothek unter dem Namen Google Fonts. Die einfachste Methode Schriften auf der Website einzubinden, erfolgt durch eine verlinkte URL mittels eines href-Attributs im Backend der Website. Viele Templates für Content-Management-Systeme wie etwa WordPress nutzen diese Funktion.

Dadurch wird auf dem Internetauftritt vieler Websitebetreiber immer noch auf den Fremdinhalt der Google-Server verlinkt. Wird die Website aufgerufen, erfolgt eine automatische Verbindung zum entsprechenden Google-Server, der die Schriften ausliefert und im Frontend des Besuchers anzeigt.

Problematisch dabei ist, dass Server standardmäßig Eventdaten im Rahmen des Zugriffs mitschreiben und speichern. Sobald der Rechner des Endnutzers über die aufgerufene Website mit dem Google-Server kommuniziert, werden entsprechende Zugriffsdaten erhoben, die auch die IP-Adresse des anfragenden Geräts enthält. Da die Rechtsprechung IP-Adressen als personenbezogene Daten erachtet, ist der datenschutzrechtliche Anwendungsbereich eröffnet und das Verarbeiten selbiger grundsätzlich rechtfertigungsbedürftig. Eine Übermittlung ist daher an bestimmte Anforderungen geknüpft.

Was müssen Websitebetreiber tun?

Zunächst sollten Websitebetreiber prüfen, ob sie die IP-Adressen ihrer Besucher durch den Einsatz von Webfonts übermitteln. Ob die Einbindung von Schriften zentral (selbst gehostet) oder dezentral (fremd gehostet) erfolgt, kann am bequemsten über den Entwicklermodus oder den Seitenquelltext im Browser eingesehen werden.

  • Für erstere Funktion drückt man im Falle von Windows F12 auf der Tastatur und wählt dann den Bereich Netzwerkanalyse.
  • Für Letztere Funktion klickt man auf Strg + U.
  • Beides kann alternativ auch durch Klick mit rechter Maustaste auf einer Webseite erreicht werden.

In der Netzwerkanalyse des Entwicklermodus werden die von der Website ausgelösten Serveranfragen aufgelistet.

Im Quelltext gelangt man mit Strg + f in die Suchfunktion, worüber man nach dem Stichwort „Fonts“ suchen kann.

Wird in der Netzwerkanalyse oder im Seitenquelltext eine Bezugsquelle mit href-Attribut, wie z.B. „fonts.googleapis“ oder „fonts.gstatic“ angezeigt, und man gelangt mittels Klick hierauf auf eine neue Website, handelt es sich um die externe Lösung, wodurch Google (oder ein anderer Anbieter wie Adobe) an die IP-Adresse der Websitebesucher gelangt.

Sind dem Quelltext selbst zahlreiche Fonts direkt zu entnehmen, ohne einen entsprechenden Referenzlink, kann dagegen von einer lokalen Einbindung ausgegangen werden.

Wer zusätzliche Informationen abfragen will, kann im Entwickler-Cockpit sowohl unter „Netzwerk(analyse)“, als auch unter „Quellcode“, eingebundenen Fremdcode ausfindig machen. Hierbei werden entweder die verschiedenen Hosts der Inhalte oder die fremden Domänen in eigenen Ordnern angezeigt. Sind die Schriften lokal eingebunden, dürfen hierin keinerlei Google-Quellen mehr auftauchen.

Auch gängige Browser Addons können entsprechenden Netzwerkverkehr auslesen. Dies können Browserfirewalls oder aber spezielle Analysetools sein. Die Bandbreite solcher Tools ist groß.

Abhilfe: Lokale Einbindung, Anonymisierung oder Einwilligung

Gängige Webfonts können grundsätzlich frei zugänglich und quelloffen heruntergeladen werden. Die einfachste Lösung, Webfonts datenschutzkonform einzubinden, ist daher die direkte Auslieferung vom eigenen Server. Eine Kommunikation mit einem fremden Server und somit auch ein Datenfluss entstehen erst gar nicht. Auch Google selbst bietet seine Bibliothek zur freien Nutzung an.

Sobald man die Auswahl seiner Fonts getroffen hat, kann man dieses meist im Zip-Format herunterladen und auf dem eigenen Server hochladen. Der (CSS-)Code wird im Grunde nur im Backend der Website über die Entwickleroberfläche selbst als Fremdcode oder über ein Plugin eingefügt. Dem Browser wird der entsprechende Speicherort dann mittels CSS-Befehl mitgeteilt.

Im letzten Schritt muss der ursprüngliche Referenzlink zu Google entfernt werden. Dafür ist oft eine Anpassung des verwendeten Templates notwendig. Nicht selten findet man in der Praxis eine hybride Form der Umsetzung.

Will man auf die dezentrale Lösung partout nicht setzen – argumentiert wird zumeist mit einer zu großen Belastung der eigenen Server – wird man um die Einbindung über ein Consent-Tool nicht herumkommen. D.h., dass die Schriften technisch erst dann nachgeladen werden dürfen, wenn der Websitebesucher diesem Dienst ausdrücklich zustimmt. Bis zu einem entsprechenden informierten Opt-in, darf die Seite keine Daten an Drittserver übermitteln. Ist der Besucher also trotz des nicht bestätigten Consent-Banners auf der Website unterwegs, kann dies Auswirkungen auf die grafische Darstellung haben.

Zusätzlich sei hier nochmals auf die nicht gelöste Drittlandproblematik hingewiesen, sollten die ausliefernden Server – wie dies beispielsweise bei Google der Fall ist – in einem unsicheren Drittland wie den USA stehen.

Selten wird man auf den Fall stoßen, dass Daten skriptseitig vor Übermittlung an Google anonymisiert werden. Zumindest für das Nachladen nur von Schriften wird ein solcher Aufwand nicht betrieben werden. Der Rückgriff auf die lokale Umsetzung ist einfacher und praktikabler.

Fazit: Lokale Einbindung als Win-Win für Websitebetreiber

Neben den rechtlichen Gründen, auf eine lokale Einbindung zu setzen, gibt es kaum mehr Gründe für eine dezentrale Realisierung. Auch muss nicht mehr zwingend auf Google-Server zurückgegriffen werden, um bereits auf im Cache des Nutzers gespeicherte Fonts zurückgreifen zu können. Bessere Ladezeiten gehen damit nicht zwingend einher, im Gegenteil kann das lokale Laden von (nicht allzu vielen) Schriftarten die Website-Performance sogar steigern. Websitebetreiber sparen sich zudem Zeit für die Konfiguration ihrer Consent-Lösungen, welche immer mit der dezentralen Lösung einhergehen müssen.

Als goldene Regel können Websitebetreiber mitnehmen, dass aus datenschutzrechtlicher Sicht alle eigens gehosteten Dienste in der Regel immer datenschutzfreundlicher und damit rechtsicherer sind. Eine Rechtsgrundlage wird dann nämlich in diesem Fall nur für das Erheben selbst und nicht zusätzlich für die Übermittlung benötigt.

Rechtsunsicherheiten bestehen bei der dezentralen Lösung darüber hinaus auch in Hinblick auf die Konstellation zwischen Websitebetreiber und Empfänger der Daten. Denn ob beispielsweise Google die gewonnenen Daten mit Drittquellen zusammenführt und zu eigenen Zwecken weiterverarbeitet, wird man nicht ausschließen können. Eine für die Übermittlung freiwillige und informierte Einwilligung des Besuchers scheint jedenfalls fragwürdig. Auch an eine möglicherweise notwendige vertragliche Konstellation zur Nutzung der Daten nach Art. 26 bzw. 28 DSGVO wird man schwierig herankommen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

 

Geschrieben am:

Rechtskonforme Löschung der Daten von Mietinteressenten

Wer eine Wohnung oder Immobilie mieten möchte, muss spätestens nach der Besichtigung in aller Regel eine Selbstauskunft bei der Hausverwaltung bzw. dem Makler einreichen. Oftmals werden sensible Informationen wie Nachweise über die wirtschaftliche Leistungsfähigkeit, Identifikationsnachweise, Arbeitsverträge oder gar Empfehlungsschreiben verlangt.

Eine Mieterselbstauskunft enthält also zahlreiche personenbezogene Daten, wodurch das Datenschutzrecht anzuwenden ist. Nachdem der Vermieter einen passenden Bewerber ausgewählt hat, stellt sich die Frage, wie mit den Daten der abgelehnten Mietinteressenten umzugehen ist. Hierbei können sich Datenschutz und andere Vorschriften widersprechen. Zumindest ein Weg ist jedoch juristisch zu empfehlen.

Anwendbarkeit auf Vermieter

Art. 2 Abs. 1 DSGVO erfasst sowohl die wirtschaftliche als auch berufliche Tätigkeit von Privatpersonen und somit auch gewerbliche und nicht gewerbliche Vermieter. Etwas anderes gilt nur, wenn das Haushaltsprivileg nach Artikel 2 Abs. 2 Buchst. c DSGVO vorliegt. Lesen Sie zur Anwendbarkeit der DSGVO auch auf private Mietverträge unsere ausführliche Urteilsbesprechung.

Datenschutz-Löschpflichten des Vermieters

Grundsätzlich gilt für den Umgang mit personenbezogenen Daten, dass diese zu löschen sind, sobald keine Rechtsgrundlage für deren Nutzung mehr besteht. Das ist regelmäßig der Fall, wenn der im Zeitpunkt ihrer Erhebung festgelegte Zweck nicht mehr gegeben ist, erreicht wurde oder nicht mehr erreicht werden kann.

