Sicherheit und Verschlüsselung von Websites

Auf Websites und insbesondere Onlineshops werden neben personenbezogenen Daten, wie Nutzerdaten, Benutzerprofilen und Anfragen, auch sensible Informationen wie Zahlungsdaten oder gar Gesundheitsdaten zwecks Buchung von Online-Arztterminen verarbeitet. Die Stabilität und Sicherheit ist daher essenzieller Bestandteil des Betriebs einer Website. Doch wie prüft man die Sicherheit und worauf genau ist wertzulegen? Welche Rolle spielen Begrifflichkeiten wie TLS, PFS, RC-4 und HSTS? Prüfen Sie jetzt ihre Website anhand unseres Self-Assessments!

Welche Prüffragen muss ich stellen und welche Antworten gibt es hierauf?

Um die Sicherheit bzw. Verschlüsselung der eigenen Website zu überprüfen, lohnt es sich, gängige Prüffragen von Aufsichtsbehörden heranzuziehen. Wenn Sie auf die jeweilige Frage klicken, erhalten Sie hierzu wichtige Hintergrundinformationen:

Wann werden personenbezogene Daten übertragen?

Wenn Sie als Nutzer eine Website aufrufen, d.h. selbst wenn Sie sich nicht registrieren oder anderweitig Informationen übermitteln, werden automatisch durch den Webserver Informationen allgemeiner Natur erhoben. Diese Informationen (Server-Logfiles) beinhalten etwa die Art des Webbrowsers, das verwendete Betriebssystem, den Domainnamen Ihres Internet-Service-Providers, Ihre IP-Adresse und je nach Konfiguration ähnliche Daten.

Bereits bei der IP-Adresse handelt es sich um personenbezogene Daten im Sinne der Datenschutzgesetzte, so dass dem Website-Betreiber bestimmte Verpflichtungen treffen. Neben der Informationspflicht nach Art. 12 ff. DSGVO (Datenschutz-Grundverordnung), hat er zudem risikoangemessene technische- und organisatorische Maßnahmen nach Art. 32 DSGVO zu treffen. Da das Risiko für Datenmissbrauch bei der Erhebung ausschließlich der IP-Adresse relativ gering ist, werden von den Aufsichtsbehörden je nach Umfang und Sensibilität der Datenverarbeitung strengere Maßnahmen an die Sicherheit gefordert.

Verarbeitet das Unternehmen über die Website personenbezogene Daten, etwa durch ein Kontaktformular, eine Newsletter-Anmeldung einer Online-Bewerbung, Online-Terminvergabe oder einem Onlineshop, muss die Übertragung der Daten verschlüsselt werden. Ein gültiges und funktionierendes SSL-Zertifikat ist in diesem Fall Pflicht. Oder noch einfacher ausgedrückt: In der Adresszeile muss ein „https“ auftauchen!

Wird die Website im Webbrowser des Nutzers auf diese Weise verschlüsselt ausgegeben, werden auch alle Daten, die vom Webbrowser an den Server zurückgeschickt werden, verschlüsselt – also datenschutzkonform – übertragen. An die Verschlüsselung selbst gibt es weitere Anforderungen.

Sind SSL 2.0 und SSL 3.0 deaktiviert?

SSL 2.0 und SSL 3.0 sind Versionen der Transportverschlüsselung (Transport Layer Security). Bis zum Jahr 1999 hieß dies noch SSL (Secure Sockets Layer). SSL 2.0 stammt aus 1995 und SSL 3.0 aus 1996 und wurden von Netscape entwickelt. Beide Versionen werden nicht mehr unterstützt. Die aktuelle Version heißt TLS 1.3 und löste die Version TLS 1.1 von 2006 bereits 2008 und TLS 1.2 im Jahre 2018 wieder ab. Der Website-Betreiber muss sicherstellen, dass veraltete Versionen der Transportverschlüsselung SSL2.0 und SSL 3.0 deaktiviert sind, da diese nicht mehr unterstützt werden.

Wird TLS 1.2 oder sogar TLS 1.3 unterstützt?

TLS 1.2 und noch aktueller TLS 1.3 sind die aktuellen Versionen der Transportverschlüsselung (Transport Layer Security). Der Webserver sollte in der Lage sein, mittels TLS 1.2. zu kommunizieren. TLS 1.2 ist derzeit in Verbindung mit PFS die sicherste Variante.

Content Security Policy im Einsatz?

Content Security Policy ist ein Codeschnipsel, der im Quellcode eingebettet dafür sorgt, dass es zu keinen sogenannten Cross-Site-Script-Attacken kommt. Das ist mittlerweile ein häufiges Angriffsszenario.

Einfaches Beispiel: Im Suchfeld auf einer Website wird statt einem Suchbegriff eine Skriptfunktion eingegeben. Wird daraufhin das Skript ausgeführt, kann der Angreifer die Website darüber kompromittieren. Der Einsatz einer Content Security Policy kann das verhindern.

Referrer Policy im Einsatz?

Ein Codeschnipsel, welcher im Quellcode dafür sorgt, dass die aufgerufene URL nicht mitübertragen wird, wenn der Nutzer auf einen Link innerhalb der Website klickt. In der URL kann unter Umständen zusätzlich auch eine Session-ID oder ähnliches enthalten sein, die dann mitübertragen wird. Über die durch den Link aufgerufene Website kann durch die Referrer Policy nicht mehr nachvollzogen werden, von welcher ursprünglichen Seite der Besucher gekommen ist.

Besitzt das SSL-Zertifikat mindestens 2.048 Bit?

Hierbei handelt es sich um die Stärke des Schlüssels. 2.048 Bit sind die Mindestvoraussetzung, weil der Einsatz von 1.024-Bit-Schlüsseln als nicht mehr sicher gilt. Welche Schlüssellänge verwendet werden muss, ist abhängig von dem mit der Verarbeitung verbundenen Risiko für die Website-Besucher. Werden im Zuge der Online-Terminvergabe etwa Gesundheitsdaten und damit besonders schützenswerte Daten verarbeitet, besteht ein hoher Schutzbedarf und damit die Notwendigkeit einer stärkeren Verschlüsselung. Zum Teil vertreten Aufsichtsbehörden, dass bei einem hohen Schutzbedarf (Bewerbungsdaten, Bankzugang, Patientendaten, etc.) erst eine Schlüssellänge von 4.096 Bit als ausreichend erachtet wird. Nach Auffassung der NIST (National Institute of Standards and Technology) ist die Verschlüsselung mit 2.048 Bit als ausreichend sicher einzustufen. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hält RSA 2048 bis Ende 2022 noch für sicher. Perspektivisch muss dann standardmäßig mindestens RSA 3072 verwendet werden. Eine Verschlüsselung mit 4.096 Bit kann mitunter zu technischen Problemen hinsichtlich Kompatibilität von Endgeräten und höherer Serverbelastung führen. Die Frage ist derzeit noch nicht abschließend geklärt.

Da derzeit 2.048 Bit als Stand der Technik gelten, können auch gute Argumente ins Feld geführt werden, wonach eine 2.048-Bit-Verschlüsselung grundsätzlich als ausreichend zu betrachten ist. Vorsicht: Die Schlüssellänge aller Zertifikate in der Zertifikatskette sollte mindestens 2.048 Bit betragen.

Wird die Zertifizierungsstelle des SSL-Zertifikats als vertrauenswürdig angesehen?

SSL-Zertifikate werden von Zertifizierungsstellen herausgegeben. Damit diese die Echtheit bzw. Vertrauenswürdigkeit einer Quelle bestätigen (d. h. zertifizieren) können, müssen diese ihrerseits wiederum Vertrauen genießen. Dieses erwerben sie, indem sie die Anforderungen von Betriebssystemen, Browsern oder auch Herstellern mobiler Endgeräte erfüllen und in deren Programme aufgenommen werden. Je länger eine Zertifizierungsstelle schon am Markt ist, desto mehr Browser und Geräte akzeptieren die von der Stelle ausgestellten Zertifikate.

Besondere Herausforderung für die Zertifizierungsstelle ist eine umfassende Abwärtskompatibilität zu älteren Browsern etc. Im Rahmen von Tests werden immer die Zertifikatsketten angezeigt. Bei der Vertrauenswürdigkeit kommt es im Grunde auf alle Zertifikate in der Kette an. Vorsicht ist bei selbst ausgestellten Zertifikaten geboten. Laut der bayerischen Datenschutzaufsicht (BayLDA) reicht ein selbstsigniertes Zertifikat nicht aus, um die datenschutzrechtlichen Anforderungen einzuhalten. Ausgenommen davon ist das Root-Zertifikat der CA (Certification Authority).

Wird Perfect Forward Secrecy unterstützt?

PFS (Perfect Forward Secrecy oder Forward Secrecy) ist ein Schlüsselaustauschprotokoll, welches unter anderem die Rekonstruktion eines Schlüssels durch Unbefugte verhindern soll. Unter Verwendung von PFS steigt die Sicherheit des Schlüsselaustauschverfahrens, da hierbei sogenannte Man-in-the-middle-Attacken nicht möglich sind und der Sitzungsschlüssel nach der Sitzung gelöscht wird. Das Bundesamt für Sicherheit in der Informationstechnik (BSI), koppelt die Sicherheit von TLS 1.2 an die Unterstützung von PFS.

Ist das RC4-Verfahren entfernt?

RC4 ist eine Art der Verschlüsselung innerhalb von TLS – diese ist aber seit 2015 als offiziell unsicher eingestuft und darf in Kombination mit TLS nicht mehr verwendet werden.

Ist SHA-1 entfernt?

SHA-1 ist ein Hashing-Verfahren, welches auch nicht mehr als sicher gilt, da es relativ leicht durch eine Brute-Force-Attacke zurückgerechnet werden kann. Es empfiehlt sich Algorithmen der Familien SHA-2 oder SHA-3 anzuwenden.

Wird HSTS unterstützt?

HTTP Strict Transport Security (HSTS) zwingt den Webbrowser dazu, Verbindungen ausschließlich über verschlüsselte Verbindungen herzustellen. Selbst wenn der Klick auf einen http-Link erfolgt, wird die Anfrage automatisch auf https umgeleitet. Dies setzt natürlich voraus, dass ein gültiges SSL-Zertifikat installiert ist und dass der Webbrowser die HSTS-Technologie unterstützt. Dies gilt auch für Unterseiten einer Website.

Was Unternehmen jetzt für ihre Website-Sicherheit tun sollten

Prüfen Sie ihre Webseite anhand der hier diskutierten Punkte. Ziehen Sie im Zweifelsfall Ihre IT-Abteilung bzw. Ihren Webhosting-Anbieter hinzu. Eine solche Sicherheitsprüfung sollte regelmäßig erfolgen.

Die Sicherheit von Websites erschöpft sich allerdings nicht in einem sicheren Übertragungsweg im Zuge der Serverkommunikation. Alle mit dem Internet verbundenen Systeme sind ständigen Attacken aus dem Netz ausgesetzt und werden auf Sicherheitslücken gescannt. Daher empfiehlt es sich, regelmäßig sogenannte Penetrationstests bzw. Pentests durchzuführen, womit die online erreichbare Domain einschließlich aller Subdomains auf IP-Adressenebene regelmäßig einem Schwachstellentest unterzogen wird.

Geschrieben am:

Rechtsgrundlagen für den konzerninternen Datentransfer

Unternehmen innerhalb eines Konzerns übermitteln regelmäßig personenbezogene Daten an andere Konzerntöchter oder die Konzernmutter. Da es aus Sicht das Datenschutzes kein generelles Konzernprivileg gibt, bedarf es dafür einer Rechtsgrundlage. Doch für unterschiedliche Datenverarbeitungen eignen sich auch jeweils andere Rechtsgrundlagen. Wir verschaffen Ihnen einen Überblick.

Datenschutzrechtliche Voraussetzungen für Datentransfer im Konzern

Die Anzahl großer auch multinationaler Konzerne wächst weiter. Zugleich verstärken sich die Tendenzen zur konzernweit ausgerichteten Personalverwaltung und anderer in einer Matrixstruktur durchgeführter Verarbeitungstätigkeiten. Während Konzerne sich als wirtschaftliche Einheit verstehen, ist für das Datenschutzrecht das einzelne Unternehmen maßgeblich.

So definiert die EU-Datenschutz-Grundverordnung (DSGVO) einen Konzern bzw. eine Unternehmensgruppe in den Begriffsbestimmungen unter Art. 4 Nr. 19 DSGVO als „eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht“.

In Erwägungsgrund 48 DSGVO hält der Gesetzgeber fest, dass für den Austausch von personenbezogenen Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Einrichtungen, die einer zentralen Stelle zugeordnet sind, ein berechtigtes Interesse bestehen kann. Dies ist jedoch nicht gleichzusetzen mit einer grundsätzlichen Erlaubnis zum Datenaustausch. Es bedeutet lediglich, dass eine Übermittlung im Einzelfall und nach vorheriger Abwägung auf den Rechtsgrund des Art. 6 Abs. (1) f DSGVO gestützt werden kann.

Nichtsdestotrotz muss die konkrete Konstellation des Datenaustauschs stets hinterfragt werden. Der erste Schritt sollte immer die Frage nach der tatsächlichen Notwendigkeit der Übermittlung sein. Besteht eine solche, sollte dann hinterfragt werden, ob der Zweck auch mittels einer pseudonymen oder gar anonymisierten Verarbeitung durch eine Konzerngesellschaft auf gleiche Weise erreicht werden kann. Handelt es sich im Grunde nicht um eine konzerndimensionale Verarbeitung, im Zuge derer mehrere Unternehmen Zweck und oder Mittel bestimmen, bedarf es oftmals keiner Übermittlung von Klarnamen, ohne dass der eigentliche Zweck vereitelt würde. Vor diesem Hintergrund ist der Grundsatz der Datensparsamkeit nach Art. 5 DSGVO zu beachten – insbesondere auch im Konzernkontext.

Grundsätzlich entfaltet die Verarbeitung selbst konstituierende Wirkung für die daraufhin zu realisierende rechtliche Gestaltung. Bevor man sich an einen Rechtstext macht, der den Datenfluss innerhalb eines Konzerns vertraglich flankieren soll, muss also eruiert werden, wie die jeweiligen Verarbeitungstätigkeiten tatsächlich in der Praxis erfolgen.

Je nach konzerndimensionaler Realisierung oder getrennt nach Unternehmen, kommen mehrere Konstellationen in Frage:

Auftragsverarbeitung

Wird ein Konzernunternehmen als Auftragsverarbeiter für ein oder mehrere andere Konzernunternehmen im Rahmen einer Hilfsfunktion weisungsgebunden tätig, so sind Auftraggeber und Auftragnehmer im Verhältnis zueinander nicht Dritte. Der Auftraggeber bleibt Verantwortlicher und die Datenweitergabe zwischen beiden stellt keine bloße Übermittlung von personenbezogenen Daten dar. Dies ist im Konzernkontext dann der Fall, wenn eine Konzerngesellschaft als Dienstleistungsgesellschaft für den gesamten Konzern oder einzelne Einheiten fungiert. Eine Konzerndienstleistungsgesellschaft wird in der Regel als Auftragsverarbeiter für die anderen Konzerngesellschaften tätig.

Es ist nicht generell anzunehmen, dass eine Konzern- bzw. Muttergesellschaft als Auftragnehmer fungiert. In der Praxis kann auch der der Fall eintreten, dass die Konzernmutter eigenständige Nutzungsrechte an den vom zur Verfügung gestellten Daten haben will oder hinsichtlich einiger Verarbeitungstätigkeiten selbst Zwecke und Mittel der Verarbeitung bestimmt oder Einfluss darauf ausüben wird. Hier muss von einer anderen Konstellation ausgegangen werden, da die Konzernmutter unter Umständen die an sie übermittelten Daten entweder in eigener Verantwortlichkeit oder mit anderen Unternehmen gemeinschaftlich verarbeitet.

Gemeinsame Verantwortlichkeit

In Abgrenzung zur Verarbeitung im Auftrag, kommt bei einer gemeinschaftlichen Verarbeitung eine gemeinsame Verantwortlichkeit zwischen mehreren Verantwortlichen in Betracht. Der Unterschied zur zuvor genannten Konstellation ist, dass beide Parteien sowohl über Zwecke als auch Mittel der Verarbeitung bestimmen und so einen ursächlichen Beitrag für die Erfüllung des der Verarbeitung zugrundeliegenden Zweckes leisten.

In diesem Fall benötigen beide Verantwortliche eine Rechtsgrundlage. Dies kann im Rahmen von konzerndimensionalen Arbeitsverhältnissen zum Beispiel dann vorliegen, wenn verschiedene Konzernunternehmen einen Einfluss auf die Durchführung des Arbeitsverhältnisses haben, da dies im Arbeitsvertrag so vorgehsehen ist. Der einzige Unterschied ist, dass die Anforderungen aus dem Datenschutzrecht beide Verantwortliche treffen. Einzelne Pflichten können mittels Vertrags aufgeteilt werden. Gewinnbringend erscheint zum Beispiel, dass die sachnähere Unternehmenseinheit bestimmte organisatorische Maßnahmen für den anderen Verantwortlichen übernimmt. Alle Anforderungen ergeben sich aus Art. 26 DSGVO.

Siehe dazu auch unser gesonderter Ratgeber zur gemeinsamen Verarbeitung personenbezogener Daten (im Konzern).

Bloße Datenübermittlung

Wenn hingegen eine ganze Unternehmenseinheit zur eigenverantwortlichen Wahrnehmung an eine Konzerngesellschaft übertragen wird, wird der Datenverarbeiter selbst zum Verantwortlichen für die Aufgabe, die zur Durchführung in eigener Verantwortung übertragen wurde. Bei der Übermittlung werden personenbezogenen Daten dann lediglich übermittelt.

Zu beachten gilt, dass es freilich auch eine Rechtsgrundlage für den Datentransfer des übermittelnden Unternehmens geben muss. Sollen personenbezogene Daten lediglich für interne Verwaltungszwecke übermittelt werden, kann in der Regel auf das berechtigte Unternehmensinteresse gemäß Art. 6 Abs. 1 lit f DSGVO abgestellt werden. Oftmals müssen die übermittelten Daten für eine interne Verwaltung aber nicht personenbezogen sein, so dass eine bloße Übermittlung in der Praxis eine eher untergeordnete Rolle spielen sollte. Der bloßen Übermittlung im Konzernkontext liegt zuweilen auch ein Vertrag zugrunde. Aus dem Vertrag muss dann gegenüber den Betroffen transparent hervorgehen, dass im Zuge der Erfüllung auch andere Verantwortliche involviert sind.

Erlaubnis aus der Zweckbestimmung eines Vertrages

Eine Legitimation für einen Datentransfer kann insbesondere in einem Vertragszweck begründet liegen. Denken Sie unbedingt daran, dass es sich um einen zugrundeliegenden Vertrag zwischen Betroffenen und Unternehmen handeln muss. Sollen beispielsweise Beschäftigtendaten an ein Konzernunternehmen übermittelt werden, muss der zugrundeliegende Zweck hierfür aus dem Arbeitsvertrag mit den jeweiligen Mitarbeitern hervorgehen. Dies ist dann der Fall, wenn der Arbeitsvertrag bei Vertragsschluss ein Tätigwerden des Arbeitnehmers auch in anderen Konzernunternehmen vorsieht. Die Übermittlung ist dann regelmäßig zur Durchführung des Arbeitsverhältnisses im Sinne des § 26 BDSG (Bundesdatenschutzgesetz) notwendig.

Gleiches gilt für die Vertragserfüllung gegenüber Kunden. Tritt der Verantwortliche im Rechtsverkehr als Konzern auf bzw. erfüllt Leistungen im Rahmen von Konzernverträgen oder durch verschiedene Unternehmenseinheiten, ergibt sich die Rechtsgrundlage gegenüber dem Betroffenen bereits aus dem zugrundeliegenden Vertrag. Ist der Zweck dementsprechend konzerndimensional angelegt, bedarf es keiner der anderen aufgezählten Rechtsgrundlagen.

Berechtigtes Interesse des Verantwortlichen

Grundsätzlich ist von einem vorangingen Interesse des Betroffenen an keiner Weitergabe  auszugehen. Eine Übermittlung könnte sich jedoch dann im Rahmen des berechtigten Interesses (Art. 6 Abs. 1 lit f DSGVO) des weitergebenden Konzernunternehmens rechtfertigen lassen, wenn die beteiligten Konzernunternehmen besondere Maßnahmen zugunsten der jeweiligen Betroffenen treffen. Dies ist insbesondere von der Kategorie der Daten sowie Kategorie der Betroffenen abhängig.

Die Abwägung der Übermittlung von Kundendaten – die sich teilweise auf Name und Adresse beschränken – fällt eher zugunsten des Konzernunternehmens aus. Im Falle von Beschäftigtendaten, insbesondere solche der Personalverwaltung, dürfte regelmäßig das Gegenteil der Fall sein. Diese Entscheidung ist stets eine des Einzelfalls, wobei alle entscheidungserheblichen Kriterien innerhalb der Abwägung berücksichtigt werden müssen. Nicht umsonst legt der Verordnungsgeber in den Auslegungshilfen in Form der Erwägungsgründe fest, dass ein berechtigtes Interesse zu internen Verwaltungszwecken vorliegen kann, aber nicht muss. Zudem lässt die Beschränkung ausschließlich zu Verwaltungszwecken den Schluss zu, dass dieser Erwägungsgrund restriktiv auszulegen ist.

So kann das Ergebnis der Abwägung ausnahmsweise auch zugunsten der berechtigten Interessen der Konzernunternehmen ausfallen. Entscheidungserheblich sind dabei unter anderem:

  • Vorliegen eines konzernweiten Datenschutzkonzepts
  • einheitliche Standards zur Gewährleistung und Durchsetzung der Datenschutzrechte der Betroffenen, einschließlich der Möglichkeit, die Betroffenenrechte bei jeder der Konzerngesellschaften gleichermaßen geltend machen zu können
  • der Verarbeitungsverlauf muss für die Betroffenen transparent sein. Hierzu bedarf es entsprechender Informationen, welche die Maßgaben aus Art. 12 ff. DSGVO erfüllen.
  • ein konzernweit realisiertes Datenschutzmanagementsystem, das auch im Falle einer Internationalität einen verbindlichen, konzernweiten Datenschutzstandard festlegt und somit die Einhaltung auch nationaler Besonderheiten berücksichtigen kann
  • im Falle von Beschäftigtendaten muss der Arbeitgeber weiterhin umfassender Ansprechpartner für den Arbeitnehmer bleiben, d.h. auch für die Erfüllung sämtlicher Betroffenenrechte einstehen
  • auch darf das Haftungsrisiko nicht dergestalt verlagert werden, dass bei dem ursprünglich übermittelnden Verantwortlichen kein Schadenersatz mehr geltend gemacht werden kann. Der Betroffene muss der Jurisdiktion unterliegen, welche er auch ohne Datentransfer unterläge bzw. mindestens ein diesbezügliches Wahlrecht haben
  • Übermittlung der Daten auch in ein unsicheres Drittland und in diesem Falle das Vorliegen geeigneter Garantien für einen Transfer

Etwaige Regelungen müssen zwischen den Konzernunternehmen verbindlich getroffen werden, z.B. durch Verträge oder in Form von bindenden Unternehmensregelungen. Eine solche Regelung müsste auch im Verhältnis zu den Betroffenen verbindlich gemacht werden. Besonderheiten gelten freilich für den Fall, dass personenbezogene Daten im Zuge des Konzerntransfers in ein unsicheres Drittland übermittelt werden sollen.

Einwilligung

Eine Einwilligung der Betroffenen sollte nur in den Fällen in Anspruch genommen werden, in denen dieser eine echte Wahl hat und seine Einwilligung zu einem späteren Zeitpunkt widerrufen kann, ohne dass ihm daraus Nachteile erwachsen. Für Unternehmen ist diese Rechtsfolge oftmals nicht praktikabel. Daher scheidet eine Einwilligung i.d.R. als Rechtsgrundlage aus. Auch sind für den Fall des beabsichtigten Transfers von Beschäftigtendaten die jeweiligen nationalen Besonderheiten zu beachten. In Deutschland gelten über die DSGVO hinausgehende Mindestanforderungen für die Einwilligung im Beschäftigungskontext nach § 26 Abs. 2 BDSG.

Betriebsvereinbarungen

Eine Betriebsvereinbarung kommt ebenfalls als Legitimation eines konzerninternen Datentransfers für Beschäftigtendaten in Betracht. Art. 6 Abs. 2 in Verbindung mit Art. 88 DSGVO regelt eine Abweichungsbefugnis zugunsten der Mitgliedstaaten für Datenverarbeitungen im Beschäftigungskontext. Wenn mit Hilfe von Betriebsvereinbarungen die oben beim berechtigten Interesse der verantwortlichen Stelle genannten Anforderungen erfüllt sind, bestehen keine Bedenken gegen deren Anerkennung als datenschutzrechtliche Legitimation zur Datenübermittlung.

Für weitergehende Praxistipps empfehlen wir die Lektüre unseres speziellen Artikels zum konzerninternen Datentransfer auf Basis einer Betriebsvereinbarung.

Praxistipps für den konzerninternen Datentransfer

Gehen Sie systematisch vor. Beschreiben Sie im Unternehmen zunächst, welche Verarbeitungstätigkeiten vorliegen. Hierbei kann Ihnen unter Umständen der Rückgriff auf ein vorliegendes (konzernweites) Verzeichnis von Verarbeitungstätigkeiten helfen, da hierin der Empfängerkategorie entnommen werden kann, welche Verarbeitungen einen konzerndimensionalen Bezug haben. Für all diese Verarbeitungstätigkeiten muss im Vorfeld ermittelt werden, welche Unternehmenseinheit oder Konzerngesellschaft personenbezogene Daten erhalten muss, um den mit der Verarbeitung verbundenen Zweck erfüllen zu können. Nur wenn es überhaupt der Übermittlung bedarf, muss eine Rechtsgrundlage gefunden werden.

Tipp: Oftmals wird der Transfer allgemeiner und personenbezogener Daten innerhalb des Konzerns nicht getrennt. Eine in allen Prozessen wirtschaftlich eingebundene Konzernmutter wird freilich alle Daten aller Konzerngesellschaften für die Wirtschaftsplanung einsehen und verarbeiten wollen bzw. müssen. Hier stellt sich die Frage, ob diese Daten auch um einen vorliegenden Personenzug bereinigt ausreichen.

Unterscheiden Sie zwingend zwischen Beschäftigten und anderen Kategorien von Betroffenen. Die Übermittlung von HR-Daten bedarf im Zweifel eines besonders strengen Prüfmaßstabs.

Denken Sie an geeignete Garantien für einen Transfer in ein Drittland. Oft sind die Compliance-Vorgaben in verschiedenen Ländern unterschiedlich, da hier Unternehmen aus verschiedensten Rechtstraditionen zusammenkommen. Hier gilt es besonders wachsam zu sein. Garantien für einen Transfer von personenbezogenen Daten ersetzen keine Rechtsgrundlage, diese überhaupt übermitteln zu dürfen.

Tipp: Notwendig ist in diesem Fall immer eine gedanklich zweigestufte Prüfung. Erstens: Liegt überhaupt eine Rechtsgrundlage für die Übermittlung vor? Zweitens: Existiert eine geeignete Garantie, wodurch für den Betroffenen das gleiche Datenschutzniveau auch im Drittland gewährleistet wird?

Denken Sie unbedingt an die bestehende Rechenschaftspflicht. Wenn Sie als Rechtsgrundlage für den Datentransfer ein überwiegendes berechtigtes Unternehmensinteresse anführen, bedarf es hierzu auch einer dokumentierten Abwägung, aus der hervorgeht, dass die Abwägung zugunsten des Unternehmens ausfällt. Eine solche Abwägung müssen Sie der Aufsichtsbehörde im Zweifelsfall vorlegen können.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Datenpanne oder Datenklau: Was Sie nach DSGVO sofort tun müssen (Anleitung)

Datenpannen oder Datendiebstähle passieren in Unternehmen jeden Tag. Doch was müssen Sie tun, wenn Sie z. B. erfahren, dass ein unverschlüsselter USB-Speicherstick mit sensiblen Daten verloren gegangen ist oder personenbezogene Daten durch einen Angriff auf Ihre IT abgeflossen sind? Unter der EU-Datenschutz-Grundverordnung (DSGVO) gelten für Datenpannen die in Art. 33 und Art. 34 zu ergreifenden Maßnahmen. Sie sollten deshalb schnell, aber auch achtsam und juristisch korrekt handeln. Unser Plan für eine Datenpanne hilft Ihnen dabei.

1. Schritt: Datenschutzpannen umgehend bemerken

Wie schnell würde in Ihrem Unternehmen ein Datenleck oder Datenverlust auffallen? Ein möglicher Schaden lässt sich nur dann in Grenzen halten, wenn Vorfälle möglichst sofort entdeckt und Gegenmaßnahmen ergriffen werden. Sowohl ihre IT als auch ihre Mitarbeiter sollten daher für Auffälligkeiten sensibilisiert sein. Kontrollieren Sie, ob entsprechende technische Vorkehrungen der Informationssicherheit getroffen sind und ob ungewöhnliche Ereignisse von den Verantwortlichen genügend ernst genommen und überprüft werden.

  • Erfolgt eine Warnung bei fehlgeschlagenen Anmeldeversuchen und unerlaubten Zugriffen auf das Dateisystem? Wie werden solche Ereignisse behandelt?
  • Besteht ein Monitoring für den Datenverkehr? Wie wird bei Anomalitäten vorgegangen?
  • Inwieweit erfolgt eine regelmäßige Kontrolle zentraler Server?
  • Sind die Mitarbeiter hinreichend sensibilisiert, so dass diese in der Lage sind Datenpannen zu bemerken?
  • Wie sind die Meldewege für Datenpannen definiert und sind sie allen Mitarbeitern bekannt?
  • Gibt es ein zentrales Regelungsdokument zum Datenschutznotfall?

2. Schritt: Der Situation Herr werden durch Implementation eines Incident-Response-Managements

Um angemessen auf einen Vorfall reagieren zu können, müssen Sie selbstverständlich zunächst erfassen, was passiert ist. Dafür sollten eindeutige Zuständigkeiten definiert sein. Wenn Sie etwa feststellen, dass Ihre Webseite gehackt wurde: Wen können Sie rund um die Uhr erreichen, der die Sicherheitslücke schließt und umgehend prüft, auf welche Daten zugegriffen wurde? Sind auch alle anderen Mitarbeiter darüber informiert, an wen sie sich wenden können und wen sie informieren müssen?

Am besten erstellen Sie für dieses Vorgehen eine Notfallliste mit sämtlichen Ansprechpartnern und deren Kontaktdaten, insbesondere dem Datenschutzbeauftragten. Ziel ist es, dadurch ein Incident-Response-Management aufzubauen, mit dem auf eine Störung (Incident) unmittelbar reagiert (Response) werden kann.

3. Schritt: Gesetzliche Pflichten nach Art. 33 und Art 34 DSGVO beachten

Gemäß Art. 33 DSGVO ist eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden bei der zuständigen Aufsichtsbehörde zu melden. Die Aufsichtsbehörden haben hierfür größtenteils online umfangreiche Eingabemasken eingerichtet. Von einer Meldung kann nur dann abzusehen sein, wenn die Verletzung „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen“ führt und setzt demnach die Beschäftigung mit einer dahingehenden Prognoseentscheidung des Verantwortlichen voraus.

Zur Abschätzung des Risikos hat die Datenschutzkonferenz (Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder – DSK) in ihrem Kurzpapier Nr. 18 eine Hilfestellung veröffentlicht. Zudem kann hierbei auch unsere Muster-Richtlinie zur Risikobeurteilung und die entsprechende Erklärung eine erste Hilfestellung bieten.

Ob der Verantwortliche im Zweifel eher melden sollte und was die Entscheidung beeinflussen könnte, kann in unserem Artikel zur Selbstbelastungsfreiheit bei Datenschutznotfällen nachgelesen werden.

Stellt sich bei der Risikobewertung heraus, dass voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht, so sind gemäß Art. 34 DSGVO auch die betroffenen Personen deren Daten Gegenstand der Notfalls waren zu benachrichtigen.

Doch der Umgang mit einer Datenpanne endet keinesfalls mit der Meldung bei der Aufsichtsbehörde und ggfs. der Wiederherstellung des Normalbetriebs. Bereits bei der Meldung wird abgefragt, welche Maßnahmen zur Eindämmung des Risikos akut unternommen wurden. Teil der Dokumentation des Datenschutznotfalls ist daher auch die Aufarbeitung und das Implementieren von Maßnahmen, die einen weiteren Datenschutznotfall dieser Art verhindern können.

Auch wenn die durchgeführte Risikobewertung nicht in einer Meldung des Vorfalls an die zuständige Aufsichtsbehörde endet, muss der erkannte Vorfall nach Art. 33 Abs. 5 DSGVO gleichwohl entsprechend dokumentiert werden. Dies dient der Information der Aufsichtsbehörde im Falle einer Prüfung, was Grundlage dieser Entscheidung war.

Ein zentraler Punkt ist auch bei Datenpannen die rechtzeitige Einbindung des Datenschutzbeauftragten. Dieser kann aus neutraler Sicht entscheidende Hilfestellungen zur Risikobewertung geben und letztlich in der Funktion als weißungsunabhängige Kontrollinstanz zur richtigen Handhabe des Vorfalls durch das Unternehmen einen unverzichtbaren Beitrag leisten.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Verpflichtende Benennung eines Datenschutzbeauftragten ab 20 Mitarbeitern

Wenn mindestens 20 Beschäftigte ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, müssen Unternehmen in Deutschland einen betrieblichen bzw. externen Datenschutzbeauftragten bestellen. Diese Regelung gilt seit dem 26. November 2019, als das Gesetz zur Anpassung des Datenschutzrechts in Kraft trat. Bisher waren die meisten Unternehmen in Deutschland schon ab zehn solcher Beschäftigten verpflichtet, einen Datenschutzbeauftragten zu bestellen.

Achtung: Die Gesetzesnovelle geht nicht mit sonstigen Erleichterungen zur Umsetzung von Datenschutzanforderungen in Unternehmen einher.

Wann greift die Bestellpflicht?

Beschäftigte, die für die Prüfung einer Bestellpflicht mitzuzählen sind, sind nicht nur Arbeitnehmer sondern insbesondere auch Praktikanten, freie Mitarbeiter, Leiharbeiter, Freiwillige und Auszubildende. Dabei ist es egal, ob es sich um Voll- oder Teilzeitbeschäftigte handelt. Auf den konkreten Beschäftigten- oder Arbeitnehmerstatus kommt es nicht an, da Anknüpfungspunkt der Norm die Menge der Datenverarbeitung ist, die der Praktikabilität wegen in einer Personenzahl gemessen wird.

Eine ständige Beschäftigung mit der automatisierten Verarbeitung personenbezogener Daten liegt zum Beispiel schon vor, wenn die Person Zugang zu E-Mail-Systemen hat. Es sind nicht nur solche Personen zu berücksichtigen, deren Tätigkeit die Wahrnehmung einer abgeschlossenen Verarbeitungstätigkeit umfasst, sondern auch solche Personen, die nur Vorarbeiten oder Nacharbeiten erledigen. Beispielsweise Kassenpersonal, das elektronische Zahlungsmittel entgegennimmt und verarbeitet.

Es gibt auch Stimmen, die eine Negativabgrenzung vornehmen. Demnach sollen nur solche Personen nicht mit der automatisierten Verarbeitung beschäftigt sein, die überhaupt keinen Zugang zu Datenverarbeitungssystemen mit personenbezogenen Daten haben.

In der Praxis bedeutet das, dass so gut wie jeder Beschäftigte zu zählen sein wird. Das Gegenteil wird eher die Ausnahme als die Regel sein.

Der deutsche Sonderweg

Seit Wirksamwerden der EU-Datenschutz-Grundverordnung (DSGVO) im Mai 2018 wurde der Wunsch nach einer Neuregelung des damals angepassten Bundesdatenschutzgesetzes (BDSG) laut. Vielfach wurde angemahnt, die dort festgesetzte Grenze von zehn ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen Angestellten für die verpflichtende Bestellung eines Datenschutzbeauftragten würde den Bedürfnissen vieler kleiner Unternehmen nicht gerecht. Die Vorschläge reichten bis hin zur gänzlichen Abschaffung der Bestellpflicht im BDSG.

Anders als andere EU-Mitgliedstaaten beschreitet Deutschland auf nationaler Ebene einen schärferen Weg, als dies in der DSGVO vorgeschrieben ist. Die Möglichkeit einer abweichenden Regelung durch die Mitgliedstaaten ist in Art. 37 DSGVO explizit vorgesehen.

Namentlich war § 38 BDSG betroffen, wonach jedes Unternehmen zunächst mit mehr als neun Mitarbeitern in der Regel einen betrieblichen Datenschutzbeauftragten benennen mussten. Diese formelle Bestellpflicht geht mit der Plicht des Unternehmens einher, den Datenschutzbeauftragten der zuständigen Aufsichtsbehörde melden zu müssen.

Falsches Signal aus Berlin

Durch die Lockerung der Bestellpflicht wird der Eindruck erweckt, dass damit ebenfalls eine Lockerung der datenschutzrechtlichen Anforderungen verbunden ist. Die gesetzlichen Voraussetzungen und damit die Verpflichtungen jedes Unternehmens bestehen aber unverändert fort. Die in der unternehmerischen Wirklichkeit oftmals schwierig zu durchdringende und umzusetzende Querschnittsmaterie des Datenschutzes erfordert eine Menge Fachkunde. Nicht umsonst wird in Art. 37 Abs. 5 DSGVO das zwingend notwendige Fachwissen des Datenschutzbeauftragten vorausgesetzt.

Da Unternehmen nunmehr mit weniger als 20 Mitarbeitern keinen Datenschutzbeauftragten mehr bestellen müssen, wird die unweigerliche Folge sein, dass das Thema im Unternehmen aufgrund einer fehlenden, kompetenten Ansprechperson weniger Beachtung findet und die Umsetzung auf der Strecke bleibt. Dies ist nicht nur ein Nachteil für die Mitarbeiter im Unternehmen, die sich vertraulich an den Datenschutzbeauftragten wenden können müssen. Es entsteht außerdem der Trugschluss, dass die Erleichterung in der Bestellpflicht zu einer Entlastung des Unternehmens beiträgt. Der finanzielle Vorteil wird jedoch spätestens durch die erhöhte Bußgeldgefahr infrage gestellt. Unternehmen werden sich bei künftigen Bußgeldverfahren weiterhin nicht auf die Tatsache berufen können, dass sie keine Bestellpflicht trifft.

Das Für und Wider der neuen Regelung

Mit der Gesetzesinitiative ist die Gesetzgebung den Rufen der kleineren Unternehmen gefolgt. Die Befürworter gehen davon aus, dass bis zu 90 Prozent der Handwerksbetriebe in Deutschland von der Neuregelung betroffen sein werden.

Damit werden gerade die Betriebe erreicht, die bis zu diesem Zeitpunkt die Bestellung selbst durch einen der Mitarbeiter realisiert haben oder aber die einen der zahlreichen, auf dem Markt positionierten externen Dienstleister beauftragt haben, deren Leistung sich in der Regel in der Bestellung erschöpft. So sehr zu begrüßen ist, dass sich voraussichtlich die Qualität der angebotenen Datenschutz-Dienstleistungen steigern wird, zu einer wirklichen Entlastung führt dieser Weg nicht.

Fazit: Wichtige Änderungen bleiben unbeachtet

Die wichtigen Kritikpunkte an der Datenschutz-Grundverordnung werden nicht angegangen. Es bedarf konkreter Maßnahmen zum Bürokratieabbau für kleinere Unternehmen. Gerade die Fragen nach dem Wie der Umsetzung der DSGVO-Anforderungen sollten sich nach Unternehmensgröße richten.

So könnte zum Beispiel über eine abgestufte Rechenschaftspflicht nachgedacht werden, was eine Neukonzeption der Pflicht zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten miteinschließt. Die faktisch ins Leere laufende Ausnahme nach Art. 30 Abs. 5 DSGVO wird dem Willen des Verordnungsgebers nicht gerecht.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Verzeichnis von Verarbeitungstätigkeiten (Einführung)

Das Verzeichnis von Verarbeitungstätigkeiten hat unter der Datenschutz-Grundverordnung (DSGVO) eine herausragende Bedeutung. In unserer Einführung beantworten wir Ihnen alle Fragen rund um Erstellung und Führung des Verzeichnisses von Verarbeitungstätigkeiten.

Was ist der Unterschied zwischen einem Verfahrensverzeichnis und einem Verzeichnis von Verarbeitungstätigkeiten?

Das Bundesdatenschutzgesetz alter Fassung (BDSG a. F.) schrieb in § 4g Abs. 2 und 2a vor, ein detailliertes internes Verfahrensverzeichnis zu führen. Darüber hinaus war eine allgemeine öffentliche Übersicht (Jedermannsverzeichnis) bereitzuhalten. Damit wurde eine Vorgabe der Art. 18 und 19 der damals geltenden EU-Datenschutz-Richtlinie (95/46/EG) umgesetzt. Zusätzlich regelten §§ 4d und 4e BDSG a. F. Meldepflichten von manchen Unternehmen an die Aufsichtsbehörde.

Mittlerweile ergibt sich die Verpflichtung zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten direkt aus der DSGVO. Die Unterscheidung zwischen internem und öffentlichem Verzeichnis ist dabei weggefallen. Vor dem Hintergrund der neu hinzugekommenen Informationspflichten nach Art. 13 f. DSGVO muss das Verzeichnis Betroffenen nicht mehr zugänglich gemacht werden. Betroffene sind stattdessen proaktiv über die Verarbeitung ihrer personenbezogenen Daten aufzuklären (siehe unsere Generatoren für Kundeninformationsschreiben und Mitarbeiterinformationsschreiben).

Wer muss ein Verzeichnis von Verarbeitungstätigkeiten führen?

Die DSGVO weitet die Nachweispflichten bei der Verarbeitung personenbezogener Daten gegenüber den bisherigen Anforderungen nach deutschem Recht deutlich aus. Nach Erwägungsgrund 82 DSGVO soll der Verantwortliche „zum Nachweis der Einhaltung dieser Verordnung“ ein Verzeichnis von Verarbeitungstätigkeiten führen.

Verantwortlich für das Erstellen und Führen eines Verarbeitungsverzeichnisses ist

  1. der Verantwortliche ( 30 Abs. 1 DSGVO) sowie
  2. jeder Auftragsverarbeiter für die von der Auftragsverarbeitung umfassten Verfahren (Art. 30 Abs. 2 DSGVO).

Gibt es Ausnahmen von der Pflicht, das Verzeichnis zu führen?

Eine gewisse Erleichterung gibt es (zumindest im Gesetzestext) für Unternehmen oder Einrichtungen mit weniger als 250 Mitarbeitern. Diese könnten laut Art. 30 Abs. 5 DSGVO von der Führung eines Verzeichnisses befreit sein, sofern die Verarbeitungen von personenbezogenen Daten

  • kein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen,
  • nur gelegentlich erfolgen oder
  • keine besonderen Datenkategorien gemäß 9 Abs. 1 DSGVO (z. B. Gesundheitsdaten) oder strafrechtliche Verurteilungen und Straftaten im Sinne von Art. 10 DSGVO betreffen.

Da nur eine dieser Fallgruppen für eine Pflicht zur Verzeichnisführung erfüllt sein muss, werden nur wenige Unternehmen und Einrichtungen von der Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten entbunden sein. Vor allem die Ausnahme, dass die Verarbeitung nur gelegentlich erfolgen darf, wird dazu führen, dass ein Verzeichnis praktisch doch immer geführt werden muss. So erfolgen z.B. Lohn- und Gehaltsabrechnungen regelmäßig und nicht nur gelegentlich und da dabei auch Religions- und Gesundheitsdaten (Krankheitstage) betroffen sind, wird in praktisch allen Unternehmen und Einrichtungen ein Verzeichnis für Verarbeitungstätigkeiten erforderlich sein.

Wozu dient das Verzeichnis von Verarbeitungstätigkeiten?

Allgemein dient das Verzeichnis der Transparenz über die Verarbeitung personenbezogener Daten und der rechtlichen Absicherung des Unternehmens. Konkret werden damit zwei Zwecke verfolgt:

Einerseits ermöglicht das Verzeichnis von Verarbeitungstätigkeiten, dass die zuständige Aufsichtsbehörde sich jederzeit über alle Verarbeitungen personenbezogener Daten informieren kann. Deshalb ist das Verzeichnis auf Anfrage der Behörde unmittelbar bereitzustellen (Art. 30 Abs. 4 DSGVO und Erwägungsgrund 82 DSGVO).

Andererseits stellt das Verzeichnis von Verarbeitungstätigkeiten die zentrale Unternehmensdokumentation dar, um der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO nachzukommen. Da eine allgemeine Nachweis- und Dokumentationspflicht für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten in den Vordergrund rückt, wird das Verzeichnis von Verarbeitungstätigkeiten in Zukunft eine große Rolle spielen, um diese Anforderungen zu erfüllen.

Was muss ein Verzeichnis von Verarbeitungstätigkeiten enthalten?

Ein Verzeichnis von Verarbeitungstätigkeiten umfasst alle Verarbeitungstätigkeiten personenbezogener Daten. Es enthält also beliebig viele Verfahrensbeschreibungen. In den Verfahrensbeschreibungen werden die Verarbeitungsschritte von personenbezogenen Daten dokumentiert. Aus der Dokumentation muss hervorgehen, welche personenbezogene Daten das Unternehmen mit Hilfe welcher Verfahren auf welche Weise verarbeitet und welche technisch-organisatorischen Maßnahmen zum Schutz dieser Daten dabei getroffen wurden.

Hierzu empfiehlt sich eine Übersicht aller im Unternehmen eingesetzten Anwendungen und Tools (IT-Verfahren und Dateien), in denen personenbezogene Daten verarbeitet werden, zu erstellen. Typische Beispiele sind Zeiterfassungssysteme, E-Mailverarbeitungen, CRM-Systeme, Personalverwaltung und Websitebesucheranalysen.

Unsere kostenlose Vorlage für ein Verzeichnis von Verarbeitungs­tätigkeiten zeigt Ihnen, wie Sie das Dokument konkret aufbauen sollten.

Wie ist ein Verzeichnis von Verarbeitungstätigkeiten zu führen?

Die Beschreibung der Datenverarbeitungen sollte so konkret erfolgen, dass die Aufsichtsbehörde sich einen guten Überblick über die Arten von Daten, angewendete Sicherheitsmaßnahmen und Restrisiken machen kann.

Das Verzeichnis der Verarbeitungstätigkeiten ist gemäß Art. 30 Abs. 3 schriftlich oder in elektronischer Form (Textform) zu führen. Da nach deutschem Verwaltungsverfahrensrecht die Amtssprache Deutsch ist, sollte das Verzeichnis in deutscher Sprache geführt werden. Internationale Unternehmen mit Englisch als Unternehmenssprache müssen demnach gegebenenfalls Übersetzungen anfertigen, sofern die Aufsichtsbehörde die Einsicht anfragt und auf eine deutsche Version besteht.

Welche Sanktionen drohen bei fehlendem Verzeichnis von Verarbeitungstätigkeiten?

Das Verzeichnis kann durch die zuständige Aufsichtsbehörde jederzeit angefordert werden. Es drohen empfindliche Bußgelder, falls das Verzeichnis von Verarbeitungstätigkeiten nicht oder unvollständig vorliegt. Entsprechende Strafen dürften sich im Rahmen von bis zu 10 Mio. Euro oder bis zu 2 % des Jahresumsatzes bewegen (Art. 83 Abs. 4a DSGVO). Wird ein Verstoß gegen die Rechenschaftspflicht gem. Art. 5 Abs. 2 angenommen, können die Bußgelder noch deutlich höher ausfallen.

Weitere Tipps und kostenlose Vorlagen finden Sie in unserem Special zum Thema.

Geschrieben am:

Zugriff des Arbeitgebers auf dienstliche E-Mails von Mitarbeitern bei deren Abwesenheit

Wenn Beschäftigte regulären Urlaub nehmen, sollte für die Zeit ihrer Abwesenheit eine Vertretungsregelung getroffen werden, so dass per E-Mail eingehende Kundenanfragen rechtzeitig beantwortet werden können. Wenn ein Mitarbeiter dem Unternehmen jedoch unvorhergesehen für eine längere Zeit fernbleiben muss, stellt sich durchaus die Frage, welche Nachrichten sich ggf. im E-Mail-Postfach des Mitarbeiters ansammeln, die für die Aufrechterhaltung des Geschäftsbetriebs von Interesse sein könnten.

Selbstverständlich stellt es ein berechtigtes Interesse des Arbeitgebers dar, dass eventuelle Kundenanfragen nicht unbeantwortet bleiben und wichtige Fristen eingehalten werden. Allein die Abwesenheit reicht jedoch nicht aus, auf das E-Mail-Konto des Beschäftigten zugreifen zu dürfen. Bei einem Zugriff sind immer zwingend auch die schutzwürdigen Interessen des Beschäftigten zu beachten. Die Anforderungen hieran hängen dabei vor allem mit den im Unternehmen getroffenen Regelungen zur Privatnutzung des dienstlichen E-Mail-Konto zusammen.

1. Fall: Das Postfach enthält ggfs. private E-Mails (erlaubte Privatnutzung)

Um die Zulässigkeit eines Zugriffs auf das dienstliche E-Mail-Konto eines Beschäftigten zu beurteilen, ist zunächst ausschlaggebend, ob die private Nutzung der geschäftlichen E-Mailadresse im Unternehmen erlaubt bzw. geduldet ist. Oft ist aufgrund einer fehlenden oder unzureichenden schriftlichen Fixierung die tatsächliche Handhabung im Unternehmen entscheidend. Unter Umständen kann es sich nämlich um eine betriebliche Übung handeln (siehe unser Ratgeber zur privaten E-Mailnutzung im Unternehmen).

Aus Sicht des Datenschutzes ist der Inhalt privater E-Mails auch im geschäftlichen E-Mailkonto geschützt. Da im Falle der erlaubten Privatnutzung mit privaten Inhalt gerechnet werden muss, stellt der Zugriff stets eine Verletzung der Privatsphäre des Beschäftigten dar. Unter Umständen besteht jedoch zum Zwecke der Durchführung des Beschäftigungsverhältnisses dennoch eine Notwendigkeit, geschäftliche E-Mails im Postfach des Mitarbeiters einzusehen. Als Rechtsgrundlage hierfür kommt  § 26 Abs. 1 Satz 1 Bundesdatenschutzgesetz (BDSG) in Betracht. Das schutzwürdige Interesse des Mitarbeiters geht nicht so weit, als dass es dem Arbeitgeber schlechthin verbietet, relevante geschäftliche E-Mails einzusehen (so auch LAG Berlin-Brandenburg, Urteil vom 16. Februar 2011, Az.: 4 Sa 2132/10).

Sobald jedoch eine E-Mail als privat erkannt wird, ist von einem Auslesen abzusehen. Da dies in der Praxis oftmals nicht möglich ist, setzt der Zugriff in diesem Fall eine Abwägung der jeweiligen Interessen voraus. Das Interesse des Arbeitgebers am reibungslosen Geschäftsbetrieb ist mit dem Individualinteresse des Arbeitnehmers, seinem Recht auf informationelle Selbstbestimmung, gegeneinander abzuwägen. Sollte sich das Interesse des Arbeitgebers in der fristgerechten Erfüllung von Verträgen erschöpfen, geht die Abwägung in der Regel zu Lasten des Arbeitgebers aus.

Der Klarheit wegen, sollte stets auf schriftliche Regelungen zur E-Mail-Nutzung zurückgegriffen werden. Dies kann sowohl in einer Betriebsvereinbarung, als auch in einem anderen verbindlichen Regelungsdokument erfolgen.

2. Fall: Das Postfach enthält ausschließlich geschäftliche E-Mails (verbotene Privatnutzung)

Ist die private Nutzung des dienstlichen E-Mail-Kontos ausdrücklich verboten, ist der gesamte E-Mail-Verkehr als geschäftliche Korrespondenz einzustufen. Dies erleichtert einen Zugriff durch den Arbeitgeber, wobei dennoch einige datenschutzrechtliche Grundsätze zu beachten sind. Auch hier ist § 26 Abs. 1 Satz 1 Bundesdatenschutzgesetz (BDSG) maßgeblich. Auch in diesem Fall ist ein Zugriff datenschutzrechtlich nur dann möglich, wenn er erforderlich ist. Die Erforderlichkeit im Rahmen der verbotenen Privatnutzung kann aufgrund der geringfügigeren Eingriffsintensität für den Beschäftigten gegenüber der erlaubten Privatnutzung leichter gerechtfertigt werden.

Voraussetzungen für den Zugriff auf dienstliche E-Mails durch den Arbeitgeber

In beiden Fällen ist in einem ersten Schritt die Erforderlichkeit zu prüfen. Gibt es überhaupt einen Grund zur Annahme, dass im Postfach des Bediensteten für den Geschäftsbetrieb relevante Nachrichten eingegangen sein könnten? Ist dies der Fall, scheidet ein Zugriff auch dann aus, wenn ein milderes Mittel zur Zweckerreichung besteht. Dies ist insbesondere dann gegeben, wenn der abwesende Mitarbeiter im Vorfeld ohne verhältnismäßig hohen Aufwand erreicht werden kann und die Informationen auf diesem Wege bereitgestellt werden können.

Kommt man zu dem Ergebnis, dass ein Zugriff erforderlich ist, muss dieser zudem verhältnismäßig sein. Es muss in Einklang mit den Grundsätzen des Datenschutzes sichergestellt werden, dass der Zugriff auf eine Art und Weise erfolgt, wodurch lediglich der vorgesehene Zweck erfüllt und der Zugriff nicht etwa für eine Leistungskontrolle genutzt wird. Verhältnismäßig ist immer nur ein auf den Einzelfall bezogener, zeitlich begrenzter und kontrollierter Zugriff.

Unabhängig ob es sich um eine erlaubte oder verbotene Privatnutzung handelt, sollten vor dem Hintergrund der Rechenschaftspflicht alle Umstände jeweils erschöpfend dokumentiert werden.

Empfehlungen für den tatsächlichen Zugriff auf Mitarbeiter-E-Mails

Ist der Zugriff unvermeidbar, empfiehlt sich folgendes Vorgehen beim Zugriff auf das Postfach eines Mitarbeiters während seiner Abwesenheit:

  • Der Zugriff auf das E-Mail-Konto eines Beschäftigten erfolgt nach dem Vier-Augen-Prinzip, z. B. im Beisein des betrieblichen Datenschutzbeauftragten, mit Abstimmung des externen Datenschutzbeauftragten oder soweit vorhanden auch des Betriebsrates.
  • In einem schriftlichen Protokoll ist festzuhalten, wann und mit welcher Erforderlichkeit der Zugriff erfolgte, welche Personen daran beteiligt waren und in welche Dateien Einsicht gewährt wurde.
  • Soweit eine Änderung des Passwortes notwendig war, ist das Passwort des Betroffenen nach erfolgtem Zugriff zurückzusetzen und diesem nach seiner Rückkehr – geschützt vor Einsicht durch Dritte – mitzuteilen.
  • Außerdem sollte geprüft werden, ob mit angemessenem Aufwand technische und organisatorische Maßnahmen umsetzbar sind, die geeignet sind, derartige Zugriffe auf ein Minimum zu beschränken. Beispielsweise wäre zu prüfen, inwieweit für zeitkritische Korrespondenz generische Postfächer (etwa: kunde-xyz@unternehmen.de) zweckmäßig sind, auf die mehrere Mitarbeiter Zugriff haben.

Dieser aktualisierte Artikel wurde zuerst am 7. März 2013 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Datenschutzkonforme Internetwerbung für Kinder und Jugendliche

Kinder und Jugendliche sind eine stark umworbene Zielgruppe für Werbung – insbesondere online. Denn Minderjährige verfügen nicht nur selbst über eine gewisse Kaufkraft, sondern beeinflussen in beachtlichem Maße auch Kaufentscheidungen der Erwachsenen in ihrem Umfeld. Der Gesetzgeber stellt Kinder und Jugendliche jedoch unter einen besonderen Schutz, weshalb bei allen Erhebungen und Verarbeitungen personenbezogener Daten von Minderjährigen besondere Datenschutzregeln gelten.

Warum gelten für Minderjährige zusätzliche Datenschutzvorgaben?

Marketing bzw. Werbung soll zum einen die Kaufentscheidungen von Kindern und Jugendlichen bzw. der zugehörigen Erwachsenen beeinflussen. Zum anderen wird versucht, junge Menschen so früh wie möglich an Marken zu binden, um in ihnen im Erwachsenenalter treue Kunden zu haben. Darum entwickeln Unternehmen spezielle Strategien, um insbesondere Kinder und Jugendliche so tief wie möglich beeinflussen zu können. Sehr begeisterungsfähig und selten kritisch, bilden diese schließlich eine denkbar attraktive Zielgruppe.

Werbung will Wünsche wecken und die Konsumenten dazu in eine Fantasiewelt entführen, wo ihnen teilweise wahre Wunder versprochen werden. Erwachsene können zwischen diesen Fantasien und der Realität unterscheiden. Kinder besitzen die nötige kritische Unterscheidungsfähigkeit dagegen zunächst überhaupt nicht, sondern bilden diese erst nach und nach aus.

Insbesondere im Internet fällt es Kindern schwer, Werbung als solche zu identifizieren. Hier tarnt sie sich in kostenlosen Online-Games, Gewinnspielen, Kinderklubs und vermeintlichen „Empfehlungen“ von Freunden in sozialen Netzwerken.

Es ist auch unklar, ab wann Minderjährige vollumfänglich verstehen, was es bedeutet, wenn sie eine Einwilligungserklärung abgeben, um Zugang zum gewünschten Ziel zu erhalten. Denn selbst für Volljährige sind die Datenschutzbestimmungen in Einwilligungserklärung nicht selten zu kompliziert.

Außerdem setzen Unternehmen im Internet auf stark personalisierte Werbung. Um an die Wünsche und Vorlieben eines konkreten Nutzers angepasste Werbung platzieren zu können, müssen Anbieter ihre Anwender so genau wie möglich kennen. Das artet in einer wahren Datensammelwut aus, die auch vor Kindern und Jugendlichen nicht Halt macht.

Deshalb sieht der Gesetzgeber für Werbetreibende im Umgang mit Minderjährigen besondere Regeln vor. Die Grundlagen dafür finden sich im Gesetz gegen den unlauteren Wettbewerb (UWG), im Telemediengesetz (TMG), im Jugend-Medienschutz-Staatsvertrag (JMStV) sowie in der EU-Datenschutz-Grundverordnung (DSGVO).

Datenschutzvorgaben für Onlineangebote für Minderjährige

Wie können Onlineinhalte und insbesondere Werbung, die sich an Kinder und Jugendlich richten, also so gestaltet werden, dass sie datenschutzrechtliche Kriterien erfüllen? Auf folgende Punkte sollten Sie besonders achten:

Datenvermeidung und Datensparsamkeit

Art. 5 Abs. 1 lit c) DSGVO nennt die Prinzipien der Datenvermeidung und Datensparsamkeit mit der zentralen Fragestellung: Welche Daten brauche ich, um den angebotenen Dienst erbringen zu können? Nicht wenige Anbieter beantworten diese Frage mit „so viel wie möglich“. Je mehr man weiß, umso besser kann man seine Leistung schließlich an einen Nutzer anpassen. Aber auch schon bei erwachsenen Anwendern hat das Gesetz eine strenge Definition der Erforderlichkeit einer Datenerhebung.

Das bedeutet: erforderlich sind nur diejenigen Daten, ohne deren Kenntnis die Bereitstellung der Dienstleistung nicht möglich wäre. Erst recht bei Angeboten für Kinder dürfen darüber hinaus keine Daten erhoben werden.

Das TMG konkretisiert in § 13 Abs. 6, dass die Nutzung von Onlineangeboten und deren Bezahlung soweit möglich und zumutbar anonym oder unter Nutzung eines Pseudonyms ermöglicht werden muss. Für die meisten Dienste reicht die Angabe einer E-Mail-Adresse völlig aus. Davon, zur Angabe von personenbezogenen Daten von Freunden aufzufordern, sollte völlig abgesehen werden.

Einwilligung

Experten sind sich nicht einig, ab wann Kinder einschätzen können, was es bedeutet, in die Nutzung von persönlichen Daten einzuwilligen. Viele sind der Ansicht, dass dieser Reifeprozess sehr individuell sein kann. Damit eine Einwilligung gültig ist, muss sie informiert und freiwillig erfolgen. Der Betroffene muss umfänglich verstehen, welche Daten genau von ihm erhoben werden und was damit geschieht. Die Information darüber darf also nicht zu übersehen und klar verständlich sein.

Durch Art. 8 Abs. 1 DSGVO wurde nun erstmals ein Mindestalter für Einwilligungen festgelegt. Ein besonderer Schutz soll erst dann nicht mehr notwendig sein, wenn die einwilligende Person das 16. Lebensjahr vollendet hat.

Richtet sich demnach das Angebot direkt an Kinder bzw. Jugendliche, so können diese selbst nur dann eine informierte und freiwillige Einwilligung abgeben, soweit sie das sechzehnte Lebensjahr vollendet haben. Ist dies nicht der Fall, bedarf es der Zustimmung durch die Eltern bzw. deren Beisein.

Hiervon abweichend können die Mitgliedstaaten Regelungen treffen, die das Mindestalter senken. Jedoch darf das Mindestalter nie unter dem vollendeten dreizehnten Lebensjahr liegen. Deutschland hat bisher nicht von dieser Öffnungsklausel der DSGVO Gebrauch gemacht. Anders zum Beispiel Österreich, das in § 4 Abs. 4 DSG (Datenschutzgesetz) ein Mindesteinwilligungsalter von 14 Jahren vorsieht.

Art. 8 DSGVO modifiziert die Anforderungen an eine wirksame Einwilligung nach Art. 7 DSGVO. Alle Voraussetzungen müssen kumulativ vorliegen. Eingegrenzt wird der Anwendungsbereich des Art. 8 DSGVO durch das Erfordernis eines Angebots von Diensten der Informationsgesellschaft. Bezüglich der Begrifflichkeit wird hierzu in Art. 4 Nr. 25 DSGVO auf Art. 1 Nr. 1 lit b) der Richtlinie 2015/1535 verwiesen. Dienst meint dabei jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung. Insbesondere fallen darunter E-Commerce, Streaming-Dienste, der Download von Onlineinhalten, aber auch der Beitritt zu sozialen Netzwerken.

In der Praxis ist vor allem interessant, welche Anforderungen an die Nachweispflicht des Einwilligungsempfängers gestellt werden. Hierzu wird in Art. 8 Abs. 2 DSGVO eine Aussage getroffen. Demnach werden von dem für die Datenverarbeitung Verantwortlichen angemessene Anstrengungen unter Berücksichtigung der verfügbaren Technik abverlangt, um herauszufinden, ob die Einwilligung durch die Eltern oder in deren Beisein erteilt wurde. Hieraus lässt sich der Schluss ziehen, dass ein bloßer Hinweis auf das notwendige Mindestalter vor elektronischer Einholung einer Einwilligung nicht ausreicht. Es empfiehlt sich, stets das Alter abzufragen. Sollte dann die Einwilligung der Eltern eingeholt werden müssen, kann dies z. B. durch Zusendung eines Dokuments oder dem Double-opt-in-Verfahren mit der E-Mail-Adresse der Eltern realisiert werden. Ein wirklich praxistaugliches Legitimationsverfahren besteht jedoch nicht.

Schwierig wird künftig auch zu beurteilen sein, ob sich ein Angebot direkt an ein Kind richtet oder nicht. Dem Wortlaut „direkt“ muss hierbei Rechnung getragen werden. Nicht umfasst werden folglich Angebote, die zwar einen Bezug zu Minderjährigen haben, diese aber nicht direkt ansprechen (z. B. Dienstleistungen und Waren für Kinder, die sich eigentlich auf unbeschränkt geschäftsfähige Personen beziehen). Es ist stets danach zu fragen, ob sich das Angebot typischerweise auch an Kinder richtet bzw. ob dieses regelmäßig von Kindern in Anspruch genommen wird.

Verbot unlauterer und aggressiver geschäftlicher Handlungen

Das UWG spricht in § 3 Abs. 4 und 4a Abs. 2 S. 2 vom Verbot unlauterer und aggressiver geschäftlicher Handlungen. Beide lauterkeitsrechtlichen Vorschriften stellen auch auf das Alter des Adressaten ab. Hierbei darf die geschäftliche Unerfahrenheit aufgrund des Alters nicht durch unlautere oder aggressive Handlungen beeinflusst werden.

Fazit: Die kindgerechte Gestaltung von Onlineinhalten ist möglich

Internetangebote sollten immer so gestaltet sein, dass der Nutzer Herr der Situation und seiner Daten bleibt. Das bedeutet, dass er jederzeit bewusst entscheiden kann, bestimmte Angebote zu nutzen oder nicht – und dafür eindeutig darüber informiert ist, was ihn bei der Nutzung erwartet.

Erst recht bei Kindern ist eine besondere Sorgfalt notwendig, um diese nicht in unfreiwillig entstandene Situationen zu führen. Damit ist nicht nur gemeint, dass Websites und andere Onlineinhalte für Kinder und Jugendliche nicht irreführend gestaltet sein dürfen. Dies beinhaltet unter anderem auch, dass Werbung deutlich erkennbar vom redaktionellen Inhalt getrennt sein muss und Links eindeutig erkennen lassen, zu welchem Ziel sie führen.

Es ist auch notwendig, dass die Informationen, die ein Betreiber zu seinem Angebot bereitstellt – wie etwa die Datenschutzbestimmungen und die Allgemeinen Geschäftsbedingungen – für Kinder verständlich formuliert sind.

Dieser aktualisierte Artikel wurde zuerst am 27. September 2012 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Tell-a-Friend ist Spam: BGH-Urteil zu Freundschaftswerbung

Der Bundesgerichtshof hat mit Urteil vom 12. September 2013 (Az.: I ZR 208/12) entschieden, dass sogenannte Empfehlungs-E-Mails nichts anderes als unverlangte Werbe-E-Mails sind. Richtet sich solch eine Nachricht an einen Gewerbetreibenden oder auch freiberuflich Tätigen, stellt dies einen rechtswidrigen Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb dar.

Empfehlungs-E-Mails sind solche, mit denen Besucher einer Webseite andere Personen auf den Inhalt dieser Webseite aufmerksam machen („Tell-a-friend“). Hierzu bieten zahlreiche Unternehmen auf Ihren Webseiten eine entsprechend komfortabel ausgestaltete Weiterempfehlungsfunktion an. Nutzer müssen nur die E-Mail-Adresse des Empfängers, teilweise auch noch die eigene Adresse eingeben und schon lässt sich eine Empfehlungsnachricht absenden.

Der BGH kam zu dem Schluss, dass solch eine Empfehlungs-E-Mail einer unverlangten Werbe-E-Mail eines Unternehmens (Spam) gleichzusetzen ist. Jede E-Mail, die zumindest mittelbar der Absatzförderung dient, stellt ohne vorherige ausdrückliche Einwilligung eine unzumutbare Belästigung dar und ist grundsätzlich rechtswidrig, § 7 Abs. 2 Nr. 3 UWG. Dieser Grundsatz wird analog auf die Empfehlungs-E-Mail angewandt. Denn auch hier mangelt es erfahrungsgemäß an einer ausdrücklichen Einwilligung des Adressaten in die Zusendung von „Unternehmensinformationen“.

Richtet sich eine solche Empfehlungs-E-Mail an einen Unternehmer (im konkreten Fall einen Rechtsanwalt) erfolgt die E-Mail-Werbung betriebsbezogen und beeinträchtigt den Betriebsablauf im Unternehmen und stellt im Ergebnis einen rechtswidrigen Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb dar. Der Adressat muss die einzelnen Werbemails sichten und falls erforderlich Widerspruch gegen die weitere Zusendung einlegen. Dies ist eine unzumutbare Belästigung und damit einen abmahnfähigen Verstoß gegen das Wettbewerbsrecht.

Ausschlaggebend für die Haftung ist bereits das reine Zur-Verfügung-stellen der Weiterempfehlungsfunktion. Dass der Versand durch einen Dritten vorgenommen wird ist nicht maßgeblich. Unternehmen, die weiterhin eine Weiterempfehlungsfunktion auf ihrer Webseite nutzen, können damit auf Unterlassung in Anspruch genommen werden und möglicherweise kostenpflichtig abgemahnt werden.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am: