Facebook Custom Audiences: datenschutzkonform einsetzbar?

Seit der Einführung des Facebook-Marketingtools „Facebook Custom Audiences“ im Jahr 2012 war unklar, ob ein datenschutzkonformer Einsatz für werbetreibende Unternehmen möglich ist. Von den deutschen Datenschutzaufsichtsbehörden hat sich mehrfach das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) dazu zu Wort gemeldet. Mittlerweile liegen einige Gerichtsurteile vor, die etwas Klarheit bringen.

UPDATE: Der Verwaltungsgerichtshof (VGH) München hat in seinem Beschluss vom 26. September 2018 (Az.: 5 CS 18.1157) das Urteil des Verwaltungsgerichts (VG) Bayreuth und so eine Anordnung des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) bestätigt. Er stellt damit klar, dass die Aufsichtsbehörde den Betreiber eines Onlineshops zurecht zur Löschung einer Kundenliste (“Custom Audience“) verpflichtet hat. Er hält ferner fest, dass es sich beim Einsatz von Facebook Custom Audience nicht um einen Fall der Auftragsverarbeitung handelt, weil Facebook einen eigenen Bewertungs- und Ermessensspielraum bei der Ermittlung des zu bewerbenden Kundenkreises hat.

Was sind Facebook Custom Audiences?

Facebook ist eine Goldgrube für Marketers: eine scheinbar unendlich große Zahl potentieller Werbeadressaten, die raffiniertesten Technologien zur Zielgruppendefinition und eine sehr einfache Bedienung. Eines der beliebtesten Werbeverfahren ist Facebook Custom Audiences. Ein werbetreibendes Unternehmen – z. B. ein Shopbetreiber – kann durch Definition sogenannter „Custom Audiences“ in seinem Facebook-Account über das Netzwerk gezielt Personen bewerben lassen, die entweder seine Website besucht haben und/ oder zu denen ihm E-Mailadressen oder Telefonnummern vorliegen.

Facebook Custom Audiences gibt es in verschiedenen Varianten, die datenschutzrechtlich unterschiedlich zu bewerten sind. Die zwei bekanntesten Varianten sind die Upload- und die Website-Variante.

Custom Audiences Upload

Gehashte E-Mailadressen und Telefonnummern zur Identifikation von Facebook-Nutzern

Die elektronische Bewerbung eigener Kunden unterliegt in Europa strengen Regeln. Oft kommt man um eine Werbeeinwilligung nicht herum, möchte man keine Abmahnungen oder Bußgelder riskieren. Nicht alle Kunden sind jedoch bereit, in Werbung einzuwilligen. Da ist es praktisch, einen Partner wie Facebook zu haben, dem gegenüber der Kunde bereitwillig (wenn auch nicht unbedingt rechtswirksam) in die Nutzung seines veröffentlichten Profils für Werbezwecke eingewilligt hat. Bleibt da nur noch, Facebook darüber zu informieren, welche der eigenen Kunden denn über Facebook beworben werden sollen. Außerdem muss Facebook wissen, ob der Kunde überhaupt bei Facebook registriert ist – und entsprechend beworben werden kann. Hierzu benötigt Facebook Daten des werbenden Unternehmens.

Der Abgleich verfügbarer Facebook-Profile mit den Kunden, die ein Unternehmen bewerben möchte, erfolgt in der Upload-Variante über E-Mailadressen oder Telefonnummern, die das werbende Unternehmen auf Facebook hochlädt. Bei E-Mailadressen und/ oder Telefonnummern handelt es sich aus datenschutzrechtlicher Sicht meist um personenbezogene Daten, für deren Weitergabe nicht Facebook, sondern das werbende Unternehmen verantwortlich ist. Die Weitergabe bedarf grundsätzlich einer Einwilligung des Kunden, die dem werbenden Unternehmen jedoch oft nicht vorliegt.

Facebook: „Datenweitergabe dank Hashings unproblematisch.“

Aus Sicht von Facebook ist es möglich, den Personenbezug der Daten aufzuheben, indem die E-Mailadressen und die Telefonnummern vor dem Upload auf Facebook gehasht werden. Beim Hashing wird aus einem Datum ein Wert erzeugt, der einzig und allein aus diesem einen Datum erzeugt werden kann. Der Hashwert ist sozusagen der einzigartige Fingerabdruck eines Datums. Je nach angewandtem Hashing-Verfahren kann dieser Fingerabdruck unterschiedlich komplex sein.

Datenschutzbehörde: „Hashing hebt Personenbezug nicht auf.“

Die bayerische Datenschutzaufsichtsbehörde bezeichnete in ihrem Tätigkeitsbericht für die Jahre 2013/2014 die von Facebook gewählte Hashing-Methode MD5 als unsicher, was technisch in der Tat zutrifft. Demzufolge führe das angewandte Hashing bei Facebook nicht dazu, dass ein Personenbezug der Daten aufgehoben werde. Dies läge vor allem daran, dass die Hashwerte der E-Mailadressen und der Telefonnummern sehr leicht auf die Ursprungswerte zurückzurechnen seien. Die Weitergabe der E-Mailadressen oder der Telefonnummern ohne Einwilligung des Betroffenen stelle daher eine Ordnungswidrigkeit dar, die mit einem Bußgeld bestraft werden könne.

Ende 2015 führte die Behörde führte das BayLDA deswegen stichprobenartige Prüfungen bei bayrischen Unternehmen durch. Das Ergebnis:

„Durch die Gespräche mit den verantwortlichen Stellen im Rahmen der Prüfung haben wir festgestellt, dass das Verfahren Facebook Custom Audience in der Praxis durchaus Verbreitung findet. Die Unternehmen waren sich aber in keinem Fall bewusst, dass dabei eine datenschutzrechtliche Problematik besteht. Erst auf unser Schreiben hin wurden sie auf die datenschutzrechtlichen Hintergründe und Fragestellungen aufmerksam.“

Weitergabe personenbezogener Daten möglich?

Umstritten war, ob nicht auch eine Weitergabe personenbezogener Daten an Facebook im Rahmen einer Auftragsverarbeitung ohne Einwilligung des Betroffenen rechtskonform sein könnte. In diesem Fall wäre Facebook nicht als Dritter, sondern als weisungsgebundener Auftragsverarbeiter anzusehen gewesen.

Das Bayerische Verwaltungsgericht Bayreuth ist im Mai 2018 – noch vor dem Hintergrund des alten deutschen Datenschutzrechts – zu dem Ergebnis gekommen, dass es sich nicht um einen Fall der Auftragsverarbeitung handelt, sondern um eine Übermittlung an einen Dritten und dass es damit es stets der vorausgehenden Einwilligung des Nutzers sowohl in die Datennutzung als auch in die Datenweitergabe an Facebook bedarf. Diese Bewertung hat nun der VGH München bestätigt und ausführlich begründet, warum es sich nicht um einen Fall der Auftragsverarbeitung handelt.

Er trifft dabei drei Kernaussagen zur Auftragsverarbeitung, die voraussichtlich auch im Rahmen der DSGVO Fortgeltung haben werden:

  1. Maßgebend für die Einordnung eines Vorgangs als Auftragsverarbeitung ist eine objektive Qualifikation der auf Grundlage der vertraglichen Vereinbarung stattfindenden tatsächlichen Abläufe – das schließen eines Auftragsverarbeitungsvertrages macht den Dritten nicht zum Auftragsverarbeiter.
  2. Zur Bewertung, ob faktisch ein Auftragsverarbeitungsverhältnis vorliegt, kommt es darauf an, ob das beauftragte Unternehmen ob ein eigener Entscheidungs- und Ermessensspielraum durch den Auftraggeber ausgeschlossen wird (beispielsweise durch Vorgabe ausdifferenzierter Bewertungskriterien) oder ob das beauftragte Unternehmen ohne Vorgaben über die Datenverarbeitung entscheidet.
  3. Nur die vollständige Unterordnung bei der Erhebung, Verarbeitung und Nutzung der Daten unter die Vorgaben des Auftraggebers hinsichtlich Mittel und Zweck der Datenverarbeitung berechtigt dazu, die Datenübertragung an einen Auftragsverarbeiter von den gesetzlichen Rechtfertigungsanforderungen an die Weitergabe von personenbezogenen Daten auszunehmen. (Stichwort „Weisungsgebundenheit“)

Custom Audiences Website

Retargeting mit datenschutzrechtlich riskanten Identifikationspotentialen

E-Mailadressen und Telefonnummern liegen Websitebetreibern meist nur von Kunden und Newsletter-Abonnenten vor, nicht jedoch von unbekannten Besuchern der eigenen Website. Mit der Custom-Audiences-Website-Variante können auch Besucher der eigenen Website auf Facebook beworben werden. Hierzu wird ein unternehmensspezifischer Pixel in die Website des Unternehmens eingebunden. Besucht ein Facebook-Nutzer die Website, übermittelt das Pixel technische Daten zum Besuch der Website und zum Besucher zusammen mit einer gehashten Version der Facebook-ID des Besuchers an Facebook. Über einen Abgleich der übermittelten ID mit Hashwerten der bei Facebook gespeicherten IDs kann Facebook feststellen, welche Websitebesucher bei Facebook registriert sind und beworben werden können.

Personenbezug von Daten bei Websitebetreibern wohl nicht gegeben.

Wie bei der Upload-Variante ist auch bei der Website-Variante zunächst entscheidend, ob personenbezogene Daten verarbeitet werden. Im Unterschied zur Upload-Variante ist jedoch nicht nur die Weitergabe der Daten, sondern auch deren Erhebung durch den Website-Betreiber mithilfe des Retargeting-Pixels in die Prüfung einzubeziehen. Auch für diese Erhebung ist der Websitebetreiber (mit-)verantwortlich und zwar auch dann, wenn er nicht auf die erhobenen Daten zugreifen kann (siehe unser Ratgeber zu Facebook-Fanpages).

Die Erhebung von Daten über die Nutzung einer Website für Werbezwecke ist als Ergebnis einer Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO erlaubt, wenn die Daten in einem Besucherprofil nicht mit Daten vermischt werden, die eine Identifizierung des Besuchers ermöglichen würden. Eine Identifizierung könnten bestimmte Datenkategorien ermöglichen (z.B. Name, Standortdaten), aber auch eine große Zahl an verschiedenen an sich nicht personenbezogenen Daten, wenn diese das Trackingprofil des Nutzers einzigartig machen.

Vor diesem Hintergrund sollten Unternehmen in einer Custom Audience nach Möglichkeit nicht Daten verschiedener Unternehmenswebsites zusammenführen, sondern für jede Website ein eigenes Retargeting-Pixel verwenden.

Nicht zulässig wäre es ferner, die Nutzer-ID mit den Nutzungsdaten zusammenzuführen, da diese unzweifelhaft eine Identifizierung des Nutzers ermöglichen würde. Der Websitebetreiber hat jedoch allenfalls Zugriff auf den Hashwert der Nutzer-ID. Unter der Voraussetzung, dass Facebook inzwischen ein sicheres Hashing-Verfahren anwendet, lägen für den Websitebesucher zu keinem Zeitpunkt personenbezogene Daten vor. Im Oktober 2017 wurde allerdings laut BayLDA noch immer auf ein unsicheres Hashverfahren zurückgegriffen.

Sofern kein personenbezogenes Tracking erfolgt, wäre wohl auch die Stellungnahme der deutschen Datenschutzkonferenz zur Fortgeltung des TMG belanglos, wonach jedes Tracking einer vorausgehenden Einwilligung bedürfe. Die Behörden haben Ihre Stellungnahme in einer neueren Stellungnahme nämlich inzwischen soweit präzisiert, dass es sich um ein personenbezogenes Tracking handeln müsse.

Personenbeziehbarkeit für Facebook kann nicht ausgeschlossen werden.

Fraglich ist, ob auch hinsichtlich Facebook eine Personenbezogenheit der Daten verneint werden kann. Im Abgleich der Hashwerte durch Facebook könnte eine Zusammenführung des Website-Besucherprofils mit identifizierenden Daten des Facebook-Nutzers gesehen werden.

Eine echte Trennung der Daten würde voraussetzen, dass die Nutzungsprofile in den Custom Audiences unter keinen Umständen in die sonstigen Daten der betroffenen Facebook-Nutzer einfließen können (z.B. Daten, die über die Graph Search erreichbar sind). Facebook sichert in den Nutzungsbedingungen zu Facebook Custom Audiences folgendes zu:

„Facebook gewährt Dritten oder anderen Werbetreibenden keinen Zugriff auf die Custom Audience(s) und lässt ihnen auch keine Informationen darüber zukommen. Außerdem verwenden wir deine Custom Audience(s) auch nicht, um sie zu denjenigen Informationen hinzuzufügen, die wir über unsere Nutzer/innen haben, oder um interessenbasierte Profile zu erstellen oder für andere Zwecke, außer um dir Dienste bereitzustellen, es sei denn, wir haben deine Erlaubnis oder sind von Rechts wegen dazu verpflichtet.“

Fraglich ist allerdings, ob diese Zusicherung überhaupt praktisch realisierbar ist. Denn Ziel des Abgleichs ist es ja gerade, die Custom Audiences (mittels der Hashwerte) mit dem Facebook-Nutzer zu verbinden. Mag eine Zusammenführung des Custom-Audiences-Nutzungsprofils mit identifizierenden Daten zum Facebook-Nutzer von Facebook zwar nicht gewünscht sein, so ließe er sich doch durch Facebook problemlos durchführen, indem die Abgleichfunktion der Hashwerte nicht nur für die technisch gesteuerte Auswahl von Facebook-Nutzern, sondern auch zu deren (geheimer) Profilbildung genutzt würde.

Fazit: Risiken abwägen, Informationspflichten beachten.

Von einem Einsatz der Upload-Variante ohne vorausgehende Einwilligung des Nutzers sollten Unternehmen mit Hinblick auf die Stellungnahme der bayrischen Datenschutzaufsicht, des Urteils des VG Bayreuth und des VGH München in jedem Fall absehen. Die DSGVO stuft werbliche Zwecke zwar als berechtigtes Interesse ein (Erwägungsgrund 47 zur DSGVO), solange hierzu aber keine Aussage der Aufsichtsbehörden oder eine gerichtliche Entscheidung vorliegt, sollte man sich an der bisherigen Bewertung orientieren. Es würde ein nicht unerhebliches Risiko darstellen, die Weitergabe der Daten mit einem überwiegenden berechtigten Interesse des Unternehmens zu begründen.

Die Pixel-Variante ohne sogenannten erweiterten Abgleich kann unter den von der bayrischen Datenschutzaufsicht skizzierten Voraussetzungen mit etwas Risiko eingesetzt werden. Wichtig ist dabei eine ausreichende Information in den Datenschutzhinweisen und die Installation eines echten Widerspruchskripts, das bei Aktivierung jeglichen Datentransfer zu Facebook unterbindet.

Dieser aktualisierte Artikel wurde zuerst am 17. März 2016 veröffentlicht.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Anonymisierung, Pseudonymisierung und Verschlüsselung von Daten

Die Verarbeitung von personenbezogenen Daten unterliegt zahlreichen Beschränkungen durch die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG). Für Unternehmen ist deshalb die Beseitigung des Personenbezugs von Daten (Anonymisierung) oder aber ein erhöhter Schutz durch Unkenntlichmachung der Daten (Pseudonymisierung oder Verschlüsselung) ein interessanter Weg. Doch wie sind diese Methoden aus datenschutzrechtlicher Sicht einzuordnen?

Was sind personenbezogene Daten?

Um die Bedeutung von Anonymisierung, Pseudonymisierung und Verschlüsselung verstehen zu können, ist es zunächst wichtig, sich mit dem Personenbezug von Daten auseinanderzusetzen. Die DSGVO hat hierzu in Art. 4 eine Legaldefinition parat. Demnach sind personenbezogene Daten

„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“

Identifizierbarkeit im Sinne der DSGVO

Wenn also etwa im Rahmen einer vermeintlich anonymen Erfassung von Daten in einem Betrieb bekannt ist, dass es sich beispielsweise um eine weibliche Person handelt, die seit zehn Jahren im Betrieb beschäftigt und aktuell in der Personalabteilung angestellt ist, werden vermutlich keine weiteren Informationen notwendig sein, um darauf zu schließen, wer tatsächlich gemeint ist. Mit der Kombination bereits weniger Informationen kann die betroffene Person identifiziert werden. Die Daten sind damit personenbezogen.

Erschwerend kommt hinzu, dass es laut DSGVO nicht notwendig ist, die Person namentlich zu bestimmen. Es genügt, wenn diese anhand der Information zuverlässig als Individuum aus einer Gruppe heraus wiedererkannt werden kann. Außerdem ist nach der Rechtsprechung des Europäischen Gerichtshofes (EuGH) der Begriff der personenbezogenen Daten weit auszulegen („alle Informationen“).

Anonymisierung – Beseitigung des Personenbezugs von Daten

Handelt es sich hingegen nicht oder nicht mehr um personenbezogene Daten, so findet die DSGVO keine Anwendung und die Informationen können (zumindest aus Sicht des Datenschutzrechts) frei verarbeitet werden. Vorschriften wie beispielsweise die Zweckbindung der Datenverarbeitung oder die Einhaltung von Löschpflichten entfallen. Für Unternehmen ist deshalb die Beseitigung des Personenbezugs von Daten ein interessanter Weg.

Der vollständige Entfall des Personenbezugs kann durch Anonymisierung der Daten bewirkt werden. Anonymisierung bedeutet das Verändern der Daten in solch einer Art und Weise, dass ein Rückschluss auf die Person gar nicht oder zumindest nur noch mit unverhältnismäßig hohem Aufwand möglich ist. Was einen unverhältnismäßigen Aufwand darstellt, ist jeweils im Einzelfall zu beurteilen.

Gemäß Erwägungsgrund 26 DSGVO sind alle Mittel zu berücksichtigen, die vom Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren. Daher sollte im Zweifel immer die wirkungsvollste Anonymisierungsmethodik angewendet werden. Eine Anonymisierung ist beispielsweise das unwiederbringliche Löschen des letzten Oktetts einer IP-Adresse (beim Einsatz von Google Analytics geschieht dies durch die Einbindung von anonymizeIP). Es ist jedoch darauf zu achten, dass in den übrigen zu der jeweiligen IP-Adresse gespeicherten Daten keine eindeutigen Merkmale enthalten sind, die eine Identifikation ermöglichen.

Die Anonymisierung eines Datensatzes erfordert daher stets eine gründliche Analyse aller in einem zu anonymisierenden Datensatz enthaltenen Daten auf mögliche Alleinstellungsmerkmale eines Betroffenen; auch solcher, die erst durch Kombination zu einer Bestimmbarkeit führen. Zudem ist zu berücksichtigen, dass ein eingesetztes Anonymisierungsverfahren im Laufe der Zeit an Wirkung verliert, beispielsweise durch die Erlangung neuen Hintergrundwissens oder der Weiterentwicklung der technischen Analyseverfahren.

Mit einer wirksamen Anonymisierung geht außerdem oft ein nicht unwesentlicher Verlust von Informationen im Ergebnisdatensatz einher.

Pseudonymisierung – erhöhter Schutz von Daten

Pseudonymisierung ist gemäß Art. 4 Nr. 5 DSGVO „die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können“.

Unter Pseudonymisierung versteht man also einfacher gesagt das Ersetzen des Namens und anderer direkter Identifikationsmerkmale durch ein eindeutiges Kennzeichen. Dies dient dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. Statt des Betroffenen wird nunmehr der Datensatz eindeutig erkennbar gemacht. Das bedeutet, es gibt im Falle der Pseudonymisierung einen „Schlüssel“, um das Pseudonym den Originaldaten zuordnen zu können.

In dieser Form unterliegen die Informationen als personenbezogene Daten allerdings weiterhin dem Datenschutzrecht. Denn mit Hilfe des Schlüssels ist der Personenbezug wiederherstellbar. Die Anwendung der Pseudonymisierung auf personenbezogene Daten kann die Risiken für die betroffenen Personen nur senken und die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten unterstützen (Erwägungsgrund 28 DSGVO). In den Art. 6, 25 und 32 DSGVO wird ausdrücklich auf die Pseudonymisierung verwiesen.

Auf die Frage, ob Pseudonymisierung nötig ist, folgt die Frage, wie man diese sinnvoll einsetzt. Hierzu hat die Fokusgruppe Datenschutz vom Bundesministerium des Innern, für Bau und Heimat ein Arbeitspapier herausgegeben, in dem technische Umsetzung und Best Practices besprochen werden.

Verschlüsselung – stark erhöhter Schutz von Daten

Einen Mittelweg zwischen Anonymisierung und Pseudonymisierung bildet die Verschlüsselung von Daten, da hier zwar ein Schlüssel zur Wiederherstellung der Originaldaten besteht, jedoch keine Pseudonyme verwendet werden. Im Unterschied zur Pseudonymisierung wird bei der Verschlüsselung der gesamte Datensatz verschlüsselt und es werden nicht lediglich einzelne Identifikationsmerkmale durch Pseudonyme ersetzt.

Während pseudonymisierte Daten weiterhin Aussagekraft haben, ohne den Schlüssel aber keine Identifikation ermöglichen, so haben verschlüsselte Daten ohne den Schlüssel keine Aussagekraft mehr, da der „Klartext“ in unleserliche Zeichenfolgen umgewandelt wird.

Auch verschlüsselte Daten unterliegen jedoch weiterhin dem Anwendungsbereich der DSGVO. Die Information und damit der Personenbezug wird durch die Entschlüsselung wiederhergestellt. Es wird lediglich verhindert, dass ein Dritter – mangels Schlüssel – Missbrauch mit den Daten begehen kann. Wie auch die Pseudonymisierung stellt die Verschlüsselung damit (lediglich) eine Maßnahme dar, um die Sicherheit der Verarbeitung zu erhöhen. In den Art. 6, 32 und 34 DSGVO wird ausdrücklich auf die Verschlüsselung verwiesen.

Fazit: Wahl der Methoden hängt von der geplanten Nutzung der Daten ab

Während die Anonymisierung der Daten also den Personenbezug ganz beseitigt und damit die Verarbeitung dem Anwendungsbereich der DSGVO entzieht, stellen die Pseudonymisierung und die Verschlüsselung in der DSGVO vorgesehene Methoden dar, personenbezogene Daten vor Missbrauch zu schützen.

Will man also Daten außerhalb der Regeln der DSGVO verarbeiten, so muss man sie anonymisieren. Dies geschieht beispielsweise bei anonymen Umfragen zur Kundenzufriedenheit und zum Kundenverhalten. Eine so gewonnene Statistik behält Ihre Aussagekraft auch ohne den Personenbezug.

Will man besonders schützenswerte Daten nach den Regeln der DSGVO verarbeiten, so können Pseudonymisierung und Verschlüsselung Methoden zur sicheren Verarbeitung darstellen.

Eine Maßnahme bei der Speicherung von personenbezogenen Daten wäre etwa, Datensätze mit besonderen Arten personenbezogener Daten wie Gesundheitsdaten nur in pseudonymisierter Form aufzubewahren. Sollte nun unbefugt auf diese zugegriffen werden, bleibt eine Missbrauchsgefahr gering, da ohne den Schlüssel kein Personenbezug herstellbar ist.

Bei der Versendung oder dem Empfang von sensiblen Daten wie Bewerbungsunterlagen, ist als Maßnahme die Verschlüsselung zu empfehlen, so dass nur der vorgesehene Empfänger mit Hilfe des Schlüssels die Informationen wiederherstellen kann.

Je nachdem welche Verwendung für die Daten vorgesehen ist, können also eine dauerhafte Beseitigung des Personenbezugs durch Anonymisierung, oder ein erhöhter Schutz vor Missbrauch durch Pseudonymisierung oder Verschlüsselung die sinnvollste Methode sein.

Dieser aktualisierte Artikel wurde zuerst am 27. Oktober 2015 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Was bedeutet der Brexit für den Datenschutz in der EU?

Nach Angaben der britischen Regierung soll der Brexit, also der Austritt Großbritanniens aus der Europäischen Union (EU) am 29. März 2019 um 23 Uhr britischer Zeit rechtskräftig werden. Derzeit ist noch nicht abzusehen, wie sich das künftige Verhältnis zur Union gestalten wird. Für viele Firmen in der EU stellt sich daher die Frage, unter welchen Bedingungen zukünftig überhaupt noch personenbezogene Daten an britische Unternehmen übertragen werden dürfen.

Aktuelle Rechtslage

Derzeit ist Großbritannien noch Mitglied der EU. Damit gilt dort seit 25. Mai 2018 die EU-Datenschutz-Grundverordnung (DSGVO). Darüber hinaus gilt dort der am 23. Mai 2018 erlassene Data Protection Act 2018, das britische Datenschutzgesetz. Dieses regelt wie das Bundesdatenschutzgesetz die sog. Öffnungsklauseln der DSGVO.

Die Datenübermittlung nach Großbritannien ist unproblematisch, solange es noch Teil der EU ist.

Voraussichtliche Rechtslage nach dem Brexit

Das britische Parlament hat im Juni 2018 nach langen Verhandlungen den European Union Withdrawal Act 2018 verabschiedet. Es handelt sich dabei um ein Austrittsgesetz, das das britische Beitrittsgesetz zur Europäischen Gemeinschaft von 1972 aufhebt. Durch die Aufhebung dieses Beitrittsgesetzes zur damaligen Europäischen Gemeinschaft gelten die Verordnungen, Richtlinien und Beschlüsse der EU für Großbritannien nicht mehr. Damit keine Rechtsunsicherheit entsteht, regelt das Austrittsgesetz, dass mit dem Austrittsdatum spätestens am 30. März 2019 die bisherigen EU-Verordnungen und Richtlinien in nationales britisches Recht überführt werden sollen.

Sofern dies alles wie geplant abläuft, würden die Regelungen der DSGVO künftig in nationales britisches Recht umgewandelt. Für die Rechtslage innerhalb Großbritanniens würde sich insofern keine große Änderung ergeben.

Das Problem: die Datenübermittlung in ein Drittland

Sollte Großbritannien aus der EU ausscheiden, ohne dass in der Zwischenzeit durch die EU-Kommission ein Angemessenheitsbeschluss über das in Großbritannien vorherrschende Datenschutzniveau gefasst wird, würde Großbritannien aber automatisch zu einem sogenannten Drittland, in das nicht ohne Weiteres personenbezogene Daten übertragen werden dürfen.

Unternehmen in der Europäischen Union müssten deswegen alle Verhältnisse überprüfen und ggfs. neu regeln, bei denen sie personenbezogene Daten an britische Unternehmen oder Konzerne mit Standorten in Großbritannien übermitteln oder diese Daten zugänglich machen.

Hinzu käme: Für eine solche Datenübermittlung wäre ein einfacher Vertrag zur Auftragsverarbeitung künftig nicht mehr ausreichend. Stattdessen müssten Unternehmen hierzulande bzw. in der EU zusätzlich von allen betroffenen britischen Unternehmen individuelle Datenschutzgarantien einfordern. Hier entstünden demzufolge vergleichbare Probleme, wie derzeit beim internationalen Datentransfer in andere Nicht-EU-Länder. Das durch den Europäischen Gerichtshof (EuGH) herbeigeführte Ende des Safe-Harbor-Abkommens mit den USA und die aktuelle Diskussion um das EU-U.S. Privacy Shield veranschaulicht zudem, auf welch wackligen Beinen derartige Konstrukte stehen können.

Anders als bei den USA erscheint ein Angemessenheitsbeschluss jedoch wahrscheinlicher. Zum einen wird Großbritannien die Regelungen der DSGVO übernehmen und  Austritt auch einhalten (siehe unsere Einschätzung zur Wirksamkeit der DSGVO im Großbritannien nach dem Brexit). Es sollte somit ein angemessenes Datenschutzniveau garantieren können.

Zum anderen befinden sich die EU-Kommission und die britische Regierung wegen des Brexits ohnehin in Verhandlungen. Ein Angemessenheitsbeschluss nach Art. 45 DSGVO wird wohl Teil dieser Verhandlungen werden.

Dieser aktualisierte Artikel erschien zuerst am 21. Juni 2016.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Datenschutz-Verpflichtung von Beschäftigten in der Praxis

Beschäftigte bzw. Mitarbeiter sind zur Einhaltung der Datenschutzgesetze bzw. auf Vertraulichkeit zu verpflichten – zumindest sobald sie Umgang mit personenbezogenen Daten haben. Die EU-Datenschutz-Grundverordnung (DSGVO) lässt diesbezüglich keinen Spielraum. Wie diese Verpflichtung von Mitarbeitern auf Vertraulichkeit in der Praxis am besten funktioniert und wie Sie etwaige Hindernisse überwinden, erläutern wir Ihnen in dieser Anleitung (inkl. kostenlosem Muster).

Gesetzliche Grundlagen der Verpflichtung von Mitarbeitern

Die Verpflichtung von Beschäftigten auf Vertraulichkeit ergibt sich aus mehreren Normen der DSGVO:

  1. Nach 29 DSGVO dürfen Beschäftigte eines Verantwortlichen personenbezogene Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten.
  2. 32 Abs. 4 DSGVO schreibt ferner vor, dass der Verantwortliche Schritte unternehmen muss, um sicherzustellen, dass ihm unterstellte Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten.
  3. Der Begriff der Verpflichtung findet sich ausdrücklich in 28 Abs. 3 Satz 2 lit. b DSGVO, der bestimmt, dass der Auftragsverarbeiter die zur Verarbeitung der Daten befugten Personen zur Vertraulichkeit verpflichten muss.
  4. Die Rechenschaftspflicht des Verantwortlichen, also die Pflicht diese „verpflichtende Unterrichtung“ nachweisen zu können, ergibt sich aus Art. 24 DSGVO und Art. 5 Abs. 2 DSGVO.

Die Datenschutzkonferenz (DSK) der unabhängigen Datenschutzbehörden des Bundes und der Länder hält in ihrem Kurzpapier Nr. 19 vom 29. Mai 2018 zudem fest, dass diese „verpflichtende Unterrichtung“ nicht nur die Beschäftigten von Auftragsverarbeitern sondern natürlich auch die Verantwortlichen und deren Beschäftigte trifft.

Praktische Umsetzung der Verpflichtung von Mitarbeitern mit den 3 W-Fragen

Wer sollte verpflichtet werden?

Die DSGVO spricht von der Verpflichtung der „unterstellten natürlichen Personen“, was im Hinblick auf die Wichtigkeit der Regelung weit auszulegen ist. Die DSK empfiehlt ergänzend zum regulären Mitarbeiterstamm auch Auszubildende, Praktikanten, Leiharbeiter und ehrenamtlich Tätige miteinzubeziehen.

Wann muss verpflichtet werden?

Für Neubeschäftigte muss die Verpflichtung vor Aufnahme der Tätigkeit erfolgen. Genauer: Sie muss erfolgen, bevor die verpflichtete Person zum ersten Mal mit personenbezogenen Daten in Kontakt kommt. Es bietet sich damit an, die Unterschrift zur Kenntnisnahme der Vertraulichkeitsvereinbarung zusammen mit der Unterschrift des Arbeitsvertrages einzuholen.

Idealerweise werden Arbeitsvertrag, IT-Nutzungsrichtlinie und Verpflichtungserklärung nach der DSGVO als drei getrennte Dokumente vor dem Arbeitsantritt unterschrieben. Mit der Verpflichtung nach DSGVO können aber auch andere Geheimhaltungsvereinbarungen kombiniert werden, z. B. zum Betriebs-, Telekommunikations- oder Steuergeheimnis.

Für bereits beschäftigte Mitarbeiter bietet es sich an, im Zuge der Umsetzung der DSGVO eine Neuverpflichtung vorzunehmen. Dies kann sowohl im Anschluss an eine Schulung zum Datenschutz oder auch ohne einen besonderen Anlass geschehen. Denn die Umsetzung gesetzlicher Vorgaben ist immer ein ausreichender Anlass. In diesem Zusammenhang empfiehlt die DSK sogar ab und zu im Rahmen von Schulungen oder schriftlichen Hinweisen (z. B. in der Betriebszeitung) als „Auffrischung der Unterrichtung“ daran zu erinnern, dass die Beschäftigten verpflichtet worden sind und welche Bedeutung dieser Verpflichtung zukommt.

Wie wird verpflichtet?

Die DSGVO schreibt keine bestimmte Form der Verpflichtung vor. Damit die Unternehmensleitung als verantwortliche Stelle jedoch ihrer Rechenschaftspflicht gegenüber der Aufsichtsbehörde nachkommen kann, sollte aus Gründen der Nachweisbarkeit zumindest beim ersten Mal ein entsprechendes Dokument verwendet werden (siehe unsere kostenlose Vorlage zur Verpflichtung auf Vertraulichkeit). Auf diesem sollten neben dem eigentlichen Inhalt der Verpflichtung auch Ort, Datum und die Unterschriften der verantwortlichen Stelle und des zu Verpflichtenden festgehalten werden.

Beachten Sie, dass die reine Verpflichtung zur Einhaltung der datenschutzrechtlichen Vorgaben keine entsprechende Schulung ersetzen kann, bei der die Umsetzung dieser Pflicht in der Praxis anhand typischer Fälle erläutert wird.

Müssen Beschäftigte die Verpflichtung unterschreiben?

Zunächst ist festzuhalten, dass die gesetzlichen Verpflichtungen der DSGVO von den Mitarbeitern einzuhalten sind, ob sie eine Verpflichtungserklärung unterschreiben oder nicht. Anders als beispielsweise bei einer Einwilligung zur Nutzung von Fotos eines Mitarbeiters fragt der Verantwortliche bei der Datenschutzverpflichtung nicht um Erlaubnis, sondern setzt ihn lediglich in Kenntnis von den – unabhängig von einer Unterschrift – bestehenden Pflichten. So gelten beispielsweise auch die Strafgesetze oder die Betriebsvereinbarung für alle Mitarbeiter, ohne dass diese ihre explizite Zustimmung erklären müssen.

Bei der Verpflichtung auf das Datengeheimnis handelt es sich daher nicht um eine Verlagerung von Verantwortung, eine Erweiterung der Pflichten des Beschäftigten oder eine Streitfrage, bei der sich Arbeitnehmer und Arbeitgeber gegenüberstehen. Der Arbeitgeber kommt bei der Unterrichtung lediglich seiner gesetzlichen Pflicht nach, den Arbeitnehmer auf seine gesetzlichen Pflichten beim Umgang mit personenbezogenen Daten hinzuweisen. Die Unterschrift stellt damit keine Erweiterung der Aufgaben des Beschäftigten oder eine Einwilligung dar, sie quittiert lediglich die Kenntnisnahme der bestehenden Aufgaben im Rahmen des Datenschutzes.

Es besteht folglich kein Grund eine Erklärung zur Kenntnisnahme nicht zu unterschreiben. Wenn sich ein Beschäftigter dennoch weigert, die Erklärung zur Kenntnisnahme zu unterschreiben, empfiehlt es sich, ihm oder ihr diesen Zusammenhang in einem persönlichen Gespräch – idealweise unter Miteinbeziehung des Datenschutzbeauftragten oder -koordinators – zu erläutern. Ein entsprechend datierter Vermerk, dass ein aufklärendes Gespräch geführt wurde und der Beschäftigte darin auf seine Pflichten hingewiesen wurde, sollte als Nachweis gegenüber der Aufsichtsbehörde ausreichend sein.

Arbeitsrechtliche Konsequenzen sind möglich, da die Einhaltung des Datenschutzes eine wesentliche Pflicht des Arbeitnehmers gegenüber dem Arbeitgeber darstellt. Sie sollten entsprechende Maßnahmen allerdings erst dann einleiten, wenn der Beschäftigte nicht nur die Unterschrift der Kenntnisnahme verweigert, sondern auch die Einhaltung der rechtlichen Pflichten verweigert, auf die er dort hingewiesen wird.

Die Rolle des Betriebsrats bei der Verpflichtung

Der Betriebsrat hat gemäß § 80 I Nr. 1 BetrVG die Aufgabe, darüber zu wachen, dass die zugunsten der Arbeitnehmer geltenden Gesetze durchgeführt werden. Ihm sollte es infolgedessen auch daran gelegen sein, dass die Beschäftigten eine Verpflichtungserklärung unterschreiben. Dies ist einfach der Tatsache geschuldet, dass der Schutz personenbezogener Daten nach der DSGVO sich nicht auf Kundendatenschutz beschränkt, sondern auch dem Beschäftigtendatenschutz größte Relevanz beimisst. Beispielsweise mag einem Beschäftigten im Vertrieb oder Marketing eine Verpflichtung zum Datenschutz auf den ersten Blick lästig erscheinen. Nichtsdestotrotz sorgt dieselbe Verpflichtung dafür, dass die Kollegen z. B. aus der Personal- oder IT-Abteilung vertraulich mit seinen Daten umgehen.

Fazit: Machen Sie die Verpflichtung von Mitarbeitern zum Standard

Die Verpflichtung auf Vertraulichkeit von Mitarbeitern und ggfs. anderen Beschäftigten ist in der Praxis sehr effizient umzusetzen. Da sich die Pflicht zur Vertraulichkeit direkt aus dem Gesetz ergibt, sollte es wenig Widerstand bei den Verpflichteten geben. Letztlich profitieren von einer sauber dokumentierten Verpflichtung alle Beteiligten.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Datenpanne oder Datenklau: Was Sie nach DSGVO sofort tun müssen (Anleitung)

Datenpannen oder Datendiebstähle passieren in Unternehmen jeden Tag. Doch was müssen Sie tun, wenn Sie z. B. erfahren, dass ein unverschlüsselter USB-Speicherstick mit sensiblen Daten verloren gegangen ist oder personenbezogene Daten durch einen Angriff auf Ihre IT abgeflossen sind? Unter der EU-Datenschutz-Grundverordnung (DSGVO) gelten für Datenpannen insbesondere verschärfte Meldepflichten gegenüber Aufsichtsbehörden bzw. Informationspflichten gegenüber Auftraggebern. Sie sollten deshalb schnell, aber auch achtsam und juristisch korrekt handeln. Unsere Anleitung für Datenpannen und Datenklau hilft Ihnen dabei.

1. Schritt: Datenschutzpannen umgehend bemerken

Wie schnell würde in Ihrem Unternehmen ein Datenklau oder Datenverlust auffallen? Ein möglicher Schaden lässt sich nur dann in Grenzen halten, wenn Vorfälle möglichst sofort entdeckt und Gegenmaßnahmen ergriffen werden. Ihre IT sollte daher für Auffälligkeiten sensibilisiert sein. Kontrollieren Sie, ob entsprechende technische Vorkehrungen der Informationssicherheit getroffen sind und ob ungewöhnliche Ereignisse von den Verantwortlichen genügend ernst genommen und überprüft werden.

  • Erfolgt eine Warnung bei fehlgeschlagenen Anmeldeversuchen und unerlaubten Zugriffen auf das Dateisystem? Wie werden solche Ereignisse behandelt?
  • Besteht ein Monitoring für den Datenverkehr? Wie wird bei Anomalitäten vorgegangen?
  • Inwieweit erfolgt eine regelmäßige Kontrolle zentraler Server?
  • Wie sind die Meldewege für Datenpannen definiert und sind sie allen Mitarbeitern bekannt?
  • Gibt es ein zentrales Regelungsdokument zum Datenschutznotfall?

2. Schritt: Der Situation Herr werden durch Implementation eines Incident-Response-Managements

Um angemessen auf einen Vorfall reagieren zu können, müssen Sie selbstverständlich zunächst erfassen, was passiert ist. Dafür sollten eindeutige Zuständigkeiten definiert sein. Wenn Sie etwa feststellen, dass Ihre Webseite gehackt wurde: Wen können Sie rund um die Uhr erreichen, der die Sicherheitslücke schließt und umgehend prüft, auf welche Daten zugegriffen wurde? Sind auch alle anderen Mitarbeiter darüber informiert, an wen sie sich wenden können und wen sie informieren müssen?

Erstellen Sie für dieses Vorgehen mindestens eine Notfallliste mit sämtlichen Ansprechpartnern und deren Kontaktdaten, insbesondere dem Datenschutzbeauftragten. Ziel ist es, dadurch ein Incident-Response-Management aufzubauen, mit dem auf eine Störung (Incident) unmittelbar reagiert (Response) werden kann. Noch besser ist eine Richtlinie zur Erkennung von und zum Umgang mit Datenschutznotfällen. Unsere kostenlose Vorlage hilft Ihnen dabei.

3. Schritt: Gesetzliche Informationspflichten nach Art. 33 und Art 34 DSGVO beachten

Gemäß Art. 33 DSGVO muss der Verantwortliche eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden bei der zuständigen Aufsichtsbehörde melden. Die Aufsichtsbehörden haben hierfür online umfangreiche Eingabemasken eingerichtet. Von einer Meldung kann nur dann abzusehen sein, wenn die Verletzung „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen“ führt.

Sofern Daten im Auftrag verarbeitet werden, muss der Auftragnehmer den Verantwortlichen (Auftraggeber) unverzüglich über die Datenpanne informieren und den Verantwortlichen bei der Meldung der Datenpanne unterstützen, indem er dem Verantwortlichen die ihm zur Verfügung stehenden Informationen bereitstellt (Art. 28 Abs. 3 lit. F DSGVO).

Zur Abschätzung des Risikos hat die Datenschutzkonferenz (Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder – DSK) in ihrem Kurzpapier Nr. 18 eine Hilfestellung veröffentlicht. Im Zweifel ist eine Meldung immer der sicherere Weg.

Stellt sich bei der Risikobewertung heraus, dass voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht, so sind gemäß Art. 34 DSGVO auch die betroffenen Personen zu benachrichtigen.

Doch der Umgang mit einer Datenpanne endet keinesfalls mit der Meldung bei der Aufsichtsbehörde und ggfs. der Wiederherstellung des Normalbetriebs. Bereits bei der Meldung wird abgefragt, welche Maßnahmen zur Eindämmung des Risikos akut unternommen wurden. Teil der Dokumentation des Datenschutznotfalls ist daher auch die Aufarbeitung und das Implementieren von Maßnahmen, die einen weiteren Datenschutznotfall dieser Art verhindern können.

Dieser aktualisierte Artikel wurde zuerst am 31. Dezember 2012 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.