Konkret bedeutet dies für den Umgang mit Mietinteressenten, dass deren Daten unter dem Gesichtspunkt des Datenschutzes zu löschen sind, sobald den Interessenten eine Absage erteilt wurde und auch kein nachweisbares Interesse an der Anmietung an einer anderen Wohnung besteht.

Hiervon zu unterscheiden sind die zu Beginn eingeholten Informationen des späteren Mieters. Diese können zweckgebunden unter Umständen länger aufbewahrt werden.

Aufbewahrungspflichten aus anderen Gesetzen

Der Grundsatz für die Daten der übrigen Mietinteressenten gilt aber nur dann, wenn der Löschverpflichtung keine Pflicht zur Aufbewahrung entgegensteht. Eine Pflicht zur Aufbewahrung von Daten kann sich insbesondere aus dem Allgemeinen Gleichbehandlungsgesetz (AGG) ergeben. Zunächst gilt, dass nach § 2 Abs. 1 Nr. 8 AGG das Verbot der Diskriminierung auch für die Vergabe von Wohnraum greift. Das Gesetz schreibt hierzu:

„Benachteiligungen aus einem in § 1 genannten Grund sind nach Maßgabe dieses Gesetzes unzulässig in Bezug auf den Zugang zu und die Versorgung mit Gütern und Dienstleistungen, die der Öffentlichkeit zur Verfügung stehen, einschließlich von Wohnraum.“

Mietinteressenten dürfen demnach nicht nach folgenden Gesichtspunkten benachteiligt werden:

  • Rasse
  • ethnische Herkunft
  • Geschlecht
  • Religion oder Weltanschauung
  • Behinderung
  • Alter
  • sexuelle Identität.

Geschieht dies doch, können abgelehnte Mietbewerber unter anderem Schadensersatz verlangen. Dies richtet sich nach der Vorschrift des § 21 AGG. Darin enthalten ist auch eine Frist für die Geltendmachung von Ansprüchen durch die Mietinteressenten. Demnach muss ein Anspruch innerhalb von zwei Monaten geltend gemacht werden (§ 21 Abs. 5 AGG).

Um sich als Vermieter angemessen gegen solche Ansprüche verteidigen zu können, ist es gestattet, die Unterlagen von abgelehnten Mietinteressenten für einen Zeitraum von drei Monaten aufzubewahren.

Nur im Einzelfall kann sich auch eine längere Frist von drei Jahren für Ansprüche von Mietinteressenten ergeben. Dies ergibt sich aus § 21 Abs. 3 AGG, welcher auf Ansprüche aus unerlaubter Handlung verweist. Ein Beispiel wäre, wenn ein Mietinteressent behauptet, er wäre (bei der Besichtigung) beleidigt worden. Ansprüche hieraus könnte er noch innerhalb von drei Jahren geltend machen, da sie erst dann verjähren. Dies ist aber nicht der Regelfall, weswegen eine grundsätzliche Speicherung der Daten von Mietinteressenten für drei Jahre nicht zulässig ist.

Fazit: Saubere Dokumentation und rechtzeitige Löschung

Da davon auszugehen sein dürfte, dass die Mehrzahl von Wohnungsbesichtigungen reibungslos abläuft, kann folgendes Vorgehen juristisch empfohlen werden:

  1. Vermieter bzw. deren Verwalter sollten auf der Selbstauskunft des Interessenten die jeweiligen Ablehnungsgründe dokumentieren.
  2. Die Unterlagen von allen Mietinteressenten werden drei Monate lang aufbewahrt – gerechnet ab dem Zeitpunkt der Ablehnung des Interessenten.
  3. Anschließend erfolgt die (im besten Fall dokumentierte) Vernichtung der Selbstauskünfte, wenn keiner der Interessenten Ansprüche nach dem AGG geltend gemacht hat.
  4. Denken Sie unbedingt auch an die unwiederbringliche Löschung sämtlicher Daten, beispielsweise E-Mails oder Datenträger.
  5. Einen professionellen Eindruck hinterlassen Sie insbesondere dann, wenn Sie den Interessenten nach der Löschung proaktiv über selbige informieren. Auch beugen Sie damit unter Umständen entsprechende Anfragen der Betroffenen vor.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Compliance in der Informationssicherheit (nach ISO 27001)

Compliance spielt für die Informationssicherheit im Unternehmen eine wichtige Rolle. Ziel ist es, Verstöße gegen gesetzliche, regulatorische, vertragliche oder selbstauferlegte Verpflichtungen im Kontext der Informationssicherheit zu vermeiden. Solche Rechtsverstöße können nicht nur empfindliche Strafzahlungen für Unternehmen bedeuten, sondern schlimmstenfalls zu irreversiblen Reputationsschäden führen.

Ein praktikablen Ansatz zur Erreichung von Compliance liefert die Sicherheitsnorm ISO 27001 in Annex A, Kapitel 18. Wir erklären Ihnen die wichtigsten Aspekte und zeigen einen praktischen Zugang für die Umsetzung in Ihrem Unternehmen.

Erfassung der Anforderungen in einem Rechtskataster

Keine Compliance ohne Rechtskataster! Zunächst müssen Unternehmen alle für sie relevanten Anforderungen aus Gesetz, Vertrag und unternehmensinternen Regelungen identifizieren. Verschiedene Informationssysteme erfordern unter Umständen andere Anforderungen. Oft spielen im Bereich der Informationssicherheit Anforderungen, die sich unmittelbar aus dem Gesetz ergeben (etwa Datenschutzrecht, Geschäftsgeheimnisgesetz oder Arbeitsrecht), oder aber vertragliche Vorgaben, die sich zum Beispiel aus Geheimhaltungsverpflichtungen ergeben, eine übergeordnete Rolle.

Hierneben wird es in jedem Unternehmen bestimmte Transparenzverpflichtungen geben, sei es für die ordentliche Buchführung oder für weitreichendere Anforderungen aus dem Finanzsektor.

Für international tätige Unternehmen ist darüber hinaus die Identifizierung auch internationaler Compliance-Anforderungen essenziell. Welche Einzelheiten in einem Rechtskataster aufgenommen werden müssen, ist nicht vorgegeben. Ein Ausschnitt eines möglichen Rechtskatasters kann so aussehen:

Datenschutz Telekommunikation
Gesetz der entsprechenden Anforderung Datenschutzgrundverordnung, Bundesdatenschutzgesetz, Telekommunikationsgesetz Telekommunikationsgesetz
Vertrag der entsprechenden Anforderung Arbeitsvertrag, Geheimhaltungsvereinbarung, Verpflichtungserklärung, Auftragsverarbeitungsvertrag Arbeitsvertrag, Verpflichtung Fernmeldegeheimnis
Kürzel DSGVO, BDSG, TMG TKG
Paragraph / Absatz Art. 5, 24, 32 DSGVO § 88 TKG
Relevanter Inhalt / Regelungsschwerpunkt Gewährleistung Schutzziele Verfügbbarkeit, Vertraulichkeit und Widerherstellbarkeit Wahrung des Fernmeldegeheimnisse
zu berücksichtigen bei Verarbeitung personenbezogener Daten Zugang Inhalt Telekommunikation
Verantwortlich
Zielgruppe der Maßnahme / interessierte Partei Mitarbeiter, Geschäftsleistung, Aufsichtsbehörden, Lieferanten Mitarbeiter, Geschäftsleitung, Aufsichtsbehörde, Lieferanten

Umsetzung der Compliance-Anforderungen

Sind die einschlägigen Anforderungen identifiziert, müssen Regelungen her. Alle Adressaten der Vorgaben müssen die sie betreffenden Vorgaben kennen und einhalten. Beispielsweise sind vertragliche Zusagen, die gegenüber Geschäftspartnern gemacht werden, an die Mitarbeiter weiterzugeben.

Neben internen Leitlinien, die den groben Umgang festlegen, wird es ebenfalls notwendig sein, konkrete Pflichten zu regeln. Diese können sowohl in einer aktiven Handlung als auch in einem Unterlassen bestehen. In der Praxis wird neben internen Unternehmensregeln auch das Bedürfnis bestehen, Regelungen im Arbeitsvertrag oder mittels Verpflichtungserklärungen aufzustellen. Worauf jeweils zurückgegriffen wird, hängt auch mit den beabsichtigten Rechtsfolgen zusammen, die man an einen Verstoß knüpft.

Compliance-Anforderungen der ISO 27001

Regelung zum Umgang mit geistigem Eigentum

Unternehmen, die ein Managementsystem nach ISO 27001 im Unternehmen etabliert haben oder etablieren wollen, haben oft im engeren oder weiteren Sinne geschäftsmäßig mit Softwareprodukten zu tun. Unabhängig davon, ob sie Software selbst entwickeln oder verwenden, ergeben sich hieraus spezielle Anforderungen an den Schutz der geistigen Eigentumsrechte wie dem Urheberrecht.

Eine entsprechende Richtlinie hilft, die legale Nutzung von Software- und Informationsprodukten zu gewährleisten. Ein solches Dokument enthält hierbei nicht nur den Umgang mit ideellen Werten, sondern auch disziplinarische Konsequenzen für die Mitarbeiter. Um die rechtlichen Vorgaben entsprechend im Unternehmen kommunizieren zu können, bedarf es einer Auseinandersetzung unter anderem mit Lizenzvereinbarungen, Quellcode-Nutzung und kommerzieller Nutzung urheberrechtlich geschützter Software.

