Aufsichtsbehörden verstärken Kontrollen

Während die Datenschutz-Aufsichtsbehörden früher vor allem beratend tätig waren, widmen sie sich nun verstärkt Kontrollaufgaben. Diese Veränderung ist der EU-Datenschutz-Grundverordnung (DSGVO) geschuldet. Das Bayerische Landesamt für Datenschutzaufsicht bekräftigt in seinem aktuellen Tätigkeitsbericht diese neue Ausrichtung ebenso wie der Landesdatenschutzbeauftragte in Baden-Württemberg in einem Zeitungsbeitrag.

Gründe für die verstärkten Kontrollen der Aufsichtsbehörden

Sieht man sich die jüngsten Tätigkeitsberichte der Aufsichtsbehörden an, ergibt sich ein übergreifend erkennbares Bild. Es gibt gleich mehrere Gründe für den Kurswechsel:

Beschwerden

Das Bewusstsein für die eigenen Datenschutzrechte ist in der Bevölkerung stark angestiegen. Dementsprechend nahm auch die Zahl der Beschwerden durch Betroffene massiv zu. Die Aufsichtsbehörden mussten sich seit Inkrafttreten der DSGVO mit wesentlich mehr Beschwerden beschäftigen als früher in vergleichbaren Zeiträumen. So gingen allein in Bayern im vergangenen Jahr 3.643 Beschwerden ein; das sind mehr als zehn pro Kalendertag! In Baden-Württemberg waren es sogar über 3.900 Beschwerden. Auch in Hamburg gehen derzeit knapp zehn Beschwerden pro Tag ein.

Prüfungen

Die eigenen Feststellungen der Aufsichtsbehörden zeigen oft noch Defizite in der Umsetzung der Anforderungen. Zu viele Unternehmen haben Anforderungen der DSGVO nicht oder nicht ausreichend umgesetzt.

Meldung von Datenpannen

Auch die Pflicht zur Meldung von Datenpannen zeitigt Folgen. So verzehnfachten sich z. B. in Baden-Württemberg im Berichtszeitraum die Meldungen.

Personalknappheit

Ein weiterer Grund für die Verlagerung ist politischer Natur: Die Behörden sind unterbesetzt. Die vorhandene Personalstärke lässt die bisher oft geübte Praxis der Beratung nicht mehr zu. So äußert sich etwa der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht sehr deutlich in seinem letzten Bericht.

Was bedeutet die neue Ausrichtung der Aufsichtsbehörden für Unternehmen?

Auch wenn die Berichterstattung zur DSGVO stark nachgelassen hat, ist der Druck auf Unternehmen nicht geringer geworden. Im Gegenteil ist festzuhalten, dass die Schonfrist vorbei ist:

  • Mit einer Kontrolle ist jederzeit zu rechnen. Ob nun veranlasst durch eine Beschwerde oder aus eigenem Antrieb – die zuständige Behörde kann jederzeit „anklopfen“.
  • Der eigene Umsetzungsgrad des Datenschutzes (Stichwort: Datenschutzmanagementsystem) sollte daher dringend überprüft und ggf. korrigiert werden. Immer noch unterschätzen viele Unternehmen den Bereich Datenschutz und geben ihm nicht das notwendige Gewicht. Teils liegt dies an Unkenntnis oder fehlendem Bewusstsein, teils an unvollständiger oder gänzlich ungeeigneter Beratung. Auch fehlerhafte Priorisierung von Aufgaben trägt ihren Teil bei.
  • Die Rechenschaftspflicht nicht vergessen! Es ist nicht mehr damit getan, einen bestimmten Zustand zu erreichen. Es muss vielmehr laufend gemessen und belegt werden, dass der Datenschutz korrekt umgesetzt wird. Wie diese Rechenschaftspflicht zu erfüllen ist, überfordert immer noch viele Unternehmen. Viel zu oft mangelt es an den geforderten „Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“, gemäß 32 Abs. 1 d) DSGVO.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Datenschutz bei Mitarbeiterscreenings für das AEO-Zertifikat

Die zunehmende Globalisierung einerseits und die Wirtschaftskriminalität andererseits erfordern immer häufiger ein länderübergreifendes Risikomanagement. Für international tätige Spediteure, Hersteller, Händler und Lieferanten hat sich dafür das AEO-Zertifikat (Authorized Economic Operator) etabliert. Das Problem: Zur Erlangung des AEO-Zertifikats sind Sicherheitsüberprüfungen der Mitarbeiter nötig. Doch lassen diese sich mit der EU-Datenschutz-Grundverordnung (DSGVO) und dem Beschäftigtendatenschutz im Bundesdatenschutzgesetz (BDSG) überhaupt vereinbaren?

Datenschutzrechtliche Probleme beim Mitarbeiterscreening

Der Düsseldorfer Kreis hat sich bereits mehrfach mit dem Problem des Mitarbeiterscreenings befasst, zuletzt durch Beschluss vom 23./24. April 2009. Die Anwendbarkeit der DSGVO gibt Anlass, die Problematik erneut aufzugreifen.

In den letzten Jahren ist insbesondere die Zollverwaltung im Rahmen der Bewilligung des zollrechtlichen Status eines „zugelassenen Wirtschaftsbeteiligten“ (AEO-Zertifizierungen) dazu übergegangen, von den Unternehmen umfangreiche Screenings von Mitarbeitern – und gegebenenfalls Daten Dritter – zu verlangen. Diese Screenings werden zum Teil in Abständen von wenigen Wochen ohne konkreten Anlass und undifferenziert durchgeführt.

In diesem Geschäftsfeld betätigen sich bereits spezialisierte Dienstleister, die sich die bestehende Unsicherheit bei den Unternehmen zunutze machen. Dies ist auch der Grund, warum diese Screenings immer häufiger durchgeführt werden. Nach den praktischen Erfahrungen der Aufsichtsbehörden mangelt es an klaren Regelungen, wie mit den Ergebnissen von Datenscreenings umzugehen ist (Treffermanagement). Das Bundesministerium der Finanzen hat zwar am 14. Juni 2010 anlässlich dieser Praxis einschränkende Vorgaben erlassen, diese werden jedoch von den zuständigen Zollbehörden nicht einheitlich umgesetzt.

Der Düsseldorfer Kreis hält in seinem vorgenannten Beschluss derartige Screenings nur aufgrund einer speziellen Rechtsgrundlage für zulässig. Denn sowohl der damals geltende § 32 BDSG (alter Fassung) als auch der aktuell gültige § 26 BDSG erlauben keine verdachtsunabhängige Überprüfung

Welche Rechtsgrundlagen greifen bei Screening von Beschäftigten?

Möglich ist die Anwendung von Art. 6 Abs. 1 f) DGSVO. Danach ist eine Datenverarbeitung zulässig, sofern sie als Mittel für die Erfüllung eigener Geschäftszwecke zur Wahrung berechtigter Interessen erforderlich ist. Allerdings dürfen schutzwürdige Interessen der betroffenen Mitarbeiter nicht überwiegen.

Da es sich beim Wunsch eines Unternehmens, den AEO-Status zu erreichen, um wirtschaftlich international erfolgreich zu bleiben, durchaus sowohl um einen eigenen Geschäftszweck als auch um ein berechtigtes Interesse des Unternehmens handelt, wären die ersten Voraussetzungen zunächst einmal erfüllt.

Je nach Einzelfall könnte möglicherweise auch das Überwiegen der Interessen des Unternehmens auf Wettbewerbsfähigkeit am internationalen Markt gegenüber den Interessen der betroffenen Mitarbeiter auf Schutz ihres allgemeinen Persönlichkeitsrechts bejaht werden.

Möglich ist ebenfalls die Berufung auf Art. 6 Abs. 1 c) DSGVO. Geschäftskontakte mit Terroristen sollen ja immerhin aufgrund EU-Verordnungen unterbunden werden. Diese Bestimmungen sehen die Führung von Terrorlisten und den Abgleich damit vor (siehe unser Ratgeber zum datenschutzkonformen Terrorlistenscreening).

Verdrängt § 26 BDSG als Spezialvorschrift die allgemeine Rechtsnorm?

Probleme bereitet im Moment jedoch die Anwendbarkeit des Art. 6 DSGVO neben § 26 BDSG. Hintergrund ist, dass normalerweise Spezialvorschriften die allgemeinen Rechtsnormen verdrängen.

Es gilt jedoch zu bedenken, dass sich § 26 BDSG auf die Regelung von Beschäftigungsverhältnissen beschränkt. Er regelt aber gerade nicht andere Situationen – wie hier die Beantragung eines AEO-Zertifikats. Es gibt daher durchaus Argumente, die für die Anwendbarkeit des Art. 6 Abs. 1 c) bzw. f) DSGVO sprechen.

Mögliche Zusatzlösungen: Betriebsverein­barung oder Einwilligung

Wem als Unternehmer die derzeitige Situation rechtlich zu unsicher ist, hat noch die Möglichkeit, für die AEO-Screenings eine Betriebsvereinbarung abzuschließen oder die Einwilligungen der betroffenen Mitarbeiter einzuholen. Bedenken Sie aber, dass auch diese Schritte aus rechtlicher Sicht problematisch sein können.

Auch die Bundesregierung ist der Auffassung, dass die Terrorismusverordnungen keinen systematischen, anlassunabhängigen Abgleich von Mitarbeiterdateien mit den Sanktionslisten verlangen. Allenfalls nach Maßgabe von Sorgfaltspflichten und differenzierend nach verschiedenen Verkehrskreisen und Risikolagen seien solche Abgleiche zulässig. Es bleibe den Unternehmen überlassen, wie sie die Einhaltung der Terrorismusverordnungen sicherstellen (Bundestags-Drucksache 17/4136 vom 03. Dezember 2010).

Vor diesem Hintergrund empfiehlt und fordert der Düsseldorfer Kreis:

  • Unternehmen sollten Datenscreenings nicht pauschal und anlasslos durchführen. Da die Lohnzahlung nur unbar erfolgt, die Kreditinstitute nach § 25c Kreditwesengesetz (KWG) ohnehin Abgleiche mit den Terrorlisten vornehmen, ist ein Datenabgleichverfahren innerhalb des Unternehmens mit Mitarbeiterdaten nicht geboten.
  • Die Zollbehörden werden aufgefordert, die rechtsstaatlichen Vorgaben im Rahmen der AEO-Zertifizierung zu beachten. Eine einheitliche Praxis nach diesen Vorgaben gibt den Unternehmen Rechtssicherheit.
  • Die Bundesregierung wird gebeten, die derzeitige AEO-Zertifizierungspraxis einer baldigen und umfassenden Evaluation zu unterziehen.

Dieser aktualisierte Artikel wurde zuerst am 22. Februar 2012 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Blacklist der DSK für Datenschutz-Folgenabschätzungen

Mit der Datenschutz-Folgenabschätzung (DSFA) prüfen Unternehmen mögliche Risiken bei der Verarbeitung personenbezogener Daten. Zur Unterstützung veröffentlichen die Datenschutzaufsichtsbehörden Positiv- bzw. Negativlisten für die Fälle, in denen die DSFA zwingend bzw. entbehrlich ist. Die von der Datenschutzkonferenz (DSK) veröffentlichte gemeinsame Version der deutschen Aufsichtsbehörden liegt mittlerweile in der Version 1.1 vor.

Verarbeitungen, für die eine DSFA erfolgen muss

Die „DSFA Liste Deutschland“ der DSK (PDF, Version 1.1 vom 17. Oktober 2018) wurde im Vergleich zur ersten Version vom Juli 2018 teilweise erweitert (Punkte 1 und 2) und ansonsten präzisiert bzw. eingeschränkt. So kam bei einigen Punkten der Liste hinzu, dass die Verarbeitung geeignet sein muss, Betroffene rechtlich oder sonst erheblich zu betreffen. Achtung: Diese Formulierung legt nahe, dass es auf die tatsächliche Absicht des Verarbeitenden nicht ankommen soll. Die abstrakte Eignung an sich reicht aus. Im Ergebnis wurde der Anwendungsbereich der Liste eingeschränkt.

Folgende Verarbeitungstätigkeiten unterliegen der Pflicht einer vorherigen Datenschutz-Folgenabschätzung:

  1. Verarbeitung von biometrischen Daten zur eindeutigen Identifizierung von Personen, soweit diese Verarbeitung (die Erfüllung eines der folgenden Merkmale genügt):
    • besonders schutzwürdige Personen betrifft
    • der systematischen Überwachung dient
    • unter innovativer Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen erfolgt
    • der Bewertung oder Einstufung (Scoring) dient
    • bei gleichzeitiger Abgleichung oder Zusammenführung von Datensätzen erfolgt
    • im Rahmen einer automatisierten Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung erfolgt
    • Betroffene an der Ausübung ihrer Rechte, der Nutzung einer Dienstleistung oder der Durchführung eines Vertrags hindert
  2. Verarbeitung von genetischen Daten, soweit diese Verarbeitung (die Erfüllung eines der folgenden Merkmale genügt):
    • besonders schutzwürdige Personen betrifft
    • der systematischen Überwachung dient
    • unter innovativer Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen erfolgt
    • der Bewertung oder Einstufung (Scoring) dient
    • bei gleichzeitiger Abgleichung oder Zusammenführung von Datensätzen erfolgt
    • im Rahmen einer automatisierten Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung erfolgt
    • Betroffene an der Ausübung ihrer Rechte, der Nutzung einer Dienstleistung oder der Durchführung eines Vertrags hindert
  3. Umfangreiche Verarbeitung von Daten, die einem Sozial-, Berufs- oder Amtsgeheimnis unterliegen
  4. Umfangreiche Verarbeitung von personenbezogenen Daten über den Aufenthalt von Menschen
  5. Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und Weiterverarbeitung der Daten, soweit dies entweder in großem Umfang vorgenommen wird oder für Zwecke erfolgt, für die auch nicht direkt bei der betroffenen Person erhobene Daten verarbeitet werden, oder unter Anwendung von Algorithmen erfolgt, welche für die betroffenen Personen nicht nachvollziehbar sind, und die Zusammenführung eine Grundlage dafür bieten kann, Entscheidungen zu treffen, die Rechtswirkung gegenüber den betroffenen Personen haben oder diese Personen ähnlich erheblich beeinträchtigen können
  6. Optisch-elektronische Erfassung personenbezogener Daten in öffentlichen Bereichen, die in großem Umfang zentral zusammengeführt werden
  7. Umfangreiche Erhebung, Veröffentlichung oder Übermittlung von personenbezogenen Daten zur Bewertung von Verhalten oder anderer persönlicher Aspekte von Menschen, soweit diese von Dritten dazu genutzt werden können, Rechtswirkung gegenüber der bewerteten Person zu entfalten oder diese in ähnlich erheblicher Weise zu beeinträchtigen
  8. Verarbeitung von personenbezogenen Daten über das Verhalten von Beschäftigten, die zur Bewertung der Arbeitstätigkeit eingesetzt werden können, so dass sich Rechtsfolgen für den Betroffenen ergeben oder ihn in anderer erheblicher Weise beeinträchtigen
  9. Erstellung umfassender Profile über Interessen, das Netz ihrer persönlichen Beziehungen sowie die Persönlichkeit von Menschen
  10. Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und Weiterverarbeitung dieser Daten, sofern dies in großem Umfang erfolgt oder für Zwecke, für die nicht alle Daten bei der betroffenen Person direkt erhoben wurden, oder  wenn dies unter Einsatz von Algorithmen geschieht, die für die betroffenen Personen nicht nachvollziehbar sind, oder die Verarbeitung erfolgt um bislang unbekannte Zusammenhänge zwischen den Daten zu bislang nicht festgelegten Zwecken zu entdecken (Datamining)
  11. Verarbeitung unter Einsatz von künstlicher Intelligenz zur Steuerung einer Interaktion mit dem Betroffenen oder zur Bewertung persönlicher Aspekte
  12. Nicht bestimmungsgemäße Nutzung von Sensoren eines Mobilfunkgeräts oder von Funksignalen, die von solchen Geräten versendet werden, zur Ermittlung von Aufenthaltsorten oder Bewegungen von Personen über einen substanziellen Zeitraum
  13. Automatisierte Auswertung von Video- oder Audioaufnahmen zur Bewertung von Persönlichkeiten
  14. Erstellung umfassender Profile über Bewegung und Kaufverhalten von Personen
  15. Anonymisierung besonderer personenbezogener Daten zum Zwecke der Übermittlung an Dritte, soweit dies in Bezug auf die Zahl der betroffenen Personen als auch den Angaben je Person nicht nur in Einzelfällen erfolgt
  16. Die auch nicht umfangreiche Verarbeitung von besonderen personenbezogenen Daten sowie von Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten unter Verwendung neuer Technologien zur Bestimmung der Leistungsfähigkeit von Personen

Wie sollte mit der DSFA-Liste umgegangen werden?

In der DSFA-Negativliste der DSK sind einzelne Beispiele mit Erläuterungen enthalten. Sie ist nicht abschließend!

Völlige Klarheit bringt diese Blacklist leider nicht, da ein gewisser Interpretationsspielraum besteht. Insbesondere der in der Liste häufig gebrauchte Begriff der „umfangreichen Verarbeitung“ ist in der Datenschutzpraxis bislang nicht wirklich greifbar. Hier wird man abwarten müssen, ob sich in der Anwendung verlässliche Grenzwerte herausbilden.

Auch andere Begriffe müssen ausgelegt werden und haben keine eindeutige Bedeutung. Im Ergebnis besitzt diese DSFA-Liste aber eine sehr starke Indizwirkung. Mit anderen Worten: Bei Verarbeitungen, die grundsätzlich in die beschriebenen Kategorien passen, auf eine DSFA zu verzichten, muss sehr gut begründet werden. Im Zweifel sollte die Datenschutz-Folgenabschätzung erfolgen.

Ergänzend anzumerken bleibt, dass man sich bei etlichen der genannten Verarbeitungszwecke grundsätzlich fragt, welche Rechtsgrundlage für diese zugrunde gelegt werden kann. Zur Erinnerung: Lässt sich die Verarbeitung nicht auf eine Rechtsgrundlage stützen, erübrigt sich die Frage nach der Datenschutz-Folgenabschätzung. Denn dann ist die Verarbeitung schlicht und einfach verboten und muss unterbleiben. Es darf also keinesfalls der Fehler gemacht werden, Verarbeitungen allein deshalb für grundsätzlich zulässig zu halten, weil sie in dieser Liste enthalten sind!

Dieser aktualisierte Artikel wurde zuerst am 30. Juli 2018 veröffentlicht.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Zunehmende Sanktionen und steigende DSGVO-Bußgelder in Deutschland

Die gewährte Schonzeit nach (!) Anwendbarkeit der Datenschutz-Grundverordnung (DSGVO) scheint vorbei zu sein. Die deutschen Aufsichtsbehörden sanktionieren Datenschutzverstöße immer häufiger und verhängen höhere Bußgelder nach DSGVO.

Aktuelle Bußgeldverfahren

Ende 2018 berichteten wir über das erste in Deutschland verhängte Bußgeld nach DSGVO. Während diese Sanktion noch eine größere Pressemitteilung durch die Aufsichtsbehörde wert war, scheint nun der Alltag eingetreten zu sein. Ohne großen Rummel sind mittlerweile deutschlandweit zahlreiche Bußgelder für Verstöße gegen die DSGVO und/oder das Bundesdatenschutzgesetz (BDSG) verhängt worden. Viele entsprechende Verfahren laufen noch. Wie einem Bericht des Handelsblatts zu entnehmen ist, sind Kontrollen und Sanktionen durch Datenschutz-Aufsichtsbehörden nun (wieder) gängig. Die Zeit der ersten Zurückhaltung ist damit offenbar vorbei. Allein in Bayern laufen aktuell deutlich über 80 Bußgeldverfahren. Der Großteil wird durch Beschwerden Betroffener ausgelöst, so gingen z. B. in Thüringen offenbar bereits 22.000 Eingaben ein.

Auch die Bußgeldhöhe steigt. Nachdem das erste Bußgeld mit 20.000 Euro überraschend mild ausfiel, werden nun auch Größenordnungen von 80.000 Euro erreicht. Die bekannten Zahlen deuten aber immer noch auf eine gewisse Zurückhaltung der Aufsichtsbehörden hin, den möglichen Rahmen an Bußgeldern wirklich auszureizen.

Was Unternehmen tun sollten

Das Risiko infolge rechtswidriger Datenverarbeitung oder mangelhafter Datensicherheit empfindlich herangezogen zu werden, ist damit wie erwartet deutlich gestiegen. Unternehmen sind gut beraten, sich durch professionellen Rat im rechtlichen und technischen Bereich abzusichern und die entsprechende Mehrfachkompetenz des gewählten Beraters ggf. zu hinterfragen. Die zu stellenden Anforderungen an die juristischen und technisch-praktischen Kenntnisse sind hoch.

Dabei gilt es immer zu bedenken: Die Verantwortung für die korrekte Umsetzung des Datenschutzes liegt ausschließlich beim Unternehmen. Es muss im Zweifel bewiesen werden, dass der Datenschutz korrekt beachtet wurde. Mangelhafte Beratung ist kein Entschuldigungsgrund!

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Erstes DSGVO-Bußgeld in Deutschland verhängt

Wie der Landesbeauftragte für Datenschutz und Informationssicherheit Baden-Württemberg mitteilte, wurde am 21. November 2018 das erste Mal in Deutschland ein Bußgeld nach den Regelungen der Datenschutz-Grundverordnung (DSGVO) verhängt. Der Fall ist gleich in mehrfacher Hinsicht interessant.

Der DSGVO-Verstoß und das Bußgeld

Auslöser für das Bußgeld war offenbar, dass das betroffene Unternehmen seiner Pflicht nachkam, eine Datenschutzpanne an die Aufsichtsbehörde zu melden. Das Unternehmen teilte Anfang September der baden-württembergischen Aufsichtsbehörde mit, dass es einen erfolgreichen Hackerangriff gegeben hatte und Nutzerdaten abgezogen wurden, unter denen sich auch die Passwörter der Nutzer im Klartext befanden.

Der Fall verdeutlicht, dass es sich bei der Meldepflicht nach Art. 33 DSGVO nicht nur um eine lästige Formalität handelt sondern um einen Vorgang, der durchaus wirtschaftlich relevante Konsequenzen haben kann.

Allerdings fiel das Bußgeld überraschend günstig aus. Im Vergleich zu den in diesem Fall möglichen Beträgen (der Bußgeldrahmen bis zu 20 Millionen Euro wäre eröffnet gewesen), wirken die verhängten 20.000 Euro doch etwas seltsam. Dementsprechend ausführlich fällt auch die Begründung durch den Landesbeauftragten aus. Entscheidend für die bemerkenswerte Milde waren folgende Punkte:

  1. Das Unternehmen hat sich in jeder Hinsicht bestmöglich und nach Kräften um transparente Aufklärung und Kooperation mit der Behörde bemüht.
  2. Es wurden nach dem Zwischenfall große Anstrengungen zur Verbesserung der IT-Sicherheit unternommen, die das Niveau auch deutlich erhöhten.
  3. Diese Anstrengungen haben für das Unternehmen zusätzlich Kosten in beträchtlicher Höhe verursacht und die Strafe damit „indirekt“ erhöht.

Konsequenzen aus dem Bußgeldverfahren

Die transparente Bußgeldbegründung der Datenschutzaufsichtsbehörde ermöglicht es anderen Unternehmen, viel über die zukünftige Ahndung von Verstößen gegen die DSGVO in Deutschland zu lernen:

  • Die Speicherung von Passwörtern im Klartext ist ein klarer Datenschutzverstoß. Das ist aber nicht wirklich neu.
  • Die Aufsichtsbehörden reagieren auf Datenschutzverstöße und verhängen wie vorgesehen Bußgelder (siehe unser Grundlagenartikel zu Bußgeldern unter der DSGVO).
  • Zumindest in diesem Fall war die Behörde bereit, die Bemühungen des Unternehmens sehr deutlich zu berücksichtigen.

Kann man sich nun darauf verlassen, dass Bußgelder gering ausfallen, wenn man nur artig meldet und dann mitwirkt? Wohl kaum.

  • Bußgelder sollen laut Art. 83 DSGVO abschreckend und verhältnismäßig sein. Über die Verhältnismäßigkeit mag man hier diskutieren können. Von einer Abschreckung kann aber bei dieser niedrigen Bußgeldhöhe kaum gesprochen werden.
  • Außerdem sollen eigentlich die wirtschaftlichen Vorteile, die ein Unternehmen aus dem Datenschutzverstoß zog, durch das Bußgeld mindestens abgezogen werden. Hier wurde dem Unternehmen nun „strafmildernd“ angerechnet, die – zweifellos – hohen Investitionen jetzt nachgeholt zu haben, die ohnehin nötig gewesen wären. Für das betroffene Unternehmen ist das ein sehr angenehmes Ergebnis: Die eigentlich von vornherein geforderte Investition wurde mit behördlichem Segen gestundet, bis sie nicht mehr zu vermeiden war und ihre Höhe verringerte dann auch noch das Bußgeld. Aus Unternehmenssicht könnte sich dieses Vorgehen damit sogar gelohnt haben. Das unterstützt die Zielrichtung der mit der DSGVO beabsichtigten Rechtsänderung sicher nicht und es dürfte zweifelhaft sein, ob andere Fälle ähnlich glimpflich ausgehen.
  • Auch dem allgemeinen Gebot, das EU-Recht im nationalen Bereich durch taugliche Maßnahmen angemessen durchzusetzen, dürfte nicht zweifelsfrei nachgekommen sein. Die klar gewünschte Erhöhung der Bußgelder erfolgt soweit nicht, sondern bewegt sich vielmehr in dem bisher üblichen Bereich. Ob ein solches Vorgehen von der EU langfristig toleriert werden wird, ist sehr fraglich.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Datenschutz im Hotel

Jedes Unternehmen ist dazu verpflichtet, verantwortungsbewusst mit den Daten von Kunden, Mitarbeitern und Geschäftspartnern umzugehen. An den Datenschutz im Hotel stellt der Gesetzgeber jedoch noch höhere Anforderungen, weil hier mit sensiblen Daten der Gäste umgegangen wird, die als besonders schützenswert gelten.

Sensible Daten im Hotelbetrieb

Erfolgreiche Hoteliers sind sich bewusst darüber, dass Diskretion eine unabdingbare Voraussetzung für Ihr Geschäft ist. Ein Gast gibt bei einem Hotelbesuch viel über sich preis. Entsprechend empfindlich fällt verständlicherweise die Reaktion aus, wenn mit diesen persönlichen Informationen nachlässig umgegangen wird. Für ein Hotel kann der unzureichende Schutz von personenbezogenen Daten eine existenzgefährdende Rufschädigung zur Folge haben.

Auch der Gesetzgeber betrachtet bestimmte Kategorien von personenbezogenen Daten als besonders schützenswert und stellt entsprechend höhere Anforderungen an deren Schutz. Bei einem Hotelaufenthalt gewinnt der Betreiber Einblick in viele und teils intime Lebensbereiche der Gäste. Informationen über die Gesundheit, das Sexualleben, die ethnische Zugehörigkeit oder auch politische, religiöse oder philosophische Überzeugungen zählt die Datenschutz-Grundverordnung (DSGVO) zu den besonderen personenbezogenen, sensiblen Daten.

Allgemeine Datenschutzpflichten des Hotelbetreibers

Für die Verarbeitung von personenbezogenen Daten gilt ein „Verbot mit Erlaubnisvorbehalt“. Das bedeutet, dass Informationen, die bestimmten Personen zuordenbar sind, grundsätzlich nicht erhoben, verarbeitet oder gespeichert werden dürfen, wenn nicht eine der im Gesetz vorgesehenen Ausnahmen vorliegt, die das erlaubt. Solche Ausnahmen sind teilweise im Gesetz selbst enthalten oder bestehen, wenn die betroffene Person ihre Einwilligung erteilt. Dabei ist zu beachten, dass gespeicherte Daten für keinen anderen Zweck verwendet werden dürfen, als den, der ihre Erhebung ursprünglich rechtfertigte.

Eine Einwilligung in die Nutzung von personenbezogenen Daten ist nur dann gültig, wenn die betroffene Person vollständig darüber aufgeklärt wurde, was mit ihren Daten geschehen soll, und die Einwilligung freiwillig erfolgte. Durch die DSGVO sind neben die Informationen, die zur Grundlage der Einwilligung gemacht werden, weitere Hinweispflichten getreten, die beachtet werden müssen.

Besondere Datenschutzanforderungen im Hotel

Meldedaten von Hotelgästen

Das Melderecht sieht vor, dass ein Hotelbetreiber die Meldedaten von Gästen bei deren Ankunft abfragt. Dabei sollen mithilfe eines Meldescheins Informationen über den Tag der Anreise sowie der voraussichtlichen Abreise, Vor- und Nachname, Geburtsdatum, Anschrift und Staatsangehörigkeit erhoben werden. Mitreisende Lebenspartner müssen keinen eigenen Meldeschein ausfüllen, sondern können im ersten Dokument mit vermerkt werden. Bei mitreisenden minderjährigen Kindern ist lediglich ihre Anzahl zu notieren. Gäste aus dem Ausland müssen sich mit einem Identitätsdokument ausweisen.

Die Meldescheine sind ein Jahr lang aufzubewahren. In dieser Zeit müssen sie vor einer Einsicht durch Unbefugte geschützt und nach dem Ablauf eines Jahres binnen drei Monaten vernichtet werden.

Der Hotelbetreiber ist verpflichtet, die genannten Informationen zu erheben – das Meldegesetz rechtfertigt aber nicht, dass mehr als die erforderlichen Daten abgefragt werden. Der Hotelier muss die Datenschutzrechte des Gastes beachten. Konkret bedeutet dies:

  • Das Grundprinzip der Datensparsamkeit ist einzuhalten.
  • Der Hotelbetreiber muss den Gast auf den Zweck und die Rechtsgrundlage der Datenerhebung hinweisen.
  • Eine Prüfpflicht besteht nur für die Daten von ausländischen Gästen. Wenn der Gast angibt, deutscher Staatsbürger zu sein, darf die Vorlage eines Ausweises nicht verlangt werden.
  • Das Kopieren von deutschen Personalausweisen ist nur in sehr engen Ausnahmen (§ 20 PAuswG)gestattet und kann schnell eine Ordnungswidrigkeit darstellen.

Datenerhebung für Werbezwecke

Will der Hotelbetreiber über die Meldeangaben hinaus weitere Daten – beispielsweise für Zwecke der Werbung und Kundenbindung – erheben, muss er dies deutlich kenntlich machen. Neben den gesetzlich erforderlichen Daten fragen Hotels gerne Informationen wie E-Mail-Adresse, Telefonnummer, Firmenzugehörigkeit, Ausweisnummer, Hobbies und weitere Reisepläne ab.

Dazu ist aber die ausdrückliche Einwilligung des Gastes erforderlich. Aus der Gestaltung der Einwilligung muss ersichtlich sein, dass dem Gast unmissverständlich bewusst ist, dass die Angabe dieser Informationen freiwillig erfolgt. Der Hotelbetreiber ist verpflichtet, dies deutlich zu kennzeichnen. Außerdem muss der Gast über die beabsichtigte Verarbeitung der Daten vollständig auch im Hinblick auf Art. 13 DSGVO informiert werden.

Werden die Meldeinformationen und die freiwilligen Zusatzangaben auf einem gemeinsamen Formular abgefragt, müssen die Bereiche drucktechnisch deutlich getrennt und voneinander unterscheidbar sein. Außerdem muss es möglich sein, der Meldebehörde bei Bedarf Einblick in die Meldedaten zu gewähren und gleichzeitig eine Einsicht in die freiwilligen Zusatzangaben zu verhindern. Dies kann beispielsweise durch die Einfügung einer Perforation erreicht werden.

Die nach dem Melderecht zu leistende Unterschrift des Gastes und die Unterschrift zur Einwilligung in die Nutzung der zusätzlichen Daten müssen in separaten Feldern erfolgen. Sonst ist nicht von einer freiwilligen Einwilligung auszugehen und die Erklärung ist somit ungültig.

Erhebung von Kreditkartendaten

In der Praxis werden die Kreditkartendaten von Hotelgästen häufig bereits bei der Ankunft erfasst. Dies kann dem Hotelbetreiber als Kaution dienen, sollten nach der Abreise des Gastes offene Forderungen bestehen. Teilweise wird die Kreditkarte auch für eine Bonitätsprüfung verwendet, um durch die Abbuchung eines symbolischen Betrags zu kontrollieren, ob der Gast Kredit genießt. Ein solches Vorgehen ist rechtmäßig, sofern die folgenden Bedingungen beachtet werden:

  • Der Hotelgast ist unbedingt darüber aufzuklären, zu welchem Zweck seine Kreditkartendaten erfasst werden. Dabei genügt es nicht, pauschale oder abstrakte Angaben zu machen. Nur wenn dem Hotelgast unmissverständlich klar ist, was mit seinen Daten geschieht, ist die Erfassung rechtmäßig. Die zu einem bestimmten Zweck erhoben Daten dürfen auch nicht für andere als die angegebenen Gründe verwendet werden.
  • Der Gast ist darüber zu informieren, dass die Erfassung seiner Kreditkartendaten freiwillig erfolgt.
  • Außerdem muss der Hotelbetreiber den Gast darüber aufklären, welches die Folgen einer Verweigerung der Datenerfassung sind, wie etwa die Erforderlichkeit einer Barkaution oder Vorauskasse.

Dieser aktualisierte Artikel wurde zuerst am 25. August 2014 veröffentlicht.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Datenschutz in der Apotheke

Völlig selbstverständlich werden beim Betrieb einer Apotheke personenbezogene Daten verarbeitet. Diesem Begriff unterfallen sämtliche Informationen, die im Zusammenhang mit einer konkreten Person stehen, wie beispielsweise Name, Telefonnummer oder auch ein Foto. Das Persönlichkeitsrecht beinhaltet, dass es jedem Menschen im Grunde zusteht, selbst zu bestimmen, ob und wie seine Daten durch Dritte verwendet werden. Dies will der Gesetzgeber durch die Regelungen zum Datenschutz sicherstellen. Dabei ist es unerheblich, in welchem Verhältnis man zur betroffenen Person steht: Grundsätzlich sind etwa die Daten von Mitarbeitern ebenso zu schützen, wie die von Kunden.

Gesetzliche Vorschriften zum Datenschutz in Apotheken

Die meisten Regelungen zum Datenschutz finden sich in der EU-Datenschutz-Grundverordnung (DSGVO) und ergänzend im Bundesdatenschutzgesetz (BDSG). Aber auch andere Vorschriften sind im Zusammenhang mit der Nutzung von personenbezogenen Daten relevant. Dazu zählen beispielsweise das Sozialgesetzbuch (SGB), das Telemediengesetz (TMG) oder das Strafgesetzbuch (StGB). Apotheken sind darüber hinaus an die Vorschriften der Apothekenbetriebsordnung (ApBetrO) gebunden.

Datenschutzrechtliche Aspekte für Apotheker sind z. B.:

„Der Apotheker ist zur Verschwiegenheit über alle Vorkommnisse verpflichtet, die ihm in Ausübung seines Berufes bekannt werden. Der Apotheker hat […] sicherzustellen, dass alle unter seiner Leitung tätigen Personen […] über die gesetzliche Pflicht zur Verschwiegenheit belehrt werden […]“

(§ 14 Berufsordnung für Apothekerinnen und Apotheker, abgeleitet aus Heilberufe-Kammergesetz)

„Wer unbefugt ein fremdes Geheimnis […] offenbart, das ihm als […] Apotheker […] anvertraut worden oder sonst bekanntgeworden ist, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft“.

(§ 203 Abs. 1 StGB)

Auch die Art der personenbezogenen Daten, die eine Apotheke verarbeitet, ist relevant für die Einschätzung bezüglich des Datenschutzes. Einige Datenkategorien sind dem Datenschutzrecht zufolge besonders schützenswert: So gelten etwa Informationen zur Gesundheit oder zum Sexualleben als besonders sensibel. Im Umgang mit solchen Daten gelten daher strengere Vorschriften als sonst.

Rechtsgrundlagen für die Nutzung personenbezogener Daten in Apotheken

Das Gesetz verbietet es grundsätzlich, personenbezogene Daten überhaupt zu verarbeiten und nennt gleichzeitig Bedingungen, unter denen die Nutzung solcher Daten dennoch rechtmäßig ist. Art. 6 und 9 der DSGVO enthalten etwa solche Ausnahmen vom grundsätzlichen Verbot. Lässt sich keine gesetzliche Erlaubnis finden, dürfen Daten einer Person nur dann verarbeitet werden, wenn diese Person ausdrücklich dazu eingewilligt hat.

Mögliche Rechtsgrundlagen für die Verarbeitung personenbezogener Daten in Apotheken sind:

  • Erforderlichkeit für die Durchführung eines Vertrages, Art. 6 Abs. 1 b) DSGVO bzw. Art. 9 Abs. 2 h) DSGVO
  • Übermittlung von Abrechnungsdaten an Krankenkassen, § 300 I Nr.2 SGB V,
  • Einwilligung des Kunden

Eine solche Einverständniserklärung muss freiwillig erfolgen und konkret formuliert sein. Es muss also ersichtlich sein, dass dem Betroffenen bewusst ist, welche konkreten Daten von welcher verantwortlichen Stelle zu welchem Zweck verwendet werden. Außerdem muss die Einwilligung auf eine Art und Weise erfolgen, dass man davon ausgehen kann, dass dem Betroffenen tatsächlich bewusst gewesen sein muss, wozu er sein Einverständnis erteilt (siehe unser Ratgeber zur rechtskonformen Einwilligung).

Soll sich die Erklärung auf besondere personenbezogene Daten erstrecken (wie dies in Apotheken oft der Fall ist), muss die Einwilligung ausdrücklich erfolgen und ist zudem aktiv zu erteilen. Opt-out-Verfahren, bei denen der Betroffene etwas streichen oder in einem Onlineformular ein bereits gesetztes Häkchen deaktivieren müsste, sind unzulässig.

Weitere Vorgaben zum Datenschutz in der Apotheke

Die Verarbeitung von personenbezogenen Daten innerhalb einer Apotheke muss so organisiert sein, dass sie den Anforderungen des Datenschutzrechts entspricht. Seit Wirksamkeit der DSGVO gilt als zusätzliche Anforderung die „Rechenschaftspflicht“. Es genügt seither nicht mehr, den Datenschutz so zu betreiben, dass keine Verstöße erfolgen. Stattdessen muss jetzt nachweisbar sein, dass ein geregelter und erfolgreicher Datenschutzprozess betrieben wird. Im Ergebnis kommen damit Unternehmen, unabhängig ihrer Branche und Größe nicht mehr umhin, ein sogenanntes Datenschutzmanagementsystem aufzubauen und zu betreiben. Dies gilt ungeachtet etwaigen Standesrechts und damit auch für Apotheker.

Zur Umsetzung der Anforderungen müssen sowohl organisatorische als auch technische Maßnahmen ergriffen werden.

Zu den technischen Maßnahmen gehören beispielsweise Vorkehrungen, die verhindern, dass Unbefugte Einsicht in die Daten erlangen. Dies beinhaltet unter anderem, dass die Räume, in denen die Daten verarbeitet werden, abgesichert sind und dass die Nutzer der Datenverarbeitungssysteme ausschließlich auf die Daten zugreifen können, für die sie berechtigt sind. Die Daten müssen auch gegen Manipulation und Verlust geschützt werden.

Organisatorische Maßnahmen beziehen sich auf Regelungen innerhalb der Apotheke, die auf den Schutz der verarbeiteten Daten abzielen. Dazu zählen beispielsweise Verfahrensanweisungen zur Datenlöschung, festgelegte Intervalle für Datenschutzschulungen oder Regelungen für die Rechtevergabe.

Jede Apotheke, die personenbezogene Daten verarbeitet, muss in einem sogenannten Verzeichnis der Verarbeitungstätigkeiten, dokumentieren, wie sie mit diesen Daten umgeht. Selbständig daneben bestehen umfangreiche Informationspflichten, die Betroffenen gegenüber unaufgefordert zu erfüllen sind.

Muss eine Apotheke einen Datenschutzbeauftragten bestellen?

Sind in einer Apotheke mehr als neun Personen mit der Verarbeitung von personenbezogenen Daten beschäftigt, muss ein Datenschutzbeauftragter bestellt werden. Für die Funktion des Datenschutzbeauftragten kann entweder ein interner Mitarbeiter ausgewählt oder ein externer Datenschutzbeauftragter bestimmt werden.

Dieser aktualisierte Artikel wurde zuerst am 13. März 2013 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Binding Corporate Rules und die DSGVO

Viele Unternehmensgruppen oder Konzerne verfügen über Standorte auch außerhalb Europas. Oft sehen sich selbige als rechtliche Einheit und vergessen, dass das Datenschutzrecht auch unter der EU-Datenschutz-Grundverordnung (DSGVO) weiterhin kein Konzernprivileg kennt. Der Datentransfer ist auch innerhalb eines Konzerns oder einer Unternehmensgruppe grundsätzlich zu behandeln, wie ein Transfer zwischen völlig fremden Unternehmen. Es muss eine Rechtsgrundlage für die Verarbeitung gegeben sein, ggf. müssen die Voraussetzungen einer Auftragsverarbeitung erfüllt werden und die Empfängerstelle muss ein angemessenes Datenschutzniveau gewährleisten bzw. Datenschutzgarantien bieten. Für letzteres bieten sich sogenannte Binding Corporate Rules (BCR) an.

Was sind Binding Corporate Rules?

Binding Corporate Rules, zu Deutsch „verbindliche Unternehmensrichtlinien“, sind konzernweit gültige, verbindliche Vorgaben zur Regelung von Datenflüssen. Durch sie wird in der gesamten Unternehmensgruppe ein einheitliches Datenschutzsystem errichtet und ein gemeinsamer Datenschutzstandard geschaffen.

Durch aufsichtsbehördliche Genehmigung erlangen diese Regelungen den Status einer Datenschutzgarantie. Unter der DSGVO werden diese Garantien nunmehr EU-weit anerkannt.

Für wen sind Binding Corporate Rules sinnvoll?

Binding Corporate Rules eignen sich insbesondere dann, wenn die konzernweiten Datenströme nicht lediglich auf eine Muttergesellschaft kanalisiert sind, sondern wenn alle konzernangehörigen Unternehmen untereinander Daten in jede Richtung austauschen. In diesem Fall wäre der Abschluss von EU-Standardvertragsklauseln zu umständlich und würde zu einer unüberschaubaren Vielzahl von Verträgen führen.

Aber auch für Konzerne, die auf einen auditierbaren konzernweiten Standard Wert legen, wie es beispielsweise in der Versicherungsbranche häufig vorkommt, sind Binding Corporate Rules ein sehr interessantes Mittel. Denn nur diese können eine prüfbare und einheitliche Datenschutz-Compliance gewährleisten.

Daneben sind wohl auch der konzernweite Einsatz einer gemeinsamen IT-Lösung oder eine konzernweite Bearbeitung von Aufträgen am besten durch den Abschluss verbindlicher Unternehmensrichtlinien zu untermauern.

Anwendungsbereich von BCR

BCR dienen als taugliche „Datenschutzgarantie“ im Rahmen von Datentransfers innerhalb einer Unternehmensgruppe auch außerhalb von EU bzw. EWR. Wie unter alter Rechtslage auch, ersetzen sie weiterhin weder eine Rechtsgrundlage, noch machen sie einen Vertrag zur Auftragsverarbeitung überflüssig. Ebenso wenig sind sie anwendbar, wenn die Unternehmensgruppe verlassen wird; etwa durch den Einsatz von (Sub-)Dienstleistern.

Was beinhalten Binding Corporate Rules?

Verbindliche Unternehmensrichtlinien sind meist sehr umfangreiche Schriftwerke, da sie durch ihre Regelungsinhalte im Wesentlichen das Schutzniveau des europäischen Datenschutzrechts wiedergeben müssen. Schwerpunktmäßig beinhalten derartige Richtlinien Regelungen über Anwendungsbereich, Haftung, Sicherstellung der Verbindlichkeit, Auditierungen, die Zulässigkeit des Umgangs mit personenbezogenen Daten sowie Maßnahmen zum Schutz der Daten.

Die DSGVO enthält in Art. 47 einen umfangreichen Anforderungskatalog für BCR.

Festsetzung der konzernweiten Verbindlichkeit von BCR

Binding Corporate Rules müssen konzernweit gültige Festlegungen enthalten. Sie müssen intern für alle zugehörigen Unternehmen und Mitarbeiter verbindlich sein. Zugleich muss die Durchsetzbarkeit drittbegünstigender Regelungen durch Außenstehende, beispielsweise die Betroffenen, gewährleistet sein.

Da sich die rechtlichen Rahmenbedingungen in Staaten außerhalb des Geltungsbereichs der DSGVO teilweise immer noch unterscheiden, ist es nicht einfach, hier eine passende Lösung zu finden. Einseitige Erklärungen sind beispielsweise nicht in allen Staaten rechtlich bindend und von außen durchsetzbar. Reguläre Verträge gelten wiederum im Regelfall nur „inter partes“, also ausschließlich zwischen den Vertragsparteien, so dass sich Dritte nicht auf mögliche Vertragsverstöße berufen können. Daher gilt es, ein rechtliches Konstrukt zu schaffen, welches allen Anforderungen genügt. Im Regelfall werden vertragliche Vereinbarungen zwischen den teilnehmen Unternehmen geschlossen, in denen notwendige Drittbegünstigungen enthaltenen sind.

Haftungsregelungen im Rahmen von BCR

Ein weiterer wichtiger Teil sind die Regelungen der Haftung und der Verantwortlichkeiten beim Verstoß gegen drittbegünstigende Klauseln der Richtlinien. Der Haftungsumfang muss dabei stets dem Mindeststandard entsprechen, der auch im europäischen Raum vorherrscht. Zudem muss gewährleistet sein, dass dem Betroffenen der Rechtsweg vor ein europäisches Gericht offensteht.

Auditierung der BCR-Umsetzung

Binding Corporate Rules müssen auch Regelungen zur regelmäßigen internen Überprüfung und Hinwirkung auf die Einhaltung der Richtlinien enthalten. Verlangt sind regelmäßige Audits durch neutrale Personen, mit grundlegender Prüfung und Bewertung der Umsetzung der Richtlinien.

Wer ist zuständig für die Genehmigung von Binding Corporate Rules?

Die Genehmigung von BCR erfolgt durch die „federführende“ Aufsichtsbehörde nach Art. 56 DSGVO. Dies wird regelmäßig die Aufsichtsbehörde sein, in deren Zuständigkeitsbereich die Hauptniederlassung des beantragenden Konzerns liegt. Die Behörde muss hierbei das Kohärenzverfahren nach Art. 63 DSGVO anwenden. Eine Abstimmung mit anderen Aufsichtsbehörden ist (wie auch bisher) regelmäßig notwendig und eine Stellungnahme des europäischen Datenschutzausschusses ist vor Genehmigung einzuholen

Was passiert mit bereits vorhandenen BCR?

Art. 46 Abs. 5 DSGVO sieht vor, dass bereits vor Anwendbarkeit der DSGVO erteilte Genehmigungen für BCR gültig bleiben, solange sie die zuständige Aufsichtsbehörde nicht ändert, ersetzt oder aufhebt.

Dieser aktualisierte Artikel erschien zuerst am 27. April 2015.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Schutz von Kundendaten beim Verkauf von Unternehmen

Wird ein Unternehmen oder Teile davon verkauft, gelangen meist auch Kundendaten in die Hände des neuen Eigentümers. Doch dabei ist Vorsicht geboten, denn gesammelte Kundendaten sind personenbezogene Daten, die meist über reine Listendaten hinausgehen. Solche personenbezogenen Daten können aufgrund des geltenden Datenschutzrechts nur mit Einwilligung der Betroffenen oder auf Basis einer einschlägigen Rechtsgrundlage verarbeitet werden. Die Übermittlung der Daten an einen neuen Eigentümer stellt unter Umständen eine Verarbeitung nach DSGVO (EU-Datenschutz-Grundverordnung) dar. Wie Kundendaten rechtskonform übertragen werden können, erfahren Sie in diesem Artikel.

Datenschutzrechtliche Grundlagen beim Unternehmensverkauf

Dass dem Datenschutz beim Unternehmensverkauf ausreichend Aufmerksamkeit gewidmet werden sollte, zeigt ein Fall aus dem Jahr 2015: Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) verhängte Bußgelder in fünfstelliger Höhe sowohl gegen den Verkäufer als auch gegen den Käufer eines Onlineshops. Die Behörde beanstandete, dass beim Unternehmensverkauf auch die Kundendaten im Rahmen eines Asset Deals vom Verkäufer an den Käufer des Onlineshops übermittelt wurden – und das ohne Rechtsgrundlage.

Das zentrale Problem ist, dass es beim Unternehmensverkauf zu einer Verarbeitung von Daten kommt. Bei der Kundendatenübermittlung ist stets das zugrundeliegende Rechtsgeschäft zu beachten. Aus datenschutzrechtlicher Perspektive beurteilen sich solche Übermittlungen immer nach dem abgeschlossenen Vertrag (Deal): Zu unterscheiden sind die Verschmelzung von Unternehmen nach dem Umwandlungsgesetz sowie Shared Deals und Asset Deals.

Kundendatenübermittlung bei Unternehmens-Verschmelzung

Bei der Verschmelzung mehrerer Unternehmen treten nach herrschender Rechtsmeinung die verschmolzenen Unternehmen eine Gesamtrechtsnachfolge an. Mit anderen Worten: Die verschmelzenden Unternehmen stehen jeweils für die Rechte und Pflichten des anderen ein und agieren zukünftig als ein Unternehmen. In diesem Fall wird eine Übermittlung von Kundendaten verneint, da diese nicht weitergegeben werden, sondern – so wie sie sind – der neuen Unternehmensform erhalten bleiben.

Kundendatenübermittlung beim Shared Deal

Beim Shared Deal werden Anteile des Unternehmens an einen Käufer verkauft und übereignet (meist in Form von Aktien bzw. anderen Wertpapieren). Das Unternehmen an sich ist jedoch davon in der Art der Ausübung seiner Geschäfte nicht betroffen und operiert weiter wie bisher. Daher wird auch hier nicht von einer Übermittlung von Daten an den neuen Anteilseigner des Unternehmens ausgegangen.

Kundendatenübermittlung beim Asset Deal

Anders sieht das beim Asset Deal aus. Hier werden bestimmte Assets – also Vermögenswerte – im Rahmen eines Verkaufs übertragen. Auch ein Kundendatenstamm kann einen solchen Vermögenswert darstellen. Dabei ändert sich die Eigentumslage dieser Vermögenswerte und es wird von einer Kundendatenübermittlung, also einer Verarbeitung im Sinne der DSGVO ausgegangen, für die eine Einwilligung der betroffenen Kunden oder aber eine andere Rechtsgrundlage vorliegen muss.

Wie können Kundendaten beim Asset Deal rechtskonform übertragen werden?

Sollen im Rahmen eines Asset Deals Kundendaten verkauft werden, dürfen Unternehmen nicht automatisch von einer Einwilligung der Betroffenen ausgehen. Zugleich erscheint es wenig erfolgversprechend, eine Einwilligung von jedem einzelnen Betroffenen einzuholen.

Die Suche nach einer gesetzlichen Grundlage beschränkt sich auf Art. 6 DSGVO und hier Buchstabe f). Der Ausgang der notwendigen Interessenabwägung ist grundsätzlich offen und muss anhand des konkret in Frage stehenden Datenbestands geklärt werden. Dies kann, insbesondere bei großen Datenbeständen, eine Herausforderung darstellen.

Aber auch bei einem Asset Deal über Kundendaten kann ein Bußgeld vermieden werden. So sind etwa aus Sicht des BayLDA Unternehmen nicht gezwungen, die Einwilligung der Betroffenen nachträglich einzuholen. Stattdessen akzeptiert die Datenschutzaufsichtsbehörde eine sogenannte Widerspruchslösung. Es wird also als ausreichend angesehen, wenn

  1. Betroffene vor (!) der Übermittlung ihrer Daten an ein anderes bzw. neues Unternehmen auf die bevorstehende Übermittlung hingewiesen werden,
  2. ihnen ein Widerspruchsrecht eingeräumt wird und
  3. die Kunden der Übermittlung der Daten letztendlich nicht widersprechen.

Bei Beachtung dieser Vorgaben, steht auch einer Kundendatenübermittlung im Rahmen eines Asset Deals nichts im Wege.

Vorsicht ist geboten, wenn besondere personenbezogene Daten betroffen sind. Die Voraussetzungen der in Art. 9 DSGVO vorgesehenen gesetzlichen Erlaubnistatbestände sind in Asset-Deal-Fällen nicht erfüllt. Hier bleibt allein die Einwilligung der Betroffenen.

Dieser aktualisierte Artikel wurde zuerst am 30. November 2015 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Kündigungsschutz auch für stellvertretende Datenschutzbeauftragte

Mitarbeiter, die als (interner) betrieblicher Datenschutzbeauftragter bestellt sind, genießen gemeinhin Kündigungsschutz. Ein aktuelles Gerichtsurteil erweitert diesen Schutz nun auch auf Stellvertreter des Datenschutzbeauftragten. Unternehmen, die ein ganzes Team bzw. eine Abteilung mit dem unternehmerischen Datenschutz beauftragen, sollten also sehr genau darauf achten, welche Mitarbeiter sie dort einsetzen. Doch es gibt eine Alternative für alle, die sich durch diesen Kündigungsschutz zu sehr eingeschränkt fühlen.

Der Kündigungsschutz des internen Datenschutzbeauftragten

Unter der europäischen Datenschutz-Grundverordnung (DSGVO) – wie auch schon unter dem alten Bundesdatenschutzgesetz (BDSG) – gilt, dass der interne Datenschutzbeauftragte gegen seinen Willen nicht abberufen werden kann. Während bestehender Bestellung sowie ein Jahr nachwirkend ist eine ordentliche Kündigung ausgeschlossen.

Bereits deshalb waren Unternehmen sehr gut beraten, sich reichlich zu überlegen, welchem Mitarbeiter diese Aufgabe übertragen wird.

Bisher war gängige Ansicht, dass der Kündigungsschutz nur für den ersten bestellten Datenschutzbeauftragten galt. Immerhin ist die Pflicht zur Bestellung mit dieser einen Bestellung erfüllt. Die bestellte Person hat sämtliche Rechte und Pflichten des Datenschutzbeauftragten.

Urteil: Kündigungsschutz gilt auch für Stellvertreter des Datenschutzbeauftragten

Eine neuere Entscheidung des Bundesarbeitsgerichts vom 27. Juli 2017 erweitert den Kündigungsschutz nun auch auf Stellvertreter des Datenschutzbeauftragten (2 AZR 812/16). Das Bundesarbeitsgericht interpretiert die Vorschrift des § 4f Abs. 3 S. 5 BDSG (der alten Fassung!) weiter. Der Kündigungsschutz soll danach gelten, sobald die verantwortliche Stelle allgemein zur Bestellung eines Datenschutzbeauftragten verpflichtet ist; nicht aber nur für den ersten Datenschutzbeauftragten. Nachdem sich diese Regelung lediglich an anderer Stelle, aber exakt so auch im BDSG-neu findet, gilt dies weiterhin.

Nach Auffassung des Bundesarbeitsgerichts ist es unerheblich, ob die Bestellung eines weiteren Datenschutzbeauftragten überhaupt erforderlich war, um die im Betrieb anfallenden Aufgaben zu erledigen. Allein entscheidend sei, ob der Stellvertreter eigenverantwortlich und frei von Weisungen die Aufgaben eines Datenschutzbeauftragten wahrnehmen soll.

Dies trifft ganz eindeutig dann zu, wenn der Vertreter den ursprünglich bestellten Beauftragten für Datenschutz nicht nur kurzfristig vertreten soll, sondern einspringt, weil der eigentlich bestellte Datenschutzbeauftragte längerfristig verhindert ist.

Was bedeutet das Urteil für die Praxis?

Unternehmen, die gegebenenfalls aufgrund der Vielzahl der zu erledigenden Aufgaben des Datenschutzbeauftragten ein ganzes Datenschutzteam aufbauen bzw. für eine laufende Stellvertretung Sorge zu tragen haben, müssen damit rechnen, sich bei interner Bestellung möglicherweise gleich an mehrere Personen sehr dauerhaft zu binden. Der interne Datenschutzbeauftragte kann grundsätzlich nur beim Vorliegen eines außerordentlichen Grundes gekündigt werden.

Unternehmen, die sich sorgen, aufgrund dieses Kündigungsschutzes personelle Ressourcen zu blockieren, sollten über eine effiziente Alternative zum internen Datenschutzbeauftragten nachdenken. Die einfachste Möglichkeit besteht darin, einen externen Datenschutzbeauftragten zu bestellen. Denn dieser genießt keinen vergleichbaren Kündigungsschutz und erhält die für Unternehmen oftmals so notwendige Flexibilität.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!