Anforderungen an den Schutz von Aufzeichnungen

Regulatorische Anforderungen im Bereich der Informationssicherheit ergeben sich insbesondere auch aus dem Schutz von Aufzeichnungen. Neben den datenschutzrechtlichen Verpflichtungen setzt auch das Gesetz zum Schutz von Geschäftsgeheimnissen entsprechende Schutzanforderungen an den Umgang mit Aufzeichnungen. Diese durch ein Informationssicherheits-Management nach ISO 27001 zu schützen, hat viele Vorteile.

Geschützt werden sollen Aufzeichnungen vor Verlust, Zerstörung, Fälschung, Veränderung, unbefugtem Zugriff oder unbefugter Veröffentlichung. Klassisches Beispiel wären die Vorgaben aus Art. 32 Datenschutz-Grundverordnung (DSGVO), wonach das verantwortliche Unternehmen technische und organisatorische Maßnahmen treffen muss, um die datenschutzrechtlichen Grundprinzipien wie Verfügbarkeit, Integrität und Vertraulichkeit gewährleisten zu können.

Doch wie setzen Sie das in die Praxis um? Die im Unternehmen für Aufzeichnungen eingesetzten Speichermedien sollten entsprechend ihrer Verwendung kategorisiert und ausgewählt werden. Hierzu müssen im Vorfeld Fragen eruiert werden. Beispielsweise ob die Möglichkeit einer Verschlechterung der Datenträgerqualität für den festgelegten Zeitraum der Aufbewahrung möglich ist, die Kapazität ausreicht und oder eine Applikation kryptografische Maßnahmen via Design ermöglicht, um die Aufzeichnungen angemessen zu schützen.

Eine der Compliance immanente Frage ist die nach einer entsprechenden Vernichtung bzw. Löschung. Sie sollte stets am Beginn der Auseinandersetzung stehen. Denn sollte das Unternehmen erst im Nachgang feststellen, dass beispielsweise eine Löschung einzelner Datensätze softwareseitig nur manuell oder gar nicht erfolgen kann, rückt eine praktikable Lösung in weite Ferne. Um dies zu umgehen, verlagert man diese Fragen im Zuge eines Anforderungsmanagements in den Auswahlprozess vor. Zur Umsetzung empfiehlt es sich, identifizierte Compliance-Anforderungen bereits bei Anschaffung mit zu beachten. Oft helfen hierbei aufgestellte Leitfäden, die mithilfe der Herstellerinformationen für die Aufbewahrung, Lagerung, Handhabung und Entsorgung ausgearbeitet werden können.

Keine Informationssicherheits-Compliance ohne Datenschutz

Während die Informationssicherheit perspektivisch den Schutz von Unternehmenswerten im Blick hat, beschäftigt sich der Datenschutz mit den Rechten der Betroffenen, soll also Persönlichkeitsrechte schützen. Dieser Schutz, zum Beispiel vor Offenlegung sensibler Informationen die Privatsphäre betreffend, wird zunehmend technisch, zum Beispiel durch Verschlüsselung, realisiert. Hier lassen sich Brücken zur Informationssicherheit schlagen und Synergien nutzen.

Sobald zu schützende Informationen personalisierbar sind, bedarf es auch der Einhaltung datenschutzrechtlicher Anforderungen. Sie spielen demnach für die Compliance eine erhebliche Rolle. Erfahrungsgemäß wird ein Großteil der ISO-27001-Compliance-Vorgaben also immer auch den Datenschutz zum Gegenstand haben. Erfüllt ein Unternehmen die Datenschutzanforderungen, erfüllt es gleichzeitig auch einen Großteil der ISO-27001-Anforderungen aus dem Kapitel 18.

Für größere Unternehmen sollte hierfür ein eigenes Datenschutz-Managementsystem umgesetzt werden. Baut man dieses ebenfalls nach dem ISO-Leitfaden für Compliance-Managementsysteme (ISO 19600) auf, lassen sich die beiden Systeme gut im Rahmen eines integrierten Managementsystems vereinen und Redundanzen vermeiden.

Mehr Compliance durch kryptografische Maßnahmen

Regulatorische Anforderungen sind ohne Kryptografie nicht mehr einzuhalten. Auch in Hinblick auf technische Maßnahmen zur rechtskonformen Verarbeitung personenbezogener Daten (Stichwort: Vertraulichkeit) ist Verschlüsselung das Mittel der Wahl. Aber auch die sichere Übertragung von wertvollen betrieblichen Informationen, die sich zum Beispiel aus vertraglichen Anforderungen gegenüber Lieferanten ergeben, kann mit Verschlüsselungstechnologie begegnet werden.

Um einen gesteuerten Einsatz und bedarfsgerechten Umgang mit kryptografischen Maßnahmen zu gewährleisten, sollte ein Kryptografiekonzept in jedem Unternehmen Standard sein. Beugen Sie im Unternehmen Compliance-Verstößen vor, indem Sie technische Maßnahmen erzwingen. Sind beispielweise die Festplatten aller Clients der Mitarbeiter bei Nichtnutzung verschlüsselt, brauchen Sie sich bei Verlust selbiger nur mit vorhandenen Redundanzen herumschlagen, nicht aber mit einem Datenschutzverstoß. Zudem brauchen Unternehmen für alle Schutzmaßnahmen, die technisch realisiert werden können, keine organisatorischen Vorgaben mehr treffen.

Fazit: Mehr Compliance durch die ISO 27001

Setzt ein Unternehmen auf eine Zertifizierung nach ISO 27001, kommt es an der Auseinandersetzung mit Compliance nicht vorbei. Hier zeigt sich, dass solche Unternehmen im Gegensatz zu anderen in Sachen Compliance nicht blank sind. Denn die Identifizierung von rechtlichen und vertraglichen Vorgaben im Bereich Informationssicherheit geht immer mit Synergien zugunsten einer allgemein höheren Rechtskonformität einher.

Hat ein Unternehmen bisher nur auf den Standard ISO 27001 gesetzt, sind beispielsweise Datenschutzanforderungen nicht gänzlich unbekannt. Maßnahmen zu Verfügbarkeit, Integrität und Vertraulichkeit sind meist hinreichend getroffen. Andersherum wird man auch aus einem etablierten Datenschutzmanagementsystem heraus leichter zur ISO-27001-Compliance kommen als wenn man komplettes Neuland betritt.

Wo Sie derzeit auch stehen, nutzen Sie diesen Vorteil und schützen Sie Ihre organisationseigenen Werte mit Hilfe der dargestellten Compliance-Vorgaben!

Sie wollen Ihr Unternehmen nach ISO 27001 zertifizieren lassen? Dann bestellen Sie jetzt einen unserer Experten als externen Informationssicherheitsbeauftragten! Wir führen Sie bis zum erfolgreichen Audit.

Geschrieben am:

Länderübergreifende Prüfung zum Drittlandtransfer

Paukenschlag pünktlich zum Sommer: Wie den Pressemitteilungen einiger Aufsichtsbehörden zu entnehmen ist, starten diese eine koordinierte, länderübergreifende Prüfung von Unternehmen zum Drittlandtransfer. Hintergrund ist das im Sommer 2020 durch den Europäischen Gerichtshof (EuGH) gekippte EU-U.S. Privacy Shield – besser bekannt als Schrems II.

Gegenstand der Prüfung und betroffene Unternehmen

Nachdem von den deutschen Datenschutzaufsichtsbehörden seit dem Schrems-II-Urteil bis auf ein paar  Ausnahmen (z.B. die Untersagung des Newsletter-Tools Mailchimp durch die bayerische Behörde) nur wenig Konkretes zu hören war, überrascht es nicht, dass diese in der Zwischenzeit nicht untätig waren, sondern eine gemeinsame Überprüfungsstrategie ausgearbeitet haben.

Dazu schreibt die Berliner Datenschutzbeauftragte in ihrer Pressemitteilung:

„Die Zeiten, in denen personenbezogene Daten wie bisher in die USA übermittelt werden konnten, sind nach dem Schrems-II-Urteil vorbei. Der Europäische Gerichtshof hat die Aufsichtsbehörden ausdrücklich verpflichtet, unzulässige Datenübermittlungen zu verbieten. Mit der nun anlaufenden Prüfung reagieren wir auf diese Herausforderungen.“

Einer Pressemitteilung der Landesbeauftragten für den Datenschutz (LfD) Niedersachsen nach beteiligen sich an der gemeinsamen Überprüfung die Landesdatenschutzbehörden aus Baden-Württemberg, Bayern, Berlin, Bremen, Brandenburg, Hamburg, Niedersachsen, Rheinland-Pfalz und dem Saarland.

Dazu haben die Behörden gemeinsam fünf Fragebögen erstellt, die an ausgewählte Unternehmen versendet werden. Die aktive Mitarbeit der Unternehmen wird so eingefordert. Zu den Kriterien, welche Unternehmen überprüft werden, haben sich die Behörden bisher noch nicht geäußert. Die LfD Niedersachsen nennt zumindest eine Zahl, wenn sie von „18 niedersächsischen Unternehmen verschiedener Branchen“ spricht, die Fragebögen erhalten werden.

Was wollen die Behörden von den Unternehmen wissen?

Zeitgleich mit den Pressemitteilungen der Landesbehörden wurden auch die Fragebögen veröffentlicht. Damit kann sich jeder Verantwortliche ohne Weiteres einen Eindruck des Prüfumfangs verschaffen. Das ist nicht nur transparent, sondern bietet Unternehmen auch die Chance, gegebenenfalls vorhandene Missstände selbst zu erkennen und umgehend zu beheben. Der Ansatz der Behörden, den Datenschutz aktiv zu fördern und nicht nur plump zu strafen, wird hier wieder einmal deutlich.

Konkret handelt es sich dabei um folgende Fragebögen:

Abgedeckt werden damit unterschiedliche Gebiete des geschäftlichen Umgangs mit personenbezogenen Daten, in denen das Thema Drittlandtransfer eine besonders große Rolle spielt.

Worauf kommt es den Behörden an?

Natürlich liegt der Fokus der Fragebögen auf dem Drittlandtransfer. Die Fragen gehen dabei zum Teil recht tief ins Detail. Gefordert ist regelmäßig nicht nur das Darlegen von Gründen, sondern vor allem auch das Anbieten von Nachweisen. Damit wollen die Behörden prüfen, ob Unternehmen sich wirklich mit dem Thema beschäftigt haben oder ob es vorrangig ignoriert wurde und jetzt nachträglich Argumente aus dem Hut gezaubert werden. Da nach der DSGVO die Beweislast der rechtskonformen Verarbeitung personenbezogener Daten bei den Unternehmen liegt, überrascht dieses Vorgehen nicht, sondern entspricht der bisher gängigen behördlichen Praxis.

Antworten und Abwägungen, die Unternehmen in diesem Rahmen übermitteln müssen, umfassen zum Beispiel die Frage nach der Einhaltbarkeit von geschlossenen Standardvertragsklauseln. So muss dargelegt werden, warum man zu dem Schluss gekommen ist, dass diese ohne zusätzliche Maßnahmen vom Datenimporteur eingehalten werden können und ggf. welche Maßnahmen man warum getroffen oder verworfen hat.

Dabei werden Punkte wie FISA 702 (das Gesetz war einer der Hauptgründe für das Schrems-II-Urteil des EuGH), die zwingend in die Abwägung miteingeflossen sein müssen, auch nochmals extra abgefragt.

Auch bei den zusätzlichen Maßnahmen verbleibt es nicht bei oberflächlichen Fragen. So muss zum Thema Verschlüsselung zum Beispiel Stellung bezogen werden, ob diese den aktuellen Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) entspricht.

Ein besonderes Augenmerk liegt unserer Einschätzung nach auf der zunächst unscheinbar wirkenden Aufforderung der prüfenden Behörde, den relevanten Teil des Verzeichnisses der Verarbeitungstätigkeiten zu übermitteln. Hierüber kann die Behörde die komplette Verarbeitung (nicht nur den Drittlandtransfer) im Detail überprüfen und gegebenenfalls strukturelle Mängel im Datenschutzmanagement aufdecken sowie weitere Überprüfungen anstreben. Diesem letzten Punkt der Fragebögen sollte daher sehr viel Aufmerksamkeit geschenkt werden.

Was Unternehmen jetzt tun können

Die Fragebögen der Aufsichtsbehörden sind öffentlich zugänglich. Das eigenständige Durchgehen der Fragebögen mittels Self-Assessment wird Unternehmen ein gutes Bild vermitteln, ob und inwieweit Prozesse im Datenschutz etabliert sind und tatsächlich funktionieren. Ganz allgemein wird es aufzeigen, ob tiefergehende Datenschutzgesichtspunkte wie die Absicherung eines Drittlandtransfers schon bei der Auswahl von Tools oder im Rahmen des Projektmanagements ausreichend Beachtung finden.

Mittels Selbstcheck können Unternehmen zum einen die Fragebögen der Behörden durchgehen, zum anderen folgende flankierende Fragen erörtern:

  • Verzeichnis von Verarbeitungstätigkeiten: Kann Ihr Unternehmen einen aktuellen und vollständigen Auszug der Verarbeitungstätigkeiten zur Verfügung stellen, worin auf einen Drittlandtransfer eingegangen und eine geforderte Garantie aufgeführt wird?
  • Rechenschaftspflicht: Gibt es eine über das Verzeichnis der Verarbeitungstätigkeiten hinausgehende Dokumentation in Ihrem Unternehmen, die eine Auseinandersetzung mit dem Thema Drittlandtransfer nachweist?
  • Zusätzliche Maßnahmen bei identifizierten Drittlandtransfer: Sind erweiterte technische und organisatorische Maßnahmen risikoabhängig hinterfragt und getroffen worden, um einen derzeit stattfindenden Drittlandtransfer zusätzlich abzusichern?

Fazit: Prüfen Sie jetzt selbst, bevor die Behörden es tun

Erfahrungsgemäß fällt es Unternehmen schwer, hinsichtlich sämtlicher regulatorischer Anforderungen Rechenschaft im Umgang mit personenbezogenen Daten abzulegen. Oft fehlt es an festen Verantwortlichkeiten und Ressourcen, um einen strukturierten Prozess zu etablieren, der einen Drittlandtransfer identifiziert und rechtskonforme Handlungsalternativen aufzeigen kann.

Nutzen Sie diese Gelegenheit, um sich mit der Thematik auseinanderzusetzen. Je früher, desto besser. Greifen Sie hierzu auf die in Ihrem Unternehmen bestehende Expertise zurück. Gehen Sie die Fragen mit Ihren Fachverantwortlichen, Ihrem betrieblichen oder externen Datenschutzbeauftragten bzw. Dienstleistern durch, um noch vorhandene Schwachpunkte zu identifizieren und vorhandene Lücken zu schließen.

Wenn Sie von der diskutierten Überprüfung der Aufsichtsbehörden betroffen sein sollten, empfehlen wir Ihnen zur Vermeidung von Bußgeldern und Imageschäden dringend, die Beantwortung der Fragebögen zusammen mit einem Datenschutzexperten zu erledigen und dafür ggfs. auf externe Expertise zurückzugreifen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

 

Geschrieben am:

Ist der Betriebsrat Verantwortlicher im Sinne der DSGVO?

Ein Betriebsrat verarbeitet in aller Regel besonders schützenswerte personenbezogene Daten. Doch ist der Betriebsrat selbst Verantwortlicher – oder nur Teil des Arbeitgebers? Während es für beide Lesarten gute Argumente gibt, gilt es für Unternehmen vor allem darauf zu achten, dass beim Betriebsrat kein Datenschutzvakuum entsteht.

Update April 2021

Am 31. März 2021 wurde der Regierungsentwurf des bald zu verkündenden Betriebsrätemodernisierungsgesetz (BMAS) verabschiedet. Der derzeitige Umsetzungsstand kann hier eingesehen werden.

Datenschutzrechtlich relevant ist der Entwurf auch mit Hinblick auf die darin beabsichtigte Klarstellung der datenschutzrechtlichen Verantwortlichkeit. Im Sinne der Rechtssicherheit soll § 79 a S. 2 BMAS die in der Rechtspraxis durchaus umstrittene Frage beantworten, wonach nunmehr der Arbeitgeber als alleiniger Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO gelten soll.

Konkrete Folgen werden (falls in der Praxis umgesetzt) die organisatorische Entlastung des Betriebsrates sein. Dieser wird künftig keinen eigenen Datenschutzbeauftragten bestellen, kein Verzeichnis der Verarbeitungstätigkeiten und keine eigenen Informationspflichten gegenüber den Beschäftigten erfüllen müssen. Betroffene wird er mit datenschutzrechtlichen Anfragen an den Arbeitgeber verweisen können. Vielmehr erschöpft sich die Erfüllung datenschutzrechtlicher Anforderungen in der im Gesetz postulierten gegenseitigen Unterstützungspflicht (vgl. § 79 a S. 3 BMAS).

Datenschutzrechtliche Einschätzung

Kritisch zu sehen ist diese Regelung vor dem Hintergrund der Definition der datenschutzrechtlichen Verantwortlichkeit in Art. 4 Nr. 7 DSGVO. Denn letztlich ist hierfür nicht ein Gesetz konstituierend, sondern die in der Praxis rein faktische Bestimmungsmöglichkeit über Zweck und Mittel der Verarbeitung. Gerade eine formalisierte Einordung ist zu vermeiden, ausschlaggebend ist vielmehr das wesentliche Merkmal der tatsächlichen Entscheidungsgewalt. Denn gerade hieraus leiten sich alle datenschutzrechtlichen Pflichten ab, die der Verordnungs- bzw. Gesetzgeber von einem Verantwortlichen fordert.

Will der Betriebsrat künftig weiterhin für originäre Betriebsratsaufgaben weisungsunabhängig auch personenbezogene Daten verarbeiten, dann bleibt er qua dieser Definition zwar Verantwortlicher, wird dann aber wie ein Konstrukt eigener Art behandelt, wonach er dennoch die Vorschriften über den Datenschutz einzuhalten hat. Die Einordung des Arbeitsgebers als alleinigen Verantwortlichen auch für Verarbeitungen, die dem Betriebsrat zuzuordnen sind, darf nicht dazu führen, dass der Betroffene seiner Möglichkeit beraubt wird, seine Rechte gegen genau derjenigen Stelle geltend zu machen, die den faktisch größten Einfluss auf die Verarbeitung ausübt.

Auch die festgeschriebene gegenseitige Unterstützungspflicht kann nicht über die Schwäche des Konstrukts hinwegtäuschen. Da der Betriebsrat laut Entwurfsbegründung des Gesetzgebers selbst „(…) innerhalb seines Zuständigkeitsbereichs eigenverantwortlich die Umsetzung technischer und organisatorischer Maßnahmen im Sinne der Artikel 24 und 32 DSGVO“ sicherzustellen (…)“ hat, wird die Schwäche spätestens hier offenbar. Denn diese Verpflichtung trifft qua Gesetz ausschließlich den Verantwortlichen selbst.

Ein rechtliches Vakuum, welches durch die Rechtsprechung ausgefüllt werden muss, bleibt uns auch mit BMAS erhalten.

Die Sichtweise von Gerichten und Aufsichtsbehörden

In der Vergangenheit hat das Bundesarbeitsgericht (BAG) den Betriebsrat vornehmlich als Teil des Arbeitgebers als Verantwortlichen und nicht als eigenständigen (datenschutzrechtlich) Verantwortlichen eingestuft. Seit Wirksamkeit der Datenschutz-Grundverordnung (DSGVO) wird vermehrt über die Frage der Verantwortlichkeit des Betriebsrats gestritten und darüber, ob diese Frage im Lichte der neuen gesetzlichen Grundlagen anders als bisher zu beurteilen ist.

Das Bundesarbeitsgericht (BAG) lässt die Frage in kürzlich ergangenen Beschlüssen explizit offen (siehe diese Besprechung des Urteils). In der aufsichtsrechtlichen Wahrnehmung scheint sich hingegen die Tendenz durchzusetzen, dass der Betriebsrat als eigener Verantwortlicher anzusehen ist. Dies soll eine interne Umfrage der Aufsichtsbehörden ergeben haben. Der Landesbeauftragte für Datenschutz und Informationssicherheit Baden-Württemberg sprach sich in seinem Tätigkeitsbericht für das Jahr 2018 explizit für diese Auslegung aus.

Weder im Bundesdatenschutzgesetz (BDSG) noch die der DSGVO lassen sich hierzu Hinweise finden. In Art. 4 Abs. 7 DSGVO ist allerdings geregelt wer „Verantwortlicher“ ist. Nämlich jede „natürliche oder juristische Person (…), die allein oder mit andern über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.

Auswirkungen der Einordnung des Betriebsrates als Verantwortlicher

Die Einordnung ist insbesondere für die Frage nach den dem Verantwortlichen obliegenden Pflichten essenziell. Verarbeitet der Betriebsrat als eigenständiger Verantwortlicher teils sensible personenbezogene (Beschäftigten-)Daten, muss er alle rechtlichen Maßgaben aus der DSGVO sowie dem BDSG erfüllen. Hierunter fallen die Dokumentation der Verarbeitungstätigkeiten, das Erfüllen von Informationspflichten, die Bearbeitung von Betroffenenanfragen, Gewährleistung der Datensicherheit bis hin zur Bestellung eines eigenen Datenschutzbeauftragten.

Ebenfalls entscheidend ist die Haftung des Verantwortlichen für Datenschutzverstöße. Denkt man diesen Punkt zu Ende, müsste der Betriebsrat wie auch das Unternehmen im Falle eines Verstoßes gegen besagte Pflichten als Bußgeldadressat herangezogen werden können bzw. Schadenersatz leisten. Im Falle des Betriebsrats stellt sich dann die Frage nach der Bemessung bzw. ob überhaupt ein Rückgriff auf die Betriebsräte möglich ist (siehe unten).

Argumente gegen die Einordung des Betriebsrates als Verantwortlicher

Gegen eine Einordung des Betriebsrats als Verantwortlicher spricht vor allem die Definition in Art. 4 Abs. 7 DSGVO. Der Betriebsrat legt die Zwecke der Verarbeitung nicht eigenständig fest. Vielmehr sind die Zwecke aus dem Betriebsverfassungsgesetz oder aus der Kollektivvereinbarung vorgegeben. Innerhalb seiner gesetzlich bestehenden Aufgaben ist er zwar frei Entscheidungen zu treffen, der Rahmen, in dem er überhaupt Arbeitnehmerdaten verarbeiten kann, ist jedoch limitiert.

Auch die Entscheidungshoheit über die Mittel der Verarbeitung sind begrenzt auf die durch den Arbeitgeber bereitgestellten Ressourcen. Zum Beispiel wird der Betriebsrat sich bei der Auswahl der Kommunikations- und IT-Infrastruktur dem Willen des Arbeitgebers beugen und mit den Mitteln arbeiten müssen, die ihm dieser zur Verfügung stellt.

Neben der rechtlichen Komponente können auch praktische Erwägungen ins Feld geführt werden. Die Auslegung würde zu einem erheblichen bürokratischen Mehraufwand für den Betriebsrat führen, die zu Lasten der eigentlichen Aufgaben, dem Schutz von Arbeitnehmerinteressen, führt. Eingedenk der oft schwierigen rechtlichen Fragestellungen im Datenschutz, wird es in der Praxis oftmals an der notwendigen Fachkunde sowie Ressourcen fehlen, die Pflichten überhaupt erfüllen zu können.

Argumente für die Einordung des Betriebsrates als Verantwortlicher

Die Entscheidungshoheit innerhalb der Aufgaben des Betriebsrates kann auch für die Einordnung als Verantwortlicher herangezogen werden. So gibt es nicht nur eine gewisse freie Entscheidung über Zwecke zwecks innerer Organisation und die Vorbereitung von Betriebsratswahlen, sondern auch eine freie Entscheidung über den Einsatz von Mitteln. Der Rückgriff auf lediglich zur Verfügung gestellte, insbesondere technische Mittel ändert in der Praxis oftmals nichts an der freien Verwendung selbiger. Zu denken ist an analoge Listen und Kopien, eigens eingerichtete Laufwerke, eigene mobile Datenträger und oder betriebsratseigene Kommunikationsmittel.

Da die Entscheidung über die Erfüllung der Aufgaben des Betriebsrates gerade mit dieser Autonomie einhergeht, die der Kontrolle des Arbeitgebers aber gleichzeitig entzogen ist, bedarf es einer Einordnung als Verantwortlicher. Denn durch die zusätzlichen Verarbeitungstätigkeiten des Betriebsrates besteht ein zusätzliches Risiko für die Rechte der Beschäftigten. Der Betriebsrat verarbeitet unter anderem sensible Daten wie Gehaltslisten, Gesundheitsdaten und andere Personaldaten. Treffen den Betriebsrat für den Schutz dieser Daten nicht die gleichen Verpflichtungen wie den Arbeitgeber, kann dies im Ergebnis zu einem datenschutzfreien Raum innerhalb des Unternehmens führen, da der Arbeitgeber nicht in der Lage ist, die Verarbeitungen gleichermaßen zu steuern, wie wenn dies in eigener Verantwortlichkeit geschieht.

Im schlimmsten Fall sind nämlich auch Datenschutzverstöße durch den Betriebsrat zu befürchten. Dies muss nicht etwa böswillig geschehen, sondern kann oftmals auf eine mangelnde Kenntnis, fehlende Ressourcen und Ausstattung zurückzuführen sein. Exemplarisch kann hierzu die Frage aufgeworfen werden, ob die dem Betriebsrat übermittelten personenbezogenen Daten ebenfalls den im Unternehmen üblicherweise geltenden Löschroutinen von Daten unterworfen sind.

Wer haftet im Falle eines Datenschutzverstoßes durch den Betriebsrat für Bußgelder und Schadensersatz?

Sieht man den Betriebsrat als eigenständigen Verantwortlichen an, kann dieser als Inhaber der Verpflichtungen aus der DSGVO auch Adressat eines Bußgelds sein. Wenn dieser dagegen als Teil des Arbeitgebers angesehen wird, ist Adressat primär der Arbeitgeber. Da der Arbeitgeber in der Praxis dem Betriebsrat zurechenbare Verarbeitungen bestenfalls mittelbar kontrollieren kann, würde dies zu einem unsachgerechten Ergebnis führen, zumal für die Berechnung der Höhe des Bußgeldes auch der Arbeitgeber herangezogen werden könnte.

Unabhängig von der Frage nach der generellen datenschutzrechtlichen Verantwortlichkeit hat der Arbeitgeber demgemäß für Datenschutzverstöße von Betriebsratsmitgliedern in deren Funktion gerade wegen der mangelnden Kontrollmöglichkeit sowohl für Schadensersatz (Art. 82 DSGVO) als auch für Bußgelder (Art. 83 DSGVO) nicht zu haften. Eine Haftung wäre – wenn überhaupt – im Rahmen eines Mit- bzw. Organisationsverschuldens denkbar.

Der Betriebsrat selbst dagegen ist weder vermögens- noch deliktsfähig. Bei einem Verstoß gegen Vorschriften aus der DSGVO muss demnach auf die Betriebsräte selbst zurückgegriffen werden. Bei einem offensichtlichen Datenmissbrauch durch ein Betriebsratsmitglied kommt nur eine persönliche Haftung der Betriebsräte in Betracht.

Tipps zur Vermeidung eines Datenschutzvakuums im Unternehmen

Gute Gründe sprechen für die eigene datenschutzrechtliche Verantwortlichkeit des Betriebsrates. Denn ein effektives Kontrollwerkzeug gegenüber dem Betriebsrat durch den Arbeitgeber fehlt. Die juristische Debatte hierüber ist so wenig ergiebig wie zielführend. Solange es keine klare Zu- oder Absage an eine eigene datenschutzrechtliche Verantwortlichkeit gibt, ist der Arbeitgeber gezwungenermaßen angehalten, dieses Kontrollvakuum mit Regelungen zu füllen. Denn wenn sich die Verpflichtungen nicht aus der Stellung des Betriebsrats als Verantwortlicher ergeben, müssen Verpflichtungen gegenüber dem Betriebsrat als „Quasi-Verantwortlichen“ erlassen werden.

Für die unternehmerische Praxis bedeutet dies folgende Punkte umzusetzen:

Schaffung einer datenschutzrechtlichen Erlaubnisnorm in Form einer Betriebsvereinbarung

Für den Betriebsrat ist die Verarbeitung von personenbezogenen Daten aufgrund einer Kollektivvereinbarung nach § 26 Abs. 4 BDSG mit der Maßgabe des Art. 88 Abs. 2 DSGVO zulässig. Hierin ist klarzustellen, dass diese Vereinbarung eine eigenständige datenschutzrechtliche Legitimationsgrundlage zur Datenverarbeitung zum Zwecke der Aufgaben des Betriebsrats darstellt.

Verpflichtungen aus der DSGVO schriftlich fixieren

Verarbeitungen des Betriebsrats sind unter den Vorbehalt der Rechtmäßigkeit der Datenverarbeitung stellen. Darunter fallen insbesondere die Grundsätze aus Art. 5 DSGVO sowie Verpflichtungen aus Art. 13 und 14 (Informationspflichten) und 32 DSGVO (Maßnahmen zur Datensicherheit).

Verpflichtung der Betriebsräte auf den Datenschutz

Die Betriebsräte sind zwar gesetzlich zur Geheimhaltung verpflichtet (vgl. § 79 BetrVG), sollten aber nicht nur in ihrer Funktion als Betriebsrat auf den Datenschutz verpflichtet werden. Auch erstreckt sich die Geheimhaltungspflicht nicht auf sämtliche Mitwirkungsbefugnisse, so dass es der zusätzlichen allgemeinen Verpflichtung bedarf.

Einschränkung der Datenweitergabe auf die dem Betriebsrat obliegenden Aufgaben

Zugriffsrechte und Datenverarbeitungen sind nach dem Need-to-Know-Prinzip zu beschränken. Ein Zugriffsrecht auf Personalinformationssysteme oder HR-Laufwerke etwa ist für die Aufgabenerfüllung nicht notwendig. Der Betriebsrat ist nur für die Dauer der konkreten Ausübung des jeweiligen Beteiligungsrechts berechtigt, überhaupt Beschäftigtendaten zu speichern oder einzusehen. Eine wie auch immer geartete „Speicherung auf Vorrat“ ist auch im Interesse des Betriebsrats nicht rechtmäßig. Soweit im BetrVG ausschließlich ein Recht auf Einsichtnahme gewährt wird, ist der Zugriff auf Leserechte zu beschränken. Sollte der Arbeitgeber hierzu technisch nicht in der Lage sein, sind etwaige Vorgaben organisatorisch umzusetzen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Sie wollen ausführliche Informationen zum Datenschutz bei E-Mailmarketing und Newsletter? Dann laden Sie sich jetzt unser kostenloses Whitepaper herunter!

Geschrieben am:

Rechtskonformes E-Mailmarketing nach DSGVO

Beim E-Mailmarketing sind neben datenschutzrechtlichen auch lauterkeitsrechtliche Anforderungen zu berücksichtigen. Wer nicht nur E-Mails versenden, sondern auch die E-Mailnutzung durch den Empfänger analysieren möchte, braucht laut DSGVO (Datenschutz-Grundverordnung) auch hierfür eine Rechtsgrundlage. Die wichtigsten Punkte zum datenschutzkonformen E-Mailmarketing finden Sie in unserer praktischen Anleitung.

E-Mail-Versand (1): Werbung als berechtigtes Interesse

Aus Erwägungsgrund 47 DSGVO letzter Satz folgt, dass das Interesse des Unternehmens an Direktwerbung ausdrücklich als ein berechtigtes Interesse des Unternehmens anerkannt wird. Nicht klar dagegen wird, was alles unter Direktwerbung zu fassen ist. Dies schließt sicherlich den Werbeversand auf dem Postweg und in der Regel auch per elektronischer Post mit ein.

Fest steht, dass die berechtigten Interessen grundsätzlich mit den schutzwürdigen Interessen des Betroffenen abzuwägen sind. Allerdings überwiegt das berechtigte Interesse des Unternehmens gemäß Erwägungsgrund 47 DSGVO regelmäßig bereits dann, wenn der Betroffene „vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung [für Werbezwecke] erfolgen wird“. Eine solche Erwartungshaltung sollte zu bejahen sein, wenn der Betroffene informiert wurde

Eine Abwägung im Einzelfall muss in diesen Fällen stets nachweislich vorgelegt werden können. Diese muss dem Einzelfall Rechnung tragen und das überwiegende Interesse des Unternehmens auch tatsächlich belastbar belegen.

Neben den – scheinbar gelockerten – datenschutzrechtlichen Anforderungen an eine Nutzung von Daten für Werbezwecke müssen allerdings auch weiterhin die – unverändert strengen – lauterkeitsrechtlichen Anforderungen berücksichtigt werden. Diese lassen E-Mailwerbung ohne vorherige ausdrückliche Einwilligung nur zu, wenn mit ihr ausschließlich eigene Produkte beworben werden, die dem ursprünglich vom Kunden gekauften Produkt ähnlich sind. Bei der (Erst-)Erhebung der Adresse muss zudem über die beabsichtigte Bewerbung informiert werden. Damit ist der Anwendungsbereich für E-Mailwerbung ohne Einwilligung eng und muss restriktiv verstanden werden. Für die meisten Unternehmen empfiehlt sich in der Praxis bereits aus Gründen der Rechtssicherheit eine Einwilligung des Betroffenen einzuholen.

E-Mail-Versand (2): Werbung mit Einwilligung

Eine Einwilligung ist nur rechtswirksam, wenn der Gegenstandsbereich der Einwilligung konkret und abschließend beschrieben ist. Der zwingende Inhalt einer Einwilligung ist in Art. 7 Abs. 1 DSGVO beschrieben. So machen zu weit gefasste und nur vage beschriebene Werbezwecke, wie sie u. a. bei vielen sozialen Netzwerken zu finden sind, die Einwilligung unwirksam.

Transparenz bedeutet auch, dass die Person die Einwilligungserklärung nicht „überlesen“ kann, weil sie zwischen anderen Erklärungstexten versteckt ist. Darüber hinaus muss die Einwilligung freiwillig erfolgen. Das Freiwilligkeitsgebot ist dann missachtet, wenn der Erhalt einer Leistung in rechtswidriger Weise von der Einwilligung in die Datenverarbeitung abhängig gemacht wird. Ob eine rechtswidrige Kopplung vorliegt, kann wiederum nur im Einzelfall gesagt werden (siehe unser Ratgeber zum Kopplungsprüfungsgebot).

Lauterkeits- und Datenschutzrecht verlangen zudem eine ausdrückliche Einwilligung – also eine Einwilligung, die auf der aktiven Handlung des Betroffenen beruht. Vorangekreuzte Checkboxen scheiden daher aus. Das werbende Unternehmen muss schließlich im Zweifel belegen können, dass es eine Einwilligung in die E-Mailwerbung auch wirklich von der beworbenen Person – und nicht von einer anderen Person – erhalten hat (Art. 7 Abs. 1 DSGVO). Dies lässt sich rechtskonform mithilfe des Double-Opt-in-Verfahrens bewerkstelligen, d. h. die Person erhält erst dann eine Werbe-E-Mail, wenn sie in einer werbefreien E-Mail einen Bestätigungslink angeklickt hat. Zum anderen muss die Einwilligung, sofern sie elektronisch erteilt wird, protokolliert werden und für den Betroffenen jederzeit abrufbar sein.

E-Mail-Versand (3): Lauterkeitsrecht und die sog. „Bestandskundenausnahme“

Neben den datenschutzrechtlichen Bestimmungen sind stets auch die lauterkeitsrechtlichen Einwilligungsanforderungen des Gesetzes gegen den unlauteren Wettbewerb (UWG) zu beachten. Danach bedarf eine Einwilligung in den Erhalt elektronischer Post einer vorherigen und ausdrücklichen Willensbetätigung (§ 7 Abs. 2 Nr. 3 UWG). Ausdrücklich ist dabei gleichbedeutend mit einem nicht vorangekreuzten (Hard) Opt-In.

In dieser Hinsicht ändert sich nichts zur datenschutzrechtlichen Voraussetzung der Einwilligung im Punkt zuvor. Rechtsgrundlage für die Nutzung personenbezogener Daten zu Werbezwecken ist daher regelmäßig die Einwilligung oder das berechtigte Interesse. Stützt man die Werbemaßnahme auf das berechtigte Interesse des Unternehmens, ohne eine Einwilligung einzuholen, kann dies aber im Widerspruch zur wettbewerbsrechtlichen Regelung des § 7 Abs. 2 Nr. 3 UWG stehen, da dies nur vorbehaltlich der strengen Ausnahmen des § 7 Abs. 3 UWG möglich ist, nämlich im Falle der sog. „Bestandskundenausnahme.“

§ 7 Abs. 3 UWG enthält die wichtigste Ausnahme vom grundsätzlichen Verbot, E-Mail-Werbung zu verschicken. Eine Werbe-E-Mail darf danach versandt werden, wenn,

  1. der Werbende zu der E-Mailadresse tatsächlich durch ein Kundenverhältnis, also beim Erwerb einer Ware oder Dienstleistung gelangt,
  2. ausschließlich Produkte beworben werden, die denen des einst verkauften Produktes ähnlich sind und ebenfalls vom Unternehmen stammen,
  3. der Kunde der werblichen Verwendung seiner E-Mailadresse nicht widersprochen hat und
  4. der Kunde bei der Erhebung und bei jeder Werbung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann.

Im Ergebnis: Soweit eine wettbewerbsrechtliche Zulässigkeit nach § 7 Abs. 3 UWG besteht, gibt es die Möglichkeit Vertragskunden auch ohne Einwilligung zu bewerben, wenn die zusätzlichen Voraussetzungen des berechtigten Interesses nach Art. 6 Abs. 1 lit. f) DSGVO vorliegen (vernünftige Erwartungen des Beworbenen). Dies dürfte im Falle der wettbewerbsrechtlichen Zulässigkeit regelmäßig der Fall sein. Sind die Voraussetzungen des § 7 Abs. 3 UWG nicht erfüllt, kann eine Bewerbung der Person auch in einem Vertragsverhältnis nie ohne Einwilligung erfolgen, da § 7 Abs. 3 UWG in diesem Fall der DSGVO vorgeht.

E-Mail-Auswertung: anonymisiertes, pseudonymisiertes und direkt identifizierendes Tracking

Die Auswertung der Nutzung ausgesandter Werbe-E-Mails ist z. B. durch individualisierte Ein-Pixel-Bilder möglich, die beim Empfang der E-Mail vom Server des werbenden Unternehmens nachgeladen werden. Beim Abruf des Bildes kann u. a. die IP-Adresse, der E-Mailclient und der Abrufzeitpunkt festgehalten werden. Auch ist es möglich, in der E-Mail enthaltene Links auf Angebote des werbenden Unternehmens zu individualisieren, sodass nachvollziehbar wird, wer einen bestimmten Link angeklickt und sich für das verlinkte Produkt interessiert hat.

Da jedenfalls solche E-Mailadressen, die den Vor- und Nachnamen der Person enthalten als personenbezogen anzusehen sind, kann das werbende Unternehmen mithilfe des Pixels bzw. der Links personenbezogene Daten erheben. Möglich ist jedoch auch eine anonymisierte Analyse der E-Mailnutzung. Diese ist datenschutzrechtlich unproblematisch. Wird dagegen eine individualisierte Nutzungsauswertung angestrebt, muss zwischen einer pseudonymisierten und einer direkt identifizierenden Auswertung unterschieden werden.

Eine direkt identifizierende Auswertung darf nur mit Einwilligung der Person erfolgen. Die Einwilligung muss, um wirksam zu sein, die oben beschriebenen Kriterien erfüllen. Wichtig ist insbesondere, dass der Nutzer genau darüber aufgeklärt wird, welche konkreten Daten erhoben werden und für welchen konkreten Zweck sie genutzt werden sollen.

Eine pseudonymisierte Auswertung erfolgt dann, wenn Daten, die den E-Mailempfänger unmittelbar identifizieren würden – hierzu gehört die IP-Adresse und meist auch die E-Mailadresse – getrennt von den Daten zur E-Mailnutzung gespeichert werden. Es muss organisatorisch und technisch sichergestellt sein, dass die Daten über die Nutzung der Werbe-E-Mail – z. B. wann ein bestimmter E-Mailadressat die Werbe-E-Mail geöffnet hat – nicht mit identifizierenden Merkmalen wie der E-Mailadresse zusammengeführt werden können.

Die für sich genommen anonymen Daten zur Nutzung der E-Mail durch einen bestimmten E-Mailadressaten dürfen jedoch einer bestimmten ID zugeordnet werden – dem Pseudonym. Das Pseudonym ermöglicht es somit, trotz fehlender identifizierender Daten wie der E-Mailadresse oder der IP-Adresse, die Nutzungsdaten einem bestimmten Nutzer zuzuordnen. Bei ausreichender Pseudonymisierung kann die Verarbeitung erfolgreich auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden; es bedarf also keiner Einwilligung des Betroffenen. Allerdings bedarf es auch in diesem Fall einer Abwägung im Einzelfall. Oftmals muss in der Praxis hinterfragt werden, ob eine solche Reichweitenmessung im Unternehmen überhaupt mittels der eingesetzten Tools technisch realisiert werden kann.

Ob pseudonymisierte Nutzungsprofile aus datenschutzrechtlicher Sicht trotz fehlender „Klardaten“ überhaupt personenbezogen sind – und damit dem Datenschutzrecht unterfallen – oder aber als anonymisiert anzusehen sind, war bis zur Verabschiedung der Datenschutz-Grundverordnung umstritten. Die DSGVO schafft nun Klarheit über die Personenbezogenheit von pseudonymisierten Nutzungsprofilen: Art. 4 Nr. 1 DSGVO sieht die namentliche Identifizierung nur noch als eine von vielen möglichen Identifizierungsformen an. So gilt eine natürliche Person auch dann als identifizierbar, wenn sie direkt oder indirekt einer Kennnummer oder einer Online-Kennung zugeordnet werden kann. Gerade dies ist Absicht pseudonymisierter Nutzungsprofile.

Widerspruch macht Verarbeitung unzulässig

Sowohl der Versand von Werbe-E-Mails als auch das Tracking der E-Mailnutzung ist unzulässig, wenn der Betroffene der Werbung bzw. dem Tracking widersprochen hat. Der Widerspruch gegen Direktwerbung ist in Art. 21 Abs. 2, 3 DSGVO ausdrücklich geregelt.

Der E-Mail-Empfänger muss dem E-Mailempfang jederzeit widersprechen können und muss darüber bei der Erhebung der E-Mailadresse informiert werden. Informiert werden muss bei der Erhebung der Adresse auch darüber, dass diese für Werbezwecke genutzt werden soll.

Wird das Marketing auf eine Einwilligung gestützt, kann der betroffene Werbeadressat seine Einwilligung(en) jederzeit widerrufen. Auch in diesem Fall müssen alle darauf gestützten Werbemaßnahmen künftig unterlassen werden.

Darüber hinaus beinhaltet die DSGVO in Artikel 13 umfangreiche Informationspflichten. Zur rechtkonformen Umsetzung (z. B. durch entsprechende Ausgestaltung der Website-Datenschutzerklärung) sollte unbedingt ein Experte im Bereich Datenschutz hinzugezogen werden.

Nicht nur hohe Bußgelder bei rechtswidrigem E-Mailmarketing drohen

Eine rechtswidrige Verarbeitung der E-Mailadresse nach DSGVO kann hohe Bußgelder nach sich ziehen, wie die Vergangenheit zeigte. Darüber hinaus kann der E-Mail-Adressat das werbende Unternehmen auch auf Unterlassen verklagen und ferner immateriellen Schadensersatz einfordern. Eine Unterlassungsklage ist zudem auch durch im Wettbewerb stehende Unternehmen denkbar.

Eine rechtswidrige Verarbeitung liegt z. B. schon dann vor, wenn der Beworbene der E-Mailwerbung widersprochen hat oder im Vorfeld keine rechtswirksame Einwilligung eingeholt wurde. Erfolgt der Versand der Werbe-E-Mails mittels der sog. „Bestandskundenausnahme“ müssen alle Voraussetzungen hierfür vorliegen. Da dies in der Praxis mit zahlreichen rechtlichen Fallstricken verbunden ist, empfiehlt es sich vorab den Hausjuristen zu konsultieren oder auf externe juristische Expertise zurückzugreifen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Sicherheitslücken bei Microsoft Exchange-Servern

Microsoft Exchange-Server können aufgrund einer aktuellen Schwachstelle missbraucht werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor dieser Gefahr und stuft die Bedrohungslage als extrem kritisch ein.

Wir erklären Ihnen, wie Sie erkennen, ob Ihr Exchange-Server betroffen ist und was Sie ggfs. tun müssen. Außerdem erhalten Sie konkrete Tipps für eine bessere Absicherung Ihrer Systeme.

Update März 2021

Das BSI hat die IT-Bedrohungslage für die Sicherheitslücke in MS Exchange mittlerweile heruntergestuft (Stand 17.03.2021). Hiernach ist diese immer noch als geschäftskritisch anzusehen. Laut BSI muss weiterhin von einer massiven Beeinträchtigung des Regelbetriebs ausgegangen werden (siehe die aktuelle Warnung: Update 10).

Einen guten Überblick über einen durchzuführenden Sicherheitscheck sowie weiterführende Hinweise auch zwecks Implementierung organisatorischer Maßnahmen zur Prävention bietet das Selbsthilfe-Whitepaper der beiden bayerischen Datenschutzbehörden für den privaten und öffentlichen Bereich.

Wie konnte es zu dem Vorfall mit Exchange-Servern kommen?

Internationalen Sicherheitsfirmen war im Dezember 2020 bei einer Untersuchung der Exchange-Serversicherheit aufgefallen, dass mittels Ausnutzung einer Schwachstelle eine Umgehung der notwendigen Authentifizierung möglich war. Den Experten gelang es, in Exchange-Dateien eine sogenannte „remote code execution“ zu platzieren. Mittels geschriebener Exploits war damit auch eine Anmeldung als Administrator möglich, so dass die Server kompromittiert werden konnten.

Bereits im Januar 2021 wurde dies an das Microsoft Security Response Center (MSRC) herangetragen, woraufhin die Schwachstelle durch Microsoft bestätigt wurde. Infolgedessen wurde Microsoft hinlänglich über aktive Angriffe mittels Remote Access auf Exchange-Server unterrichtet. Die der Öffentlichkeit zunächst unbekannte Schwachstelle wurde dann im Laufe des Februars zunehmend als Angriffsziel genutzt. Nach Massenscans konnten Angreifer verwundbare Exchange-Server ausmachen, die daraufhin gezielt mit einer sogenannten Webshell als Backdoor infiziert wurden.

Bei einer Webshell-basierten Backdoor handelt es sich um ein befehlsbasiertes Skript einer Website, durch das eine Remote-Verwaltung eines Computers realisiert werden kann. Webshell deshalb, da auf die Kommandozeile über eine URL zugegriffen wird und sie mittels Web-Skript geschrieben wird. Erlaubt der Webserver die Ablage von Dateien, lassen sich über das Skript uneingeschränkt Dateien ablegen. Zum anderen können hierüber entsprechend der Berechtigungen des Dienstes zahlreiche Befehlseingaben durchgeführt werden

Am 2. März 2021 gab Microsoft die Sicherheitsupdates bekannt und veröffentlichte eine eigene Darstellung des Vorfalls. Laut Microsoft soll hinter den massenhaft durchgeführten Angriffen die aus China agierende Hackergruppe Hafnium stecken, welche zahlreiche Exchange-Server mit einem sogenannten 0-day-Exploit angegriffen hätten.

Mittlerweile hat Microsoft auch auf zunächst aufgetretene Probleme mit dem Patchen älterer Server reagiert und entsprechende Updates bereitgestellt.

Ausmaß der Bedrohungslage

Nach entsprechenden Scans sind hierzulande etwa 26.000 deutsche Exchange-Server aufgrund einer Schwachstelle über das Internet angreifbar gewesen und wurden zum Teil mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert. Die Angriffe erfolgten branchenunabhängig, so dass neben deutschen Bundesbehörden, Rüstungsunternehmen, Hochschulen, Krankenhäusern auch verschiedenste Unternehmen und Organisationen betroffen sind.

Das BSI geht von einer fünfstelligen Zahl betroffener Systeme alleine in Deutschland aus. Am 5. März 2021 begann das BSI, potenziell betroffene Opfer des Angriffs unter dem Hinweis zu informieren, die entsprechenden durch Microsoft bereitgestellten Patches einzuspielen.

Laut Pressemitteilung des Bayerischen Landesamtes für Datenschutzaufsicht hat man am 8. März 2021 bayerische Systeme auf mögliche Angriffsziele hin untersucht. In der Mitteilung heißt es, man habe „Organisationen, die auf eine Microsoft Exchange-Kommunikationsstruktur setzen, (…) kontrolliert, ob der notwendige Patch-Level zum Schließen der Lücken vorhanden ist. Bereits im ersten Prüflauf wurde eine dreistellige Zahl potentiell verwundbarer Server identifiziert, deren Verantwortliche nun umgehend über die datenschutzrechtlichen Verpflichtungen und Konsequenzen unterrichtet werden.“

Ist meine Organisation von den Problemen mit Exchange-Servern betroffen?

Auch wenn man in den letzten Tagen keine Nachricht im Zusammenhang mit dem Sicherheitsrisiko erhalten hat, sollte sich Unternehmen und Organisationen unbedingt einem Self-Assessment mittels Schnell-Check unterwerfen:

  • Wird zur Kommunikation auf Microsoft Exchange gesetzt? Angegriffene Versionen des Exchange-Servers waren 2013, 2016 und 2019 (2010 ist offiziell zwar nicht mehr vom Updateservice Microsofts umfasst, ein Patch wurde aber dennoch bereitgestellt).
  • Ausgenommen sind die MS-Online Dienste 365. Warum gerade der Online-Dienst verschont blieb, bleibt spekulativ. Denkbar ist, dass hier bereits frühzeitig Sicherheitsupdates über Microsoft eingespielt wurden.
  • Besteht eine potenziell unsichere Verbindung zu dem fraglichen Exchange-Server? Dies sind alle über Web Access erreichbare Server des TCP-Port 443 für HTTPS-Anfragen wie auch bei der Nutzung von Outlook im Web (ehemals: Outlook Web Access (OWA).
  • Der Server ist auch ohne VPN erreichbar oder nicht so konfiguriert, dass nicht-vertrauenswürdige Verbindungen blockiert werden können.

Treffen die Punkte auf ihre Organisation zu, sind konkrete Maßnahmen unverzichtbar. Im Folgenden werden die grundlegenden Pflichten und Abhilfemaßnahmen aufgezeigt.

Datenschutzrechtliche Einschätzung

Unter Hinweis auch auf die Einschätzung sämtlicher Datenschutzaufsichtsbehörden der Länder, darunter Baden-Württemberg, Bayern, Niedersachen, Hamburg, Mecklenburg-Vorpommern sollten auch vor dem Hintergrund speziell datenschutzrechtlicher Erwägungen bestimmte Maßnahmen ergriffen werden.

Fallen Sie innerhalb des Self-Checks unter die potenziell Betroffenen, müssen Sie die entsprechenden Sicherheitsmaßnahmen wie das Einspielen der Patches ergreifen, um die Anforderungen an die technische Sicherheit gemäß Art. 32 DSGVO zu gewährleisten. Um die Sicherheit der Verarbeitung auch künftig gewährleisten zu können, muss geklärt werden, ob auch darüberhinausgehende Maßnahmen notwendig sind.

Sollten Sie die Sicherheitslücke nicht zeitnah nach Bekanntwerden mittels Sicherheitsupdate geschlossen haben oder die Updates immer noch ausstehen, liegt stets ein meldepflichtiger Datenschutzverstoß vor. Dies bedeutet, dass der Vorfall aufgrund der mit einem kompromittierten Exchange-Server unmittelbar verbundenen Gefahr der Offenlegung sämtlicher Kommunikation an Unberechtigte der zuständigen Aufsicht nach Art. 33 DSGVO innerhalb 72 Stunden nach Bekanntwerden zu melden ist. Hier gelangen Sie direkt zu einer Übersicht der Meldewege.

Wie und in welchem Umfang die Meldung zu erfolgen hat, erfahren Sie in Schritt 3. unserer Kurzanleitung.

Welche weiteren allgemeinen Abhilfemaßnahmen sind erforderlich?

Neben dem Ergebnis des Self-Checks ist der Einsatz des durch Microsoft über GitHub bereitgestellten (Powershell)Skripts empfehlenswert, worüber man sämtliche Exchange-Server auf Angriffsspuren untersuchen kann. Sollten hiernach Spuren eines Angriffs erkennbar sein, empfiehlt es sich, mittels IT-Forensik weitergehende Maßnahmen zu hinterfragen und bedarfsgerecht einzusetzen. Hierneben lassen sich allgemeine Maßnahmen ergreifen, um zügig reagieren zu können:

  • Vollständige Analyse und Auswertung des Vorfalls. Aufbewahrung der Beweise und daraus gewonnenen Erkenntnisse.
  • Temporäre Abschaltung der über Internet erreichbaren Exchange-Server, bis die Bedrohungslage ausgeschlossen werden kann.
  • Bereinigung aller kompromittierten Systeme.
  • Wiederaufnahme des Betriebs unter erweiterten Sicherheitsvorkehrungen aufgrund der gewonnenen Erkenntnisse.
  • Hinweis auf eine derzeit erhöhte Phishing-Gefahr innerhalb der Organisation kommunizieren.
  • Aktuelle Entwicklung der Bedrohungslage weiterverfolgen.

Fazit: Sie müssen jetzt handeln!

Nicht umsonst hat das BSI die Bedrohungslage mit der höchsten Einstufung als extrem kritisch identifiziert. Einmal mehr zeigt sich auch, wie wichtig die Anforderungen an die Sicherheit der Verarbeitungen im Unternehmen sind. Das Bestehen eines Incident-Response-Managements, mit dem auf eine Störung (Incident) unmittelbar reagiert (Response) werden kann, ist heute unabdingbar.

Denken Sie als Unternehmen auch immer an ausreichend sensibilisiertes Personal. Je früher ein Vorfall entdeckt wird, desto schneller und damit erfolgreicher ist Abhilfe möglich. Bedrohungen aus dem Internet wie Botnet-Angriffe und Phishing nehmen stetig zu. Online basierte Trainings zur Informationensicherheit helfen zur Steigerung der Awareness und sind dringend angeraten.

Nach dem Angriff ist vor dem Angriff. Denken Sie unbedingt an erweiterte Sicherheitsvorkehrungen. Wie sie Outlook im Web bzw. Outlook Web Access konkret auf künftige Bedrohungen vorbereiten und zusätzlich datenschutzsicher konfigurieren können, erfahren Sie in unserer hilfreichen Anleitung.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am: