Die Whistleblower-Richtlinie: eine datenschutzrechtliche Herausforderung?!

Das EU-Parlament hat sich am 16.04.19 für die geplante Whistleblower-Richtlinie ausgesprochen. Der EU-Gesetzgeber verfolgt mit der Richtlinie das Ziel, Whistleblower bzw. sog. Hinweisgeber vor Vergeltungsmaßnahmen zu schützen und Verstöße gegen das Europarecht in Unternehmen effizienter aufzudecken. Um das zu erreichen, schreibt er den Mitgliedstaaten vor, per Gesetz ein flächendeckendes Meldesystem einzuführen, mit dessen Hilfe Missstände in Unternehmen gemeldet werden können. Dieses Meldesystem soll drei Stufen umfassen:

1. Stufe: Interne Meldung im oder bei dem betroffenen Unternehmen
2. Stufe: Meldung an die zuständige Behörde (und ggf. Stellen einer Strafanzeige)
3. Stufe: Meldung an die Öffentlichkeit bzw. direktes Veröffentlichen von Rechtsverstößen in Unternehmen

Hinweisgeber sollen ermutigt werden, sich zunächst intern im Unternehmen über eine sog. Whistleblower-Hotline zu Wort zu melden, damit Sachverhalte möglichst intern, schnell und sachnah geklärt werden können. Für Unternehmen ist eine rein interne Behandlung von derartigen Vorwürfen vorzugswürdig, da so Reputationsschäden und der Veröffentlichung interner Unternehmensinformationen vorgebeugt werden kann.

Allerdings geht mit der Bearbeitung von Meldungen zu Verstößen in der Regel auch die Verarbeitung personenbezogener Daten einher, für die die DSGVO und das BDSG anwendbar sind. Auf Unternehmen kommt daher ein erhöhter Compliance-Aufwand zu, da sie bei der Einrichtung der Whistleblower-Hotline oder entsprechender Online-Lösungen die datenschutzrechtlichen Anforderungen einzuhalten haben.

Was haben Datenschutzrecht und die Whistleblower-Hotline miteinander zu tun?

Die datenschutzrechtlichen Regelungen von DSGVO und BDSG werden immer dann relevant, wenn es um die Verarbeitung von personenbezogenen Daten geht. Im Rahmen der Whistleblower-Hotline kann ein Personenbezug in mehreren Konstellationen gegeben sein. Die Whistleblower-Richtlinie schreibt zum Datenschutz lediglich vor, dass die Verarbeitung personenbezogener Daten im Einklang mit der DSGVO erfolgen soll und fordert die Mitgliedstaaten pauschal auf, den Datenschutz zu gewährleisten. Im Bereich der Whistleblower-Hotline finden spezielle Anforderungen aus DSGVO und BDSG zum Beschäftigungsverhältnis Anwendung.

Ein Weg für Unternehmen, zusätzliche datenschutzrechtliche Anforderungen zu verhindern, stellt die Anonymisierung von personenbezogenen Daten dar. Werden im Rahmen des Meldesystems Daten grundsätzlich nur anonymisiert verarbeitet und liegt insofern gar kein Personenbezug vor, ist auch die DSGVO nicht anwendbar. Faktisch werden die Meldungen jedoch zumeist personenbezogene Daten enthalten. Zunächst kann es um die Verarbeitung der Daten des Hinweisgebers selbst gehen, wenn er z.B. seinen Namen bei der Meldung eines Missstandes angibt oder für Rückfragen sogar angeben muss.
Kann der Hinweisgeber jedoch anonym handeln, dann liegt an dieser Stelle kein Personenbezug vor. Hier ist denkbar, dass das Hinweisgebersystem auf einem Formularsystem aufgebaut wird, in das der Hinweisgeber sein Anliegen eintragen kann ohne seinen Namen oder eine E-Mail-Adresse preiszugeben. So wird sichergestellt, dass nicht über eine E-Mail-Adresse oder Telefonnumer ein Personenbezug hergestellt wird.

Die Verarbeitung personenbezogener Daten kann außerdem in Bezug auf den Sachverhalt vorliegen, den der Hinweisgeber aufdecken möchte. In der Sachverhaltsbeschreibung werden sich sehr häufig auch Namen oder andere personenbezogene Daten von anderen Personen wiederfinden, die mit dem Sachverhalt in Verbindung stehen oder die der Hinweisgeber beschuldigt. In diesen Fällen ergeben häufig anonymisierte Angaben keinen Sinn, da der Sachverhalt nicht effektiv aufgeklärt werden kann, wenn genauere Informationen zu weiteren Beteiligten fehlen.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Wie kann die Verarbeitung personenbezogener Daten zulässig werden?

Ist eine anonyme Ausgestaltung des Meldesystems nicht möglich, wird der Anwendungsbereich der DSGVO und BDSG eröffnet sein und die Verarbeitung der personenbezogenen Daten ist nur erlaubt, wenn eine Rechtfertigung dafür vorliegt.

Der Hinweisgeber kann eine Einwilligung dafür erteilen, dass sein Name, seine E-Mail-Adresse oder andere personenbezogene Daten verarbeitet werden. Die Einwilligung ist allerdings nur wirksam erteilt, wenn sie freiwillig erfolgt. Dafür ist ausschlaggebend, dass der Einwilligende eine echte oder freie Wahl hatte die Einwilligung zu erteilen oder sie zu verweigern. Diesbezüglich gibt es im Beschäftigungsverhältnis in § 26 BDSG zusätzliche Kriterien, die zu beachten sind.
Eine Verarbeitung auf Grundlage des Arbeitsvertrags des Hinweisgebers oder der Person, deren Identität er preisgibt, ist unzulässig. Im Rahmen des Hinweisgebersystems ist der Arbeitsvertrag nicht direkt betroffen und die Datenverarbeitung ist zur Erfüllung des Arbeitsvertrags nicht notwendig.

Allerdings kann eine Verarbeitung zulässig werden, wenn diese zur Meldung von Missständen erforderlich ist und durch die berechtigten Interessen des Unternehmens gerechtfertigt ist. Solche Interessen können z.B. die Verhütung von Betrugsfällen im Unternehmen, die Aufdeckung oder Vermeidung von Korruption oder die Gewährleistung finanzieller Sicherheit des Unternehmens sein. Diese Interessen müssen allerdings mit den Interessen der betroffenen Personen abgewogen werden, damit die Verarbeitung zulässig wird.

Die Interessen des Unternehmens werden insbesondere bei Verhaltensweisen der betroffenen Person überwiegen, die einen Straftatbestand erfüllen oder die gegen Menschenrechte und gewichtige Umweltbelange verstoßen. Bei der Meldung von Verstößen gegen interne Regeln ist jedoch gründlich abzuwägen und im Einzelfall zu entscheiden, wessen Interessen überwiegen. Die Interessen des Unternehmens werden vermutlich nur dann ausreichen, wenn die internen Regeln, gegen die laut Hinweisgeber verstoßen wurde, der Vermeidung der Katalogstraftaten dienen. Verstöße gegen interne Regeln wie das Gebot der Freundlichkeit in der Kundenbetreuung werden die Verarbeitung personenbezogener Daten wohl nicht rechtfertigen.

Eine spezielle Vorschrift zur Datenverarbeitung im Beschäftigungsverhältnis gibt es außerdem im nationalen Recht in § 26 Abs. 1 BDSG. Die darin genannten Anforderungen an die Datenverarbeitung werden jedoch nur relevant, wenn es um die Aufdeckung von Straftaten im Beschäftigungskontext geht. Die Daten dürfen nur dann verarbeitet werden, wenn tatsächliche Anhaltspunkte vorliegen, dass die betroffene Person im Arbeitsverhältnis eine Straftat begangen hat. Außerdem können Tarifverträge oder Betriebsvereinbarungen als Grundlage der Datenverarbeitung dienen, wenn sie die Vorschriften der Datenschutz-Grundverordnung (DSGVO) beachten.

Lässt sich die Whistleblower-Hotline datenschutzkonform aufbauen?

Ist die Verarbeitung personenbezogener Daten im Rahmen der Whistleblower-Hotline zulässig, müssen die weiteren datenschutzrechtlichen Vorgaben für die Verarbeitung von personenbezogenen Daten innerhalb der Whistleblower-Hotline eingehalten werden.
Dafür ist zunächst essentiell, dass die Daten auch nur zu dem Zweck verarbeitet werden, zu dem sie erhoben wurden (Grundsatz der Zweckbindung) und dass nicht mehr Daten verarbeitet werden als notwendig (Grundsatz der Datenminimierung). Daten, die in Bezug auf die Zwecke der Verarbeitung unrichtig sind, sind unverzüglich zu löschen oder zu berichtigen. Um diese und andere Datenschutzgrundsätze zu gewährleisten, muss das Unternehmen als Verantwortlicher geeignete organisatorische und technische Maßnahmen ergreifen. Hier kommt eine Pseudonymisierung der Daten in Betracht.

Einen weiteren Knackpunkt stellen die Betroffenenrechte dar. Um eine datenschutzkonforme Whistleblower-Hotline zu betreiben, muss der Verantwortliche seinen Informations- und Auskunftspflichten nachkommen. Er ist grundsätzlich verpflichtet, den Betroffenen zu informieren, wenn er Daten von ihm speichert und warum und auch von wem er sie erlangt hat. Die Identität des Hinweisgebers würde also offengelegt werden müssen, was auf die Bereitschaft zur Meldung erhebliche Auswirkungen haben kann. Er ist über diese Konsequenzen vorab ausführlich zu informieren. Dies würde dann das Ziel der Verarbeitung, nämlich das Aufdecken von Missständen in Unternehmen, unmöglich machen oder ernsthaft beeinträchtigen. In diesen Fällen muss geprüft werden, ob die DSGVO eine Ausnahme zulässt, wenn das Unternehmen z.B. zusätzliche Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Personen ergreift. Die Information muss dann nicht erfolgen.

Ähnliches gilt bzgl. des Auskunftsrechts von betroffenen Personen auf die zu ihnen gespeicherten Daten, Herkunft und Empfänger der Daten. Dieses Recht entfällt, wenn durch die Auskunft Informationen offenbart werden würden, die wegen überwiegender berechtigter Interessen eines Dritten geheim gehalten werden müssen. Die Aufdeckung von Rechtsverstößen in Unternehmen könnte ein solches Interesse darstellen.
Des Weiteren muss, um eine Whistleblower-Hotline datenschutzkonform aufzubauen, eine Datenschutz-Folgenabschätzung durchgeführt werden und der Datenschutzbeauftragte frühzeitig in alle datenschutzrelevanten Fragen eingebunden werden.
Wird die Whistleblower-Hotline von einem externen Dienstleister geführt, könnte eine Auftragsverarbeitung vorliegen und dementsprechend die dazu einschlägigen Anforderungen zu beachten sein.

Fazit: Die Whistleblower-Hotline – datenschutzrechtliche Herausforderung und Lösung zugleich

Datenschutzrechtlich ist die Einführung einer Whistleblower-Hotline eine Herausforderung für ein Unternehmen. Allerdings werden keine unlösbaren datenschutzrechtlichen Probleme aufgeworfen. Das Hinweisgebersystem lässt sich datenschutzkonform gestalten und betreiben. Ist die Whistleblower-Richtlinie erlassen und inkraftgetreten, muss sie noch durch die einzelnen mitgliedstaatlichen Gesetzgeber in nationales Recht umgesetzt werden. Erst durch die daraus entstehenden gesetzlichen Regelungen werden private Unternehmen unmittelbar verpflichtet, ein entsprechendes Hinweisgebersystem einzuführen.
Um die Compliance effektiv und frühzeitig sicherzustellen, kann es sich empfehlen, das System schon vor Ende der Umsetzungsfrist datenschutzkonform aufzubauen oder zumindest an den neuen Anforderungen auszurichten. Nur durch rechtzeitiges Handeln kann Compliance gewährleistet und Reputationsschäden vorgebeugt werden. Außerdem ist schon auf Grund des früher inkrafttretenden Geschäftsgeheimnisgesetz zu raten, intern Hinweisgebersysteme einzuführen, weil so bestenfalls auch eine Offenlegung von Geschäftsgeheimnissen vorgebeugt werden kann.

Leseempfehlung: Der Beitrag der Kanzlei Schürmann Rosenthal Dreyer „Whistleblower-Richtlinie – Herausforderung und Lösung zugleich“ erörtert die rechtlichen Aspekte der neuen Whistleblower-Richtlinie.

Benötigen Sie Hilfe oder Beratung bei der Einführung eines Meldesystems oder haben Sie sonstige Fragen zur kommenden Whistleblower-Richtlinie? Sprechen Sie uns gerne an und zählen Sie auf unsere Expertise!

Das Verfahrensverzeichnis als Grundlage für ein effektives DSMS: Gewusst wie

Die Datenschutz-Grundverordnung (DSGVO) schreibt Unternehmen nicht ausdrücklich vor, dass sie ein Datenschutzmanagementsystem (DSMS) einführen müssen. Allerdings lassen sich viele Anforderungen der DSGVO in ihrer Zusammenwirkung nur durch ein effektives DSMS umsetzen. Zudem kann ein effektives DSMS dabei helfen Bußgelder zu senken, wenn es trotz aller Vorsicht zu Verstößen kommt, da die Aufsichtsbehörden das (nachweisbare) Bemühen um eine DSGVO-konforme Datenverarbeitung bei der Verhängung von Bußgeldern berücksichtigen. Eine der wesentlichen Veränderungen der DSGVO sind die Transparenz- und Dokumentationspflichten. In engem Zusammenhang mit diesen Pflichten steht das Verzeichnis der Verarbeitungstätigkeiten (VVT bzw. Verfahrensverzeichnis). Dessen effektive Gestaltung kann weite Teile der Anforderungen an ein effektives Datenschutzmanagementsystem erfüllen. Auf die bestehenden Schnittmengen soll in diesem Artikel eingegangen werden.

Hintergrund: Datenschutzmanagementsystem und das Verfahrensverzeichnis

Die Datenschutz-Grundverordnung definiert nicht, was ein Datenschutzmanagementsystem ist oder umfassen muss. Aus den Anforderungen der DSGVO, v.a. deren Artikel 5, ergibt sich aber, dass ein solches System eine ganzheitliche Perspektive umfassen sollte, die sowohl die Verarbeitung selbst, als auch deren Dokumentation und den Umgang von Mitarbeitern mit Daten und Datenpannen erfasst. Das heißt das System muss gewährleisten, dass die tägliche Verarbeitung von personenbezogenen Daten DSGVO-konform verläuft, dass diese Verarbeitung regelmäßig kontrolliert und dokumentiert und dann wieder überprüft wird, sodass durch Prüfschleifen Verbesserungen gewährleistet werden können.

Ziel ist mithin den gesamten Lebenszyklus der jeweils betroffenen Verarbeitungstätigkeiten zu überprüfen und zu verbessern, um datenschutzrechtlichen Anforderungen gerecht zu werden. Dabei kann der PDCA-Zyklus (Plan, Do, Check, Act) dabei helfen den Anforderungen gerecht zu werden. Danach muss der Verantwortliche v.a. technische und organisatorische Maßnahmen (TOM) ergreifen um ein angemessenes Datenschutzniveau zu gewährleisten. Außerdem muss er sicherstellen, dass die Wirksamkeit dieser Maßnahmen erhalten bleibt sowie Verbesserungen eingeleitet werden können. Dafür bietet sich ein vierschrittiges Verfahren an:

Planen und Spezifizieren

Planung und Spezifikation setzen nicht nur voraus, dass Datenverarbeitungsvorgänge DSGVO-gerecht ausgestaltet werden, sondern auch, dass entsprechende Maßnahmen regelmäßig prüffähig sind. Voraussetzung ist also zunächst zu ermitteln, bei welchen Prozessen personenbezogene Daten verarbeitet werden und damit zu überprüfen sind. Entscheidender Ansatz ist es rechtliche Soll-Werte (also v.a. rechtliche Vorgaben der DSGVO wie den Zweckbindungsgrundsatz, also die Verarbeitung von Daten zu einem genau festgelegten und erkennbaren Zweck) mit funktionalen Soll-Werten (z.B. Trennungs- oder Transparenzmaßnahmen) zu verknüpfen.

Kontrollieren und Prüfen

Zunächst ist zu ermitteln, welche Informationen erforderlich sind um Verarbeitungsvorgänge zu überprüfen. Hierbei ist für jeden funktionalen Soll-Wert ein tatsächlicher Ist-Wert (z.B. mittels anzufertigender Protokolldaten) zu bestimmen und mit dem Soll-Wert zu vergleichen. Die Ergebnisse sind dabei zu dokumentieren und nicht nur der innerbetrieblichen Organisation und dem Datenschutzbeauftragten, sondern ggf. auch externen Prüfern (wie Aufsichtsbehörden) zur Verfügung zu stellen.

Beurteilen

Diese Phase beschreibt v.a. die rechtliche Überprüfung der Ergebnisse und kann erste Anhaltspunkte für mögliche Verbesserungen liefern. Die datenschutzrechtliche Prüfung geht über die Detailprüfung einzelner Systeme hinaus. Hierbei geht es nicht nur darum bereits bestehende Pannen oder Probleme zu ermitteln, sondern v.a. auch bestehende Risiken zu erkennen und in ihren Auswirkungen zu mindern.

Verbessern

Abschließend sind die Ergebnisse der datenschutzrechtlichen Prüfung mit funktionalen Komponenten zu verbinden. So sind etwa Verbesserungsmaßnahmen derart möglich, dass die Intensität von Eingriffen gemindert wird oder die Menge der erhobenen Daten zu reduzieren ist. Dabei ist u.a. auf besonders riskante Datenverarbeitungen im Hinblick auf Betroffenenrechte und ebenso auf Management-Prozesse und technische Anpassungen einzugehen. Außerdem ist darauf zu achten, dass das DSMS sich in weitere Systeme und Prozesse innerhalb des Unternehmens, wie die interne Revision, Kooperation mit dem Betriebsrat und das Projektmanagement einfügt.

Umfang eines effektiven Datenschutzmanagementsystems

Datenschutzbeauftragter und Schulungen

Eine wichtige Funktion zur Umsetzung eines DSMS ist die Installation von Datenschutzbeauftragten, unabhängig davon ob die Bestellung des Datenschutzbeauftragten gesetzlich verpflichtend ist oder nicht. In diesem Zusammenhang ist es vor allem wichtig, dass Mitarbeiter wissen, wann und wie ein Datenschutzbeauftragter kontaktiert werden kann und insbesondere in welchen Fällen sie den Datenschutzbeauftragten konsultieren sollten.  Hierfür müssen Mitarbeiter (in der Regel durch den Datenschutzbeauftragten selbst) dafür sensibilisiert werden, in welchen Fällen personenbezogene Daten verarbeitet werden und wann ein besonderes Risiko für die Verletzung der Vorgaben der DSGVO besteht. Dies ist zum Beispiel im Kontext von Werbung ohne Einwilligung der Empfänger oder bei der Weitergabe von Kundendaten an externe Dienstleister der Fall. Auch Tracking- und Scoring-Verfahren sind hier zu nennen.

Für die Sensibilisierung von Beschäftigten bieten sich besonders Schulungen der Mitarbeiter durch den Datenschutzbeauftragten an. Dieser ist für die Einhaltung der Datenschutz-Grundverordnung unter anderem durch Unterrichtung der Beschäftigten über die DSGVO-Vorgaben verantwortlich. Schulungen ermöglichen es in komprimierter Form dieser Pflicht nachzukommen und zudem ebenfalls den Nachweispflichten der DSGVO für eine größtmögliche Sicherheit im Umgang mit personenbezogenen Daten gerecht zu werden. Zudem kann das oben beschriebene PCDA-Verfahren nur mit entsprechend geschulten Mitarbeitern gelingen.

Verzeichnis der Verarbeitungstätigkeiten und das PDCA-Verfahren

Die systematische Erfassung aller Fälle, in denen personenbezogene Daten verarbeitet werden, kann zudem die Grundlage für die Erstellung von Verfahrensverzeichnissen (VVT) darstellen. Nach der DSGVO ist es grundsätzlich die Pflicht von Unternehmen ein solches Verzeichnis der Verarbeitungstätigkeiten zu führen. In diesem Verzeichnis werden Angaben zu Zweck, Kategorie, Empfänger und Umfang der personenbezogenen Daten niedergelegt, die in einem Unternehmen verarbeitet werden. Damit stellt auch das Verfahrensverzeichnis einen weiteren Baustein zur Installierung eines Datenschutzmanagementsystems dar und kann leicht in das o.g. PDCA-Verfahren integriert werden. Dieser Zusammenhang besteht vor allem darin, dass durch das Verfahrensverzeichnis der Nachweis des Zweckbindungsgrundsatzes gelingen kann, also der Nachweis, dass Daten nur für den Zweck, zu dem sie zulässigerweise erhoben wurden, verarbeitet werden. Das Verzeichnis von Verarbeitungstätigkeiten erweist sich zudem im Umgang mit besonders sensiblen Daten, wie Gesundheitsdaten und Mitarbeiter- und Bewerberdaten als hilfreich um die Nachweispflichten der DSGVO zu erfüllen, wenn die Rechtgrundlage der Erhebung solcher Daten und etwa ein Fristen- und Löschsystem mit in das Verzeichnis aufgenommen werden. Damit kann zugleich ein gewichtiger Beitrag zu Schritt 3 (Beurteilen) geleistet werden.

Artikel 30 Abs.1 DSGVO enthält eine Übersicht über den Mindestinhalt eines solchen Verzeichnisses. Demgemäß müssen mindestens Name und Kontaktdaten des Verantwortlichen und seines Vertreters sowie des u.U. vorhandenen Datenschutzbeauftragten benannt werden. Weiterhin müssen Angaben zum Zweck der Datenverarbeitung, zu den Kategorien der verwendeten Daten, sowie zu Empfängern und möglichen Übermittlungen an Drittländer gemacht werden. Erstmals wird im Europäischen Datenschutzrecht in Artikel 30 Abs. 2 DSGVO eine entsprechende Pflicht auch für Auftragsdatenverarbeiter vorgeschrieben.

Das Verzeichnis ist schriftlich oder elektronisch anzufertigen und den Aufsichtsbehörden auf Anfrage zur Verfügung zu stellen. Wichtig ist es hierbei auch ein effektives Vertragsmanagementsystem zu implementieren. Alle Verträge, die die Grundlage für die Verarbeitung von personenbezogenen Daten darstellen, insbesondere für die Übertragung in Drittländer, sollten genau dokumentiert und die damit in Verbindung stehenden Datenverarbeitungen regelmäßig überprüft werden. Im Rahmen der VVT-Erstellung und Aktualisierung kann auch darüber entschieden werden, ob eine Datenschutz-Folgenabschätzung erforderlich ist.

Datenschutz-Folgenabschätzung

Ein weiteres Element zur Implementierung eines Datenschutzmanagementsystems stellt die Datenschutz-Folgenabschätzung dar. Besteht bei der Verarbeitung personenbezogener Daten ein besonders großes Risiko für die Rechte und Interessen Betroffener, haben Unternehmen im Voraus die Verarbeitung und ihre Folgen zu überprüfen. Stellen sie dabei besonders hohe Risiken fest, so ist eine Kooperation mit den Aufsichtsbehörden geboten, um diesen Risiken zu begegnen. Ein solches Risiko kann etwa aus dem Umfang, der Art oder der Aktualität von Daten erwachsen. Auch die Art und Weise der Verarbeitung, bspw. die Verwendung neuartiger Technologien, kann ein solches Risiko begründen.

Betroffenenrechte

Durch die Datenschutz-Grundverordnung haben sich die Betroffenenrechte erweitert. Neben dem Recht auf Auskunft, Löschung und Widerspruch, die bereits unter dem alten Bundesdatenschutzgesetz existierten, ist hierbei vor allem das Recht auf Datenübertragbarkeit zu nennen, das durch die DSGVO neu geschaffen wurde. Ein effektives DSMS muss für die Ausübung aller Betroffenenrechte effektive und leicht umsetzbare Maßnahmen vorsehen. Der Betroffene muss bereits vor der Datenverarbeitung wissen, wie er zu verfahren hat (konkreter Ansprechpartner, übersichtliches Beschwerdeformular etc.) um seine Rechte wahrzunehmen. Unternehmen sollten dabei ein Fristensystem einrichten um den Anfragen von Betroffenen gerecht zu werden. Kernprinzip der DSGVO ist der Transparenzgrundsatz. Betroffene müssen also in jedem Stadium der Datenverarbeitung wissen, was mit ihren Daten geschieht. Sie sind daher in einer leicht verständlichen Sprache darüber zu informieren. Die Datenschutzerklärung bietet einen geeigneten Rahmen um dieser Pflicht nachzukommen. Sie ist als „Aushängeschild“ eines effektiven Datenschutzmanagementsystems besonders genau auf DSGVO-Konformität zu überprüfen.

Fazit

Ein effektives Datenschutzmanagementsystem lässt sich durch ein effektives Verzeichnis der Verarbeitungstätigkeiten besonders gut vorbereiten, wenn dieses in den PDCA-Zyklus integriert wird. Legt man diesen Zyklus den regelmäßigen Überprüfungen der Verarbeitung personenbezogener Daten zugrunde, kann die Effektivität bestehender Maßnahmen in übersichtlicher Form verbessert werden und zugleich den Transparenz- und Informationspflichten der Datenschutz-Grundverordnung genüge getan werden.

Sie benötigen Beratung bei der Implementierung von Datenschutzmanagementsystemen & Verfahrensverzeichnissen? Vertrauen Sie auf die Expertise unserer ISiCO-Berater. Kontaktieren Sie uns.

Künstliche Intelligenz und Datenschutz – Anwendungsfälle 

Die denkbaren Anwendungsbereiche von Künstlicher Intelligenz (KI) sind vielfältig. Als Showstopper wird des Öfteren die Europäische Datenschutz-Grundverordnung (DSGVO) angeführt – dass dem nicht so ist, wollen wir mit folgendem Beitrag aufzeigen. Hierzu greifen wir ganz konkrete Einsatzgebiete Künstlicher Intelligenz auf, die bereits heute in zahlreichen Unternehmen bzw. Einrichtungen Realität sind – „trotz“ DSGVO. Anhand der Beispiele veranschaulichen wir eine Auswahl datenschutzrechtlicher Herausforderungen, die gemeistert werden müssen, um die jeweilige KI bedenkenlos einsetzen zu können.

Chatbots und digitale Assistenten als erste Anlaufstelle – die richtige Rechtsgrundlage ohne Conversion-Killer

Der Trend zur Ergänzung des Kundendienstes geht immer mehr in Richtung digitaler Assistenten, die Probleme und Bedürfnisse des Nutzers vorausschauend erkennen (sog. „Predictive analytics“) und proaktiv entsprechende Lösungsmöglichkeiten vorschlagen. Als prominente Beispiele für digitale Assistenten sind hier Alexa (Amazon), aber auch Siri (Apple) und Google Assistant (Google) zu nennen.

Damit ein Chatbot den Schritt vom sog. Machine Learning hin zum Deep Learning vollziehen kann, ist es zunächst erforderlich, dass große Mengen von Nutzerdaten gesammelt und für die Verwendung durch eine KI strukturiert bzw. aufbereitet werden. Die benötigten Daten erheben Unternehmen regelmäßig über das Eingabefeld des Chatfensters. Durch die sofortige Verknüpfung der Eingaben des Nutzers mit der IP-Adresse seines Endgerätes wird jedoch ein Personenbezug hergestellt, der den Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) eröffnet.

Die Verarbeitung personenbezogener Daten wiederum erfordert das Vorliegen einer Rechtsgrundlage. Im Falle von Chatbots bzw. digitalen Assistenten sind Einwilligungserklärungen zwar denkbar, die Umsetzung ist jedoch mit hohem Aufwand verbunden. Bevor der Chatbot überhaupt tatsächlich Hilfestellung leisten kann, muss er zunächst eine Einwilligung des Anfragenden einholen. Der Hilfesuchende hingegen möchte sich nicht erst mit datenschutzrechtlichen Informationen auseinandersetzen müssen, bevor er die Lösung für sein Problem geliefert bekommt.

Da der Chatbot regelmäßig erst auf Initiative des Ratsuchenden hin aktiv wird, können Unternehmen mit der richtigen Gestaltung stattdessen auf andere Rechtsgrundlagen zurückgreifen. Auf diese Weise kann der Chatbot sofort mit seiner eigentlichen Arbeit beginnen, da der Ratsuchende nicht erst umfassend aufgeklärt werden muss. Die Transparenz- und Informationspflichten erfüllen Verantwortliche im Falle von Chatbots dann üblicherweise über die Datenschutzerklärung und einem entsprechenden Hinweis.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Zuverlässigere Diagnose im Gesundheitssektor – frühzeitig Schutzvorkehrungen treffen

Künstliche Intelligenz hat vor allem im Gesundheitssektor das Potential, zu bedeutsamen Fortschritten, wenn nicht sogar Durchbrüchen, zu führen. Im Bereich bildgebender Verfahren können KIs bereits heute eingesetzt werden, um so die Arbeit eines Arztes erheblich zu erleichtern und zu ergänzen.

Grundvoraussetzung für den Einsatz von KIs ist immer, dass die Informationen, die analysiert werden sollen, bereits digitalisiert sind: CT-Scans, Elektrokardiogramme, Nahaufnahmen. Diese Grundvoraussetzung wird besonders im Gesundheitswesen in vielen Bereichen erfüllt.

Problematisch ist hierbei jedoch die Tatsache, dass Gesundheitsdaten – also besonders sensible Daten – verarbeitet werden. So werden zunächst große Mengen an Referenzdaten benötigt, um die KI zu trainieren. Um schließlich Unregelmäßigkeiten feststellen und eine Diagnose stellen zu können, muss die KI die Informationen des Patienten (z. B. in Form eines CT-Scans) mit den Referenzdaten abgleichen. In beiden Fällen handelt es sich also zunächst um personenbezogene Daten, da sie direkt einer natürlichen Person entstammen.

Für die Verarbeitung von Gesundheitsdaten statuiert die DSGVO besondere Beschränkungen. Insofern bedarf es entsprechender Schutzvorkehrungen. Der Fokus sollte auf einer Pseudo- oder bestenfalls Anonymisierung dieser Daten liegen. Eine Anonymisierung würde dazu führen, dass der Anwendungsbereich der DSGVO verlassen würde. Ist dies jedoch nicht möglich, sollten entsprechende Einrichtungen und Unternehmen sich auf den Einsatz anerkannter Pseudonymisierungstechniken konzentrieren, denn grundsätzlich honoriert die DSGVO jede Art risikominimierender Maßnahmen. Bei langfristig angelegten Studien oder ähnlichen Projekten empfiehlt sich der zusätzliche Einsatz eines „Trust Centers“. In diesem Fall ist eine Zuordnung der pseudonymisierten Daten nur durch Einbeziehung des Trust Centers, also eines Dritten, der die Zuordnungsregel sicher aufbewahrt, möglich.

Bereits im Rahmen der Entwicklungsphase sollten Unternehmen bzw. Einrichtungen das technische Fundament für den Schutz personenbezogener Daten legen – sog. „Datenschutz durch Technikgestaltung“ (Privacy by Design). Als hilfreich kann sich hier eine Datenschutz-Folgenabschätzung (DSFA) erweisen.  Aufgrund der potenziellen, hohen Risiken, die regelmäßig mit der Verarbeitung von Gesundheitsdaten einhergehen, besteht die Pflicht zur Durchführung einer DSFA besonders häufig im Gesundheitsbereich. Mit Hilfe einer DSFA lassen sich konkrete Risiken identifizieren und gezielt Schutzmaßnahmen treffen, um die Sicherheit der Daten zu gewährleisten.

Im Übrigen sollten Verantwortliche beim Einsatz von Künstlicher Intelligenz vor allem den umfangreichen Transparenzpflichten nach der Datenschutz-Grundverordnung nachkommen.

Kostengünstigere Ergebnisse durch automatisierte Entscheidungsfindung – Ausnahmetatbestände nutzen

Als weiteres Anwendungsgebiet von Künstlicher Intelligenz ist die automatisierte Entscheidungsfindung zu nennen. Diese Art und Weise der Datenverarbeitung beeinflusst unser Leben bereits heute – vor allem im Bereich der Kreditvergabe. Problematisch ist hierbei allerdings, dass die Entscheidungsfindung selbstlernender Algorithmen in vielen Fällen aufgrund ihres Blackbox-Charakters nicht vollständig nachvollzogen werden kann.

Mögliche Folge einer nicht nachvollziehbaren, vollautomatisierten Einzelfallentscheidung ist immer auch die Ausgrenzung oder gar Diskriminierung bestimmter Personen(kreise). Um betroffene Personen vor solcherlei Folgen zu schützen, schreibt die DSGVO vor, dass nicht ausschließlich ein Algorithmus entscheiden darf, sofern eine solche Entscheidung rechtliche Wirkung entfaltet. Vielmehr muss ein Mensch zwischengeschaltet werden, der gewissermaßen letztinstanzlich eine Entscheidung trifft. Das Ergebnis des sog. „ADM-Systems“ (ADM = Algorithmic Decision Making; algorithmische Entscheidungsfindung) darf insofern lediglich als Entscheidungshilfe herangezogen werden.

Unternehmen, die auf Kosteneinsparungen und teilweise sogar neutralere Entscheidungen nicht verzichten wollen, haben dennoch die Möglichkeit eine KI dergestalt einzusetzen, dass ein „human in the loop“ nicht notwendig ist: Denkbar ist erneut die Einholung einer Einwilligung der betroffenen Person – mit all ihren Nachteilen.

Deutlich einfacher gestaltet sich der Einsatz jedoch, wenn die Datenverarbeitung für den Abschluss oder die Erfüllung eines Vertrages zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist. Erforderlich in diesem Sinne ist eine automatisierte Entscheidungsfindung in jedem Fall dann, wenn sie als solche vertraglich vereinbart wird. Gleiches gilt für die Erfüllung einer gesetzlichen Pflicht. So statuieren Vorschriften aus dem Kreditwesengesetz und dem BGB im Falle von (Immobilien-)Verbraucherdarlehensverträgen eine Pflicht zur Durchführung einer Kreditwürdigkeitsprüfung auf Grundlage von Informationen zu Einkommen und Ausgaben sowie sonstigen relevanten Umständen. Eine vollautomatisierte Bonitätsprüfung dürfte zudem bei allen anderen Vertragsschlüssen als erforderlich zu qualifizieren sein, bei denen die Zahlungsfähigkeit des Vertragspartners ein entscheidendes Kriterium darstellt. Letztlich kommt es immer auf den konkreten Einzelfall an.

KI und Datenschutz schließen sich nicht aus

Die DSGVO stellt Verantwortlichen oftmals mehrere Rechtsgrundlagen zur Auswahl, auf die sie die jeweilige Verarbeitungstätigkeit stützen können. Die Vor- und Nachteile der einzelnen Rechtsgrundlagen sollten gegeneinander abgewogen werden. Die etwaige Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung, wie sie oft im Gesundheitsbereich besteht, sollte nicht als notwendiges Übel, sondern als Chance begriffen werden.

Die dargestellten Beispiele verdeutlichen also, dass die DSGVO mit ihren zahlreichen Anforderungen über den Umgang mit personenbezogenen Daten keineswegs den Einsatz von Künstlicher Intelligenz verhindert. Wer sich frühzeitig – also bestenfalls schon im Rahmen der Entwicklungsphase – Gedanken darüber macht, wie der konkrete Einsatz der KI mit der DSGVO in Einklang gebracht werden, der profitiert auch langfristig: Unnötige Folgekosten, die sich aus einer etwaigen Anpassung ergeben können, werden vermieden. Zudem kann das Risiko von Reputationsverlusten aufgrund mangelnder Sicherheit der Daten und eines etwaigen Datenschutzvorfalls wirksam eingedämmt werden.

Sie benötigen Beratungsbedarf zu Künstlicher Intelligenz und Datenschutz? Zögern Sie nicht uns zu kontaktieren!

Mehr zum Thema

  • Die wichtigsten Fragen zu Datenübermittlung an US-Dienste: Was bedeutet der neue EU-US Datenschutzrahmen für Unternehmen?

  • KI in der Logistik: Chancen, Herausforderungen und Datenschutzstrategien

  • KI im Recruiting: Chancen und Datenschutz-Risiken für Unternehmen

Cookie-Einwilligungen: Nach EuGH-Generalanwalt in Zukunft nur mit Opt-In zulässig?

In Deutschland wurde bisher noch generell von der Zulässigkeit der Opt-Out-Lösung ausgegangen. Danach sind Cookies zulässig, wenn der Nutzer auf sie hingewiesen wurden und ihnen nicht widersprochen hat. Der Gesetzgeber sieht das als vereinbar mit der Cookie-Richtlinie an.

Aktuell hat sich der EuGH-Generalanwalt Maciej Szpunar im Rahmen eines Vorabentscheidungsverfahrens in seinem Schlussantrag dazu äußern müssen, ob in dem konkreten Fall eine Opt-out Lösung mit europäischem Datenschutzrecht vereinbar ist (Schlussantrag v. 21.03.2019 – Az.: C-637/17). Seiner Einschätzung nach dürfen Cookies jedoch nur dann vom Webseitenbetreiber gesetzt werden, wenn dieser zuvor per Opt-In die Einwilligung des Besuchers eingeholt hat. Somit wären Opt-Out-Lösungen generell unzulässig.

Um welchen Fall handelte es sich?

Im konkreten Fall hatte der Verbraucherzentrale Bundesverband e.V. gegen einen deutschen Gewinnspielbetreiber geklagt. Dieser hat Einwilligungen seiner Webseitenbesucher in das Ausspielen personalisierter Werbung jeweils per Opt-Out eingeholt, indem die Checkbox, mit der die Einwilligung erteilt werden sollte, bereits angekreuzt war. Dies bedeutete für den Besucher, dass er nur aktiv werden musste, wenn er die Zustimmung nicht erteilen wollte. Nur dann musste er das gesetzte Kreuzchen aktiv per Mausklick entfernen.

Der Rechtsstreit war bereits in der letzten Instanz vor dem BGH angekommen. Dieser setzte das Verfahren allerdings aus und legte dem EuGH die Frage vor, ob diese konkrete Art und Weise Einwilligungen einzuholen mit europäischem Recht vereinbar ist. Wenn der EuGH die Frage beantwortet hat, wird das Verfahren vor dem BGH wieder aufgenommen.

Neben den EuGH-Richtern hat sich auch die Generalanwaltschaft des EuGH mit dem Fall und der Vorlagefrage zu befassen. Im vorliegenden Fall hat Generalanwalt Szpunar dazu die Cookie-Richtlinie und sowohl die Datenschutzrichtlinie als auch die DSGVO herangezogen. Da sich der Sachverhalt bereits 2013 zugetragen hat, ist das damalige Verhalten an der Datenschutzrichtlinie, das zukünftige Verhalten jedoch an der DSGVO zu messen, die seit dem 28.5.2018 die Richtlinie ablöst.

Der Inhalt des Schlussantrags: Opt-Out im konkreten Fall nicht mit EU-Recht vereinbar

Szpunar hat in seiner Beurteilung zunächst die gesetzlichen Vorgaben an eine Einwilligung in Cookies betrachtet und herausgearbeitet, dass diese nur eingehalten würden, wenn Einwilligungen ohne Zwang und in Kenntnis der Sachlage bzw. freiwillig und in informierter Weise erfolgen. Dies sei nicht der Fall, wenn der Nutzer nicht aktiv handeln muss, um seine Einwilligung zu erklären und somit erst Recht nicht, wenn er nur aktiv werden muss um sie nicht zu erteilen.

Des Weiteren hält Szpunar in seinen Äußerungen fest, dass eine Einwilligung immer gesondert erteilt werden müsse. Nur dann sei sie freiwillig und in Kenntnis der Sachlage erteilt. Im konkreten Fall hat der Nutzer jedoch nur eine Handlung vornehmen müssen und zwar die Teilnahme am Gewinnspiel per Mausklick zu bestätigen. Da das Kreuzchen für die Einwilligung schon vorhanden war, musste er nur ein Mal aktiv werden. Er hat also mit ein und derselben Handlung der Teilnahme am Gewinnspiel zugestimmt und die Einwilligung zum Setzen von Cookies erteilt. Dies erscheine wie eine alles umfassende Einwilligung, was nicht mit den Anforderungen an eine Einwilligung in Cookies vereinbar sei.
 

Welche Bedeutung hat der Schlussantrag für Cookie-Anwender?

Generalanwalt Szpunar hat sich eindeutig dazu geäußert, dass nun auch in Deutschland in bestimmten Konstellationen auf die strengere Opt-In-Lösung umgestellt werden müsse, damit die Anforderungen des europäischen Datenschutzrechts eingehalten werden.

An dieser Stelle ist jedoch darauf hinzuweisen, dass ein Urteil des EuGH in dem Fall noch nicht gefällt wurde. Die Generalanwälte schreiben ihre Stellungnahmen vor dem Urteil. Insbesondere müssen die EuGH-Richter der Auffassung in Schlussanträgen nicht folgen. Genauso wenig bindet der Schlussantrag im konkreten Fall die Anwender von Cookies. Erst, wenn das Urteil gefällt wurde und das Gericht der Meinung des Generalanwalts folgt, ist Klarheit gegeben.

Bisher sah es jedoch meistens so aus, dass die Richter den Schlussanträgen gefolgt sind. Daher empfiehlt es sich diesen Fall im Auge zu behalten, wenn man vorläufig weiterhin die Opt-Out-Lösung anwenden möchte. Cookie-Anwender sollten ohnehin Änderungen der Rechtslage verfolgen, denn in Zukunft wird auch die ePrivacy-Verordnung den Einsatz von Cookies regeln. Dort könnte die Opt-In-Lösung sowieso vorgeschrieben werden. Ob das jedoch wirklich so sein wird und wann die ePrivacy-Verordnung kommt, ist noch unklar.

Benötigen Sie eine Beratung oder haben Fragen zu diesem Thema? Sprechen Sie uns gerne an und wir helfen weiter!

 

Der Cybersecurity Act rückt näher – Welche Konsequenzen gibt es für Unternehmen?

Anfang Dezember 2018 haben sich die EU-Kommission, der Rat der EU und das EU-Parlament im Rahmen der sog. Trilogverhandlungen auf die Inhalte des Cybersecurity-Acts geeinigt .

Insbesondere wurde ein Kompetenzzuwachs für die Europäische Agentur für Netz- und Informationssicherheit (ENISA) beschlossen. Diese soll in Zukunft auch als Agentur der Europäischen Union für Cybersicherheit tätig werden. Als Agentur kommt ihr vor allem die Aufgabe zu, Bürger und Unternehmen bei der Umsetzung des Cybersecurity Acts zu unterstützen und diese Umsetzung zu koordinieren. Im Rahmen der Trilogverhandlungen wurde beschlossen die Anzahl der Mitarbeiter der ENISA von 84 auf 125 zu verdoppeln. Diese Erhöhung hängt vor allem mit der (neben der allgemeinen Unterstützung und Koordination) zweiten Aufgabe der ENISA in Bezug auf den Cybersecurity Act zusammen. Sie soll ermitteln und konkretisieren, wie die Zertifizierungssysteme für Cybersicherheit konkret ausgestaltet werden sollen.

Deutschland und der EU-Cybersecurity-Act

Aus nationaler Perspektive verläuft die Entwicklung eines „IT-Sicherheitsgesetzes 2.0“ in Deutschland aktuell parallel zu den EU-Bemühungen um den Cybersecurity Act. Auch das deutsche Gesetz, das noch in der ersten Jahreshälfte 2019 auf den Weg gebracht werden soll, sieht ein Zertifikationssystem für Produkte und Dienstleistungen vor. Es ist daher von großer Bedeutung, dass Deutschland innerhalb der EU darauf hinwirkt, dass es zu keiner – unübersichtlichen- Doppelung von Zertifikaten kommt, sondern dass die selben Anforderungen für Zertifikate in der EU und Deutschland herrschen. Da die EU aber bereits angekündigt hat mitgliedstaatliche Vorgaben bei der Ausgestaltung des Systems zur Zertifizierung zu berücksichtigen, sind die Weichen für ein solches Vorgehen gestellt. Darüber hinaus stellt sich die Frage, wie mit der aktuell im Rahmen des IT-Sicherheitsgesetzes 2.0 umstrittenen Pflicht zur Meldung für Sicherheitslücken umgegangen werden soll. Innerhalb der deutschen Politik ist umstritten, ob eine umfassende Meldepflicht eingeführt werden soll (so wohl die aktuelle Position des Bundesinnenministers https://www.golem.de/news/it-sicherheitsgesetz-2-0-wo-ist-das-meldegesetz-fuer-it-sicherheitsluecken-1812-138295.html) oder ob bestimmte Sicherheitslücken verschwiegen werden dürfen, um diese – heimlich – zu schließen oder bewusst offen zu lassen, um Hacker fassen zu können.

Würdigung und Diskussion der beschlossenen Veränderungen

Grundsätzlich bleibt es dabei, dass gerade deutsche Produkte innerhalb Europas bereits ein sehr hohes Sicherheitsniveau aufweisen und daher weniger Umstellungen befürchten müssen, um ein hohes Sicherheitszertifikat zu erhalten. Dies gilt umso mehr, als dass mitgliedstaatliche Vorgaben bei der EU-weiten Zertifizierung berücksichtigt werden sollen. Außerdem kann ein von der EU zertifiziertes Produkt außerhalb der EU als besonders sorgsam geprüft eingeordnet werden, wodurch die Zertifizierung Wettbewerbsvorteile schaffen würde.

Allerdings verlangen bereits einige Verbraucherschützer das Zertifizierungssystem in Richtung einer echten Produkthaftung auszuhaben. Dies hieße insbesondere, dass Hersteller entsprechender Soft- oder Hardware, Router etc. im Falle von Cyberangriffen oder sonstigen Lacks für die entstandenen Schäden haften, ohne dass es im konkreten Einzelfall auf ihr Verschulden ankommt. Dieser Gedanke kann nicht überzeugen. So müsste die Produkthaftung umso höher ausfallen, je sicherer ein Produkt zertifiziert ist, weil gerade in solchen Fällen Verbraucher und Unternehmen mehr Geld investieren und sich auf mehr Sicherheit verlassen, und es einem Grundgedanken der Produkthaftung entspricht, das Vertrauen der Erwerber in die Produkte zu schützen. Damit würden Hersteller besonders sicherer Produkte bestraft.

Fazit und Ausblick

Die Trilogverhandlungen haben zu einer Einigkeit bezüglich des dreistufigen Zertifizierungssystems geführt. Zudem sollen die Zertifizierungen anfänglich noch freiwillig bleiben. Allerdings wird die EU-Kommission untersuchen, welchen Effekt freiwillige Zertifizierungsvorgaben auf die Cybersicherheit haben. Es scheint wahrscheinlich, dass die Zertifizierungen ab 2023 verbindlich durchzuführen sind, sodass Unternehmen bereits jetzt die konkreten Entwicklungen um die Vorgaben für Zertifizierungen verfolgen und möglicherweise umsetzen sollten. Der Erfolg des Zertifizierungssystems steht und fällt mit Transparenz und Effektivität. Es ist daher wünschenswert, dass konkret umsetzbare Vorgaben von der EU entwickelt werden, die das Risiko erfolgreicher Cyberangriffe zu minimeren.

Brexit & DSGVO – Jetzt einer unsicheren Datenübertragung vorbeugen!

Jedes siebte deutsche Unternehmen verarbeitet selbst Daten in Großbritannien oder hat die Datenverarbeitung dahin ausgelagert. Im Falle eines Brexits gilt die DSGVO für Großbritannien nicht mehr. Wer jetzt jedoch mit einer erleichterten Datenverarbeitung rechnet, der irrt. Unabhängig von der Art und Weise des Austritts (Deal or No-Deal) würde Großbritannien im Falle eines Brexits aus datenschutzrechtlicher Perspektive als sog. „Drittland“ gegenüber Deutschland und der EU gelten. Auch Jürgen H. Müller, stellvertretender BfDI, hob im Rahmen der letzten Sitzung des Europäischen Datenschutzausschusses (EDSA) hervor, dass ein Brexit ohne entsprechenden Deal mit großen datenschutzrechtlichen Risiken verbunden sei. Die DSGVO sieht für Datenübertragungen und Verarbeitungen in Drittländern nämlich spezielle Regelungen vor, auf die sich Unternehmen einstellen müssen. In diesem Artikel soll ein Überblick über die wichtigsten Regelungen gewährt werden. 

Hintergrund: Warum dürfen Daten in Drittländer nur in Ausnahmefällen exportiert werden?

Der europäische Gesetzgeber geht davon aus, dass außerhalb des Anwendungsbereichs der  DSGVO grundsätzlich kein mit der EU vergleichbares bzw. „angemessenes“ Datenschutzniveau besteht. Allerdings bestehen Ausnahmen vom grundsätzlichen Verbot des Exportierens von Daten in Drittländer. Personenbezogene Daten dürfen dann übermittelt werden, wenn

  • in dem Empfangsstaat ein angemessenes Datenschutzniveau gewährleistet ist,
  • der Datenimporteur (also das empfangende Unternehmen oder der empfangende Unternehmensteil bei Konzernen) ein angemessenes Datenschutzniveau durch geeignete Garantien herstellt oder
  • die Datenübermittlung einer anderen Ausnahmeregelung nach der DSGVO unterliegt.

Rechtliche Bewertung

Angemessenes Datenschutzniveau im Drittland

Das (objektive) Vorliegen eines angemessenen Datenschutzniveaus im Drittland genügt nicht, um eine Datenübertragung in dieses Land zu rechtfertigen. Hinzukommen muss ein sog. „Angemessenheitsbeschluss“ der EU-Kommission gemäß Artikel 46 DSGVO. Angemessenheitsbeschlüsse existieren vorliegend aber nur für wenige Länder, am wohl unsichersten bezüglich seines zukünftigen Bestandes ist dabei der Angemessenheitsbeschluss mit den USA (EU-US-Privacy-Shield), da dessen Effektivität von der EU zunehmend in Frage gestellt wird.

Liegt ein Angemessenheitsbeschluss vor, folgt daraus aber noch nicht automatisch, dass alle Datenübermittlungen in das jeweilige Drittland von nun an zulässig sind. Vielmehr richtet sich die Zulässigkeit der Datenübermittlung nach den Vorgaben des Beschlusses bzw. des ihm zugrunde liegenden Vertrages mit dem Drittland.

Aktuell ist davon auszugehen, dass angesichts der bisherigen Zugehörigkeit von Großbritannien zur EU, in Großbritannien bisher ein angemessenes Datenschutzniveau besteht und dieses auch nach dem Brexit noch in einem Maße vorliegen wird, so dass zumindest baldige Verhandlungen über einen Angemessenheitsbeschluss naheliegen. Die Angemessenheit wurde aber noch nicht festgestellt und die Beschlussfassung stellt regelmäßig einen langwierigen Prozess dar. Für Unternehmen ist ein Angemessenheitsbeschluss jedoch aus verschiedenen Gründen risikobehaftet. So kann es sein, dass kein Angemessenheitsbeschluss zustande kommt. Weiterhin kann es sein, dass der Angemessenheitsbeschluss für den Zweck der jeweiligen Verarbeitung des deutschen Unternehmens nicht greift (etwa, weil der Datenimporteur nicht zertifiziert und gelistet ist, wie sich am Beispiel EU-US-Privacy-Shield zeigt). Außerdem muss ein Angemessenheitsbeschluss alle vier Jahre überprüft werden. Angemessenheitsbeschlüsse sind damit zwar sehr wirksame Instrumente für den Datenfluss in Drittländer, allerdings mit einer gewissen Unsicherheit behaftet, wenn diese auch im Falle von Großbritannien weniger groß ausfallen dürfte als im Falle der USA. Demnach ist es für Unternehmen wichtig, auch Alternativen für rechtmäßige Datenübertragungen in Drittländer in Erwägung zu ziehen.

In Vorbereitung auf einen harten Brexit kündigte die Regierung in Großbritannien an, per Gesetz die wesentlichen Regelungen der DSGVO (in angepasster Form) zu übernehmen. Die Regierung geht davon aus, dass dadurch ein Angemessenheitsbeschluss durch die EU-Kommission mit hoher Wahrscheinlichkeit zustande kommt. Dieser Beschluss ist jedoch noch nicht verabschiedet worden, so dass immer auch alternative „Garantien“ immer in Betracht gezogen werden sollten.

Binding Corporate Rules

Als erste Alternative für Konzerne kommen selbst erarbeitete verbindliche Unternehmensregelungen zum Datenschutz, die Binding Corporate Rules (BCR). Die DSGVO erkennt die BCR in Artikel 47 ausdrücklich als Möglichkeit für einen rechtmäßigen Datentransfer in Drittländer an. Dabei müssen die BCR allerdings von der EU-Kommission genehmigt werden. Sollten Unternehmen sich für diese Möglichkeit entscheiden, die besonders für größere Unternehmen und Konzerne interessant ist, sollten sie bereits jetzt entsprechende BCR erarbeiten und der Kommission zur Prüfung vorlegen. Die Regierung in Großbritannien kündigte für den Fall eines harten Brexits ebenfalls an, existierende BCR auch im nationalen Recht anzuerkennen, wodurch diese auch insoweit weiterhin ihre Gültigkeit behalten werden und nicht gegen das nationale Recht Großbritanniens verstoßen.

Da man mit Auftragsverarbeitern die (nur innerbetrieblich geltenden) BCR nicht vereinbaren kann, ist allerdings auch eine Alternative zu den BCR notwendig.

Standardvertragsklauseln

Standardvertragsklauseln sind von der EU-Kommission erarbeitete und zur Verfügung gestellte Verträge. Sie enthalten Klauseln, bei deren Einhaltung das in der EU geltende Datenschutzniveau gewährleistet sein soll. Einzutragen sind in den jeweiligen Verträgen, die auf der Homepage der Kommission zum Download zur Verfügung stehen, allerdings noch die jeweiligen Konkretisierungen des Einzelfalles, wie die zu verarbeitenden Daten, der Empfänger, usw. Werden solche von der Kommission entworfenen Standardvertragsklauseln gewählt, bedürfen sie nicht mehr der gesonderten Genehmigung durch die Kommission im Einzelfall. Sie können genehmigungsfrei genutzt werden. Zu beachten ist aber, dass solche Klauseln nur für den Fall der Datenübermittlung aus der EU in ein Drittland angewendet werden dürfen.

Für Unternehmen, die insoweit vom Brexit betroffen sind, stellen Standardvertragsklauseln eine gute Möglichkeit dar, um sich auf den Brexit vorzubereiten. Werden sie für die jeweils relevante Situation der Datenübertragung als passend eingeordnet, stellen sie eine rechtssichere Alternative zu einem möglichen Angemessenheitsbeschluss dar. Zu beachten ist dabei aber, dass der von der Kommission vorgegebene Vertragstext weder geändert noch gekürzt werden darf. Die Regierung in Großbritannien verweist ausdrücklich darauf, dass bisher von der Kommission entwickelte Standardvertragsklauseln auch nach dem Brexit eine anwendbare Rechtsgrundlage für den Datentransfer zwischen Großbritannien und der EU darstellen.

Die bisher abgeschlossenen Auftragsverarbeitungsverträge (AVV) werden allein keinen Bestand mehr haben, so dass Unternehmen sich schnellstmöglich um den Abschluss neuer Verträge kümmern sollten.

Vertreter für den Datenschutz

Wichtig ist, dass sowohl nach der DSGVO als auch nach dem Recht Großbritanniens für Unternehmen, die in größerem Umfang Daten im jeweils anderen Rechtsgebiet verarbeiten, die Pflicht besteht, einen Vertreter für Datenschutz im jeweils anderen Rechtsgebiet installieren zu müssen. Dieser fungiert dann als zentrale Anlaufstelle für alle datenschutzrechtlich relevanten Fragen

Weitere Ausnahmen

Neben den oben genannten Möglichkeiten kommt eine Datenübermittlung in Betracht, wenn der Betroffene ausdrücklich und in voller Kenntnis der Sachlage der Übermittlung zustimmt. Da exportierende Unternehmen häufig selbst nicht wissen, was mit ihren Daten passiert, ist diese Alternative risikobehaftet. Im Falle von Datenübertragungen an bisherige Empfänger in Großbritannien könnte die Einwilligungs-Ausnahme jedoch eingreifen, da das deutsche exportierende Unternehmen im Zweifel vollumfänglich über die Weiterverarbeitung aufklären kann. Demgegenüber ist bei den Ausnahmen der „zwingenden Unternehmensinteressen“ und der Übermittlung zur „Erfüllung eines Vertrages“ Vorsicht geboten, weil die DSGVO hier strenge Kriterien anlegt, die etwa bei einem regelmäßigen Datenaustausch im Rahmen einer laufenden Geschäftsbeziehung nicht erfüllt sein dürften

Fazit und Handlungsempfehlung

Unternehmen, die Daten in Großbritannien verarbeiten oder die Datenverarbeitung dorthin ausgelagert haben, müssen angesichts des Brexits keine Panik entwickeln. Vielmehr kann mit guter Vorbereitung – v. a. über Binding Corporate Rules oder Standardvertragsklauseln – bereits jetzt der Grundstein für eine rechtmäßige Datenübertragung auch nach dem Brexit gelegt werden. Die kürzlich durch den EDSA verabschiedeten Leitlinien zu Codes of Conducts können der Vollständigkeit halber ergänzend herangezogen werden.

Hohes Bußgeld für DSGVO-Verstöße: Eine gerechte Strafe für Google?

Am 21. Januar 2019 verhängte die französische Datenschutzbehörde CNIL eine Geldstrafe in Höhe von 50 Millionen Euro gegen Google auf Grundlage des Art. 83 DSGVO wegen mangelnder Transparenz, unzureichender Informationen und fehlender gültiger Zustimmung zur Personalisierung von Anzeigen. Hierbei handelt es sich um das erste nennenswerte DSGVO-Bußgeld seit dem Wirksamwerden der Verordnung im Mai 2018.

Die Behörde wurde aufgrund von Gruppenbeschwerden der Verbände None Of Your Business („NOYB“) und La Quadrature du Net („LQDN“) tätig, die Google vorwarfen, keine gültige Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten der Nutzer seiner Dienste zu haben, insbesondere für die Personalisierung von Anzeigen.

Die Entscheidung der CNIL bietet einigen Anlass zur Diskussion, insbesondere über die Zuständigkeit der französischen Datenschutzbehörde und der rechtlichen Begründung der  vorgeworfenen Datenschutzverstöße.

Wie ist das Vorgehen der CNIL rechtlich zu bewerten und was bedeutet es für datenverarbeitende Unternehmen?

Die festgestellten Verstöße: Mangelnde Transparenz, Information und Zustimmung

Nachdem die Beschwerden der Verbände bei der CNIL eingegangen waren, führte diese im September 2018 eine Online-Inspektion durch, bei der die Übereinstimmung der von Google durchgeführten Verarbeitungen mit dem französischen Datenschutzgesetz und der DSGVO überprüft werden sollte.

Zunächst stellte die Behörde fest, dass die von Google bereitgestellten Informationen für die Nutzer nicht leicht zugänglich seien. Wesentliche Informationen, wie die Zwecke der Datenverarbeitung oder Aufbewahrungsfristen, seien übermäßig über mehrere Dokumente verteilt, mit Schaltflächen die geklickt werden müssten, um auf ergänzende Information zugreifen zu können (teilweise seien 5-6 Aktionen erforderlich gewesen).

Zudem seien einige Informationen nicht immer klar und umfassend. Die Benutzer seien nicht in der Lage, den Umfang der von Google durchgeführten Verarbeitungen vollständig zu verstehen, was daran liege, dass die Beschreibung der Zwecke der Verarbeitung zu allgemein und vage erfolge.

Weiterhin beanstandet die Behörde das Fehlen einer Rechtsgrundlage für die Personalisierung von Anzeigen. Zwar habe Google eine Zustimmung des Nutzers erhalten. Allerdings genüge diese den Anforderungen der DSGVO nicht. Vor Abgabe seiner Einwilligung muss der Nutzer gemäß Art. 7 DSGVO über alle zukünftigen Verarbeitungsvorgänge ausführlich und leicht verständlich informiert werden. Aufgrund der Vielzahl von Google-zugehörigen Anwendungen, bei denen Daten des Nutzers verarbeitet werden (z.B. Google-Suche, YouTube, Gmail, Maps, Play Store), sei es ihm nicht möglich, alle Verarbeitungen und Kombinationen zu kennen. Eine so entstehende Generaleinwilligung widerspreche nach Ansicht der CNIL den Vorgaben der DSGVO.

Wie sind die Feststellungen der CNIL zu bewerten? Was müssen Unternehmen beachten?

Zunächst ist festzuhalten, dass sich die französische Datenschutzbehörde durchaus an die Vorgaben der DSGVO gehalten hat, die Begründungen entsprechen den Grundsätzen der Verordnung. Allerdings erfolgte die Auslegung der einzelnen Vorgaben teils sehr streng, sodass eine Bewertung der einzelnen Aussagen erfolgen sollte. Im Großen und Ganzen waren, unabhängig von der Frage der Zuständigkeit, zwei Bereiche ausschlaggebend für die Entscheidung der CNIL:

  1. Die Datenschutzerklärung

Google wird vorgeworfen eine unübersichtliche Datenschutzerklärung bereitgestellt zu haben. Die DSGVO stellt in Art. 13 einige (vage) Anforderungen an den Inhalt und Aufbau einer Datenschutzerklärung. So müssen alle Informationen bezüglich der Datenverarbeitung enthalten sein, dargestellt in übersichtlicher und für den Betroffenen verständlicher Art und Weise. Google hat hier zwei Wege gewählt. Zum einen kann die Datenschutzerklärung im Ganzen als PDF- Datei heruntergeladen werden, mit einem Umfang von 32 Seiten. Zudem stellt Google die Datenschutzerklärung in einer Art Menü zur Verfügung, wobei die Erklärung in separate Kapitel unterteilt wird, wie zum Beispiel „Von Google erhobene Daten“ oder „Datenschutzeinstellungen“. Zusätzlich wird für jedes Kapitel ein Video bereitgestellt, welches den Inhalt des Kapitels erklärt. Auch sind die von der CNIL monierten Links enthalten, die den Leser zu weiteren Informationen führen.

Tatsächlich ist die Begründung der Behörde hier nur schwer nachzuvollziehen, zumal die gewählte Art und Weise der Darstellung Textlängen reduziert und die Koordination für den ungeübten Leser erleichtert. Allerdings liegt die Behörde richtig, wenn sie eine zu hohe Anzahl von erforderlichen Aktionen kritisiert, insbesondere wenn es darum geht, die für den Betroffenen üblicherweise entscheidenden Informationen preiszugeben. Unternehmen, die eine ähnliche Art der Darstellung für ihre Datenschutzerklärung gewählt haben, sollten darauf achten, dass besonders relevante Informationen bereits auf den ersten Seiten zu finden sind. Weniger Relevantes kann wiederum im Hinblick auf die Übersichtlichkeit auf hintere Seiten verschoben werden.

Weiterhin beanstandet die Behörde die zu allgemeinen und vagen Formulierungen bezüglich des Umfangs der verarbeiteten Daten. Die richtigen Formulierungen für die Datenschutzerklärungen zu wählen gehört derzeit noch zu den schwierigsten Herausforderungen bei der Umsetzung der DSGVO. Denn einerseits sollen die Informationen für jeden Leser verständlich, anderseits aber auch vollständig sein. Aus Sicht der CNIL ist Google das insbesondere in Bezug auf die Zwecke der Verarbeitung nicht gelungen. Den „goldenen Weg“ zur perfekten Formulierung wird zum jetzigen Zeitpunkt wohl niemand zu 100 % beschreiben können – dafür fehlt die Erfahrung mit Behörden und Vorgaben durch die Rechtsprechung. Mit Blick auf die Entscheidung der CNIL ist wohl anzunehmen, dass fehlende Informationen schwerer als komplizierte Formulierungen wiegen. Ob dies für die Praxis der bessere Weg ist, werden zukünftige Entscheidungen zeigen.

  1. Die Einwilligung

Neben der mangelhaften Information und Transparenz beanstandete die Behörde das Einholen der Einwilligung in die Datenverarbeitung durch den Betroffenen. Sie führt an, dass bei der Erstellung eines Google-Accounts bereits einige Voreinstellungen installiert sind, ohne dass der Nutzer aktiv die Einwilligung erteilt hätte. Üblicherweise geschieht dies durch das Ankreuzen eines Kästchens (Opt-in). In den Konfigurationen von Google sei dies zum Beispiel für die Anzeige von personalisierter Werbung bereits angekreuzt, ohne Zutun des Nutzers. Dieser hat lediglich die Möglichkeit, die Voreinstellung wieder zu deaktivieren (Opt-out). Die Opt-out- Methode verstößt gegen die Vorgaben der DSGVO, die für die Einwilligung eine eindeutige bestätigende Handlung des Einwilligenden verlangt. Generell verlangt die CNIL, so wie auch alle anderen EU- Datenschutzbehörden, dass Nutzer im Rahmen von Einwilligungen in jeden einzelnen Verwendungszweck gesondert einwilligen können müssen. Die pauschale, einmalige Einwilligung in alle Verarbeitungszwecke, wie Google sie sich holt, ist nach CNIL mit der DSGVO nicht in Einklang zu bringen.

Die CNIL stützt sich in ihrer Begründung lediglich auf die Einwilligung als mögliche Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten der Nutzer. Allerdings sollten hier weitere Rechtsgrundlagen in Betracht gezogen werden, wie z. B. Art. 6 Abs. 1 lit. b. DSGVO, der eine Verarbeitung legitimiert, wenn sie auf Grundlage eines Vertrages erfolgt. Bekannterweise liegt das wirtschaftliche Geschäftsmodell von Google hauptsächlich in der Verarbeitung von personenbezogenen Daten, wie z.B. personalisierten Anzeigen. Deshalb ist es nicht abwegig, die Eröffnung eines Google-Kontos als den Abschluss eines „Vertrags gegen Daten“ einzuordnen, der die Verarbeitung der Daten des Nutzers ermöglicht.

Die Frage der Zuständigkeit

Unmittelbar nach der Entscheidung stellte sich die Frage, ob die französische Datenschutzbehörde in dieser Angelegenheit überhaupt örtlich zuständig war. Für die DSGVO gilt der sog. „One-Stop-Shop-Mechanismus“, der vorsieht, dass ein in der EU niedergelassenes Unternehmen nur einen Ansprechpartner hat, nämlich die Datenschutzbehörde des Landes, in dem sich seine „Hauptniederlassung“ befindet. Der europäische Hauptsitz von Google befindet sich in Irland, mit der Folge, dass laut DSGVO eigentlich die irischen Datenschutzbehörden federführend sein müssten.

Dennoch sah sich die CNIL im Recht ein Bußgeld verhängen zu dürfen, denn nach ihrer Ansicht habe die EU-Unternehmenszentrale in Irland in Bezug auf die konkret beanstandeten Datenverarbeitungen keine eigene Entscheidungsbefugnis, da die wesentlichen Vorgaben dafür in der globalen Unternehmenszentrale in den USA getroffen würden.

Diese Begründung ist allerdings mit Vorsicht zu genießen, da die Gefahr besteht, dass der One-Stop-Shop-Mechanismus und damit die geordnete und koordinierte EU-weite Anwendung der DSGVO, ausgehöhlt würde, wenn Datenschutzbehörden anderer Mitgliedsstaaten dem Vorgehen der CNIL folgen sollten, wenngleich der CNIL-Ansatz interessant ist.

Wie bereits bekannt wurde, hat Google gegen die Entscheidung der CNIL Widerspruch eingelegt, sodass eine erneute Prüfung, auch zur Frage der örtlichen Zuständigkeit, stattfinden wird.

Fazit

Die Entscheidung der CNIL macht allen Unternehmen unmissverständlich klar, dass die DSGVO-Schonfrist abgelaufen ist und Behörden vom Sanktionskatalog des Art. 83 nun Gebrauch machen. Ob die Strenge der Gesetzesauslegung und die Höhe des Bußgeldes im vorliegenden Fall zur allgemeinen Beruhigung beiträgt darf bezweifelt werden, zumal noch Rechtsmittel eingelegt werden können und abgesehen von den zwei Problembereichen insbesondere die Zuständigkeit der CNIL noch strittig und nicht abschließend geklärt ist. Allerdings sollte bedacht werden, dass das wirtschaftliche Modell von Google fast ausschließlich auf das umfangreiche und kommerzielle Verarbeiten von personenbezogenen Daten ausgerichtet ist. Schon deshalb ist ein strenger Maßstab nicht unbedingt abwegig, wobei allerdings der Fokus nicht nur auf die Einwilligung als Rechtsgrundlage gelegt werden sollte (Stichwort: Daten gegen Vertrag). Der weitere Ablauf des Verfahrens, insbesondere die möglichen Gerichtsentscheidungen und Reaktionen von Behörden anderer Mitgliedsstaaten, werden weiteren Aufschluss darüber geben, wie sich Unternehmen zukünftig im Datenschutzbereich positionieren müssen.

DSGVO, KI und Co.: Die beliebtesten ISiCO-Artikel 2018

Das Jahr 2019 ist bereits in vollem Gange, trotzdem möchten wir Ihnen noch einen kleinen redaktionellen Rückblick auf das vergangene Jahr schenken, in welchem wir die beliebtesten Artikel aus unserem Blog präsentieren. Dies nehmen wir zum Anlass, um uns bei unseren treuen Lesern zu bedanken, welche sich im Jahr 2018 bei uns über aktuelle Geschehnisse und Rechtsprechungen in den Themenbereichen Datenschutz und IT-Sicherheit informiert haben.

1. Platz: DSGVO-Umsetzung: Aktueller Gesetzesstand der EU-Mitgliedsländer: Update 

Auf dem ersten Platz und damit der beliebteste Artikel 2018 ist ein DSGVO-Thema und befasst sich mit der Umsetzung der Datenschutz-Grundverordnung in den einzelnen EU-Mitgliedsländern. Prinzipiell ist die DSGVO in den EU-Mitgliedsländern die Primärquelle für die Klärung datenschutzrechtlicher Fragen. Die DSGVO sieht allerdings eine Vielzahl von Öffnungsklauseln vor, die den Mitgliedstaaten Rechtsetzungsbefugnisse einräumen.
Wie weit die Länder die Datenschutz-Grundverordnung umgesetzt haben, erfahren Sie in unserem laufend aktualisierten Beitrag.

2. Platz: Die DSGVO kommt: das sollten Unternehmen jetzt beachten

Dieser Beitrag erhält die Silber-Medaille der beliebtesten Blogbeiträge 2018 und ist nach wie vor ein Dauerbrenner: Was müssen Unternehmen im Zusammenhang mit der Datenschutz-Grundverordnung beachten? Was ist eine Datenschutzerklärung? Wie gehe ich mit Datenpannen um und wann muss ich diese den Aufsichtsbehörden melden? Antworten auf diese Fragen finden Sie bei uns!

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

3. Platz: DSGVO: Verzeichnis der Verarbeitungstätigkeiten – Dokumentationspflichten

Eine Maßnahme zur Einhaltung des Datenschutzes, welche in der DSGVO aufgegriffen wird, ist die Dokumentation von Datenverarbeitungen. Wie genau ein Verzeichnis der Verarbeitungstätigkeiten auszusehen hat und welche Komponenten berücksichtigt werden müssen, erfahren sie in unserem Beitrag.

4. Platz: Artificial Intelligence & Datenschutz: Was bedeutet die DSGVO für Künstliche Intelligenz?

Neben der Datenschutz-Grundverordnung war das Jahr 2018 geprägt von weitreichenden Neuerungen im Bereich der künstlichen Intelligenz. Künstliche Intelligenz bei selbstfahrenden Autos oder die Nutzung einer KI beim Kampf gegen Krankheiten waren nur einige Entwicklungen, mit denen wir – nicht nur – 2018 konfrontiert waren. Wir sehen: Künstliche Intelligenz ist längst ein Bestandteil unseres Alltages. Dass dabei Unmengen an teils sensiblen Daten anfallen, dürfte niemanden verwundern. Daher stellt der datenschutzkonforme Einsatz von Künstlicher Intelligenz eine große Herausforderung dar.

5. Platz: Datenschutzrechtliche Anforderungen an Gesundheits- und Fitness-Apps

Wie hoch ist mein Puls? In welchem Rhythmus schlägt mein Herz? Diese und weitere Fragen möchten die Nutzer von Smartphones und anderen technologischen Tracking-Tools in Sekundenschnelle erfahren. Daher ist es nicht verwunderlich, dass sich solche Messgeräte immer größerer Beliebtheit erfreuen. Doch es werden immer wieder Stimmen laut, die diesen Trend kritisieren, da bestimmte Regelungen des Datenschutzes nicht eingehalten werden. Doch welche datenschutzrechtliche Anforderungen werden an Gesundheits- und Fitness-Apps gestellt?

Wie unschwer zu erkennen ist, war die Datenschutz-Grundverordnung DAS Thema 2018, welches Unternehmen, Behörden und Privatpersonen beschäftigt hat. Nach nunmehr einem halben Jahr, nachdem die DSGVO Anwendung gefunden hat, sind längst noch nicht alle offenen Fragen geklärt worden.
Alle Neuigkeiten rund um den Datenschutz und die DSGVO finden Sie bei uns im News-&-Wissen-Bereich, in dem wir Sie über alle Rechtsprechungen und Neuerungen informieren und aufklären. Bleiben Sie dran!

Die größten DSGVO-Mythen zum Datenschutzbeauftragten: was stimmt?

Die DSGVO verfolgt u.a. das Ziel das Datenschutzniveau innerhalb der EU zu vereinheitlichen und damit auch zur Rechtsklarheit beizutragen. Allerdings ist dieses Ziel zum Teil durch viele, gut gemeinte Beiträge zur Auslegung der DSGVO verwässert worden. Die Auslegung der DSGVO-Vorgaben sorgt nach wie vor für große Unsicherheit. Dazu gehört auch die Frage, in welchen Fällen ein Datenschutzbeauftragter (DSB) bestellt werden muss und welche Aufgaben ihm tatsächlich zukommen. Welche Mythen sind rund um den DSB verbreitet und was stimmt wirklich?

Mythos 1: Alle Unternehmen brauchen jetzt einen Datenschutzbeauftragten!

Das stimmt so nicht. Es gibt keine pauschale Bestellpflicht für Unternehmen.
Die DSGVO regelt ausdrücklich die Fälle, in denen ein Datenschutzbeauftragter bestellt werden muss, Art 37 DSGVO. Dies wird durch das Bundesdatenschutzgesetz (§ 38 BDSG) bzgl. nicht-öffentlicher Stellen ergänzt.
Dabei kann die Größe des Unternehmens ausschlaggebend sein. So müssen Unternehmen nach dem BDSG einen Datenschutzbeauftragten bestellen, wenn „mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt sind. Hauptkriterium ist jedoch die Frage, in welchem Umfang und zu welchem Zweck personenbezogene Daten verarbeitet werden.
Doch es gibt auch Fälle, in denen kein Datenschutzbeauftragter erforderlich ist. Dies erfasst vor allem Unternehmen, die zwar personenbezogene Daten verarbeiten, diese aber nicht zu einer regelmäßigen und systematischen Überwachung von Personen führt, oder keine besonderen Kategorien personenbezogener Daten verarbeitet werden. Nach dem BDSG kann dies auch von der Unternehmensgröße abhängen.

Mythos 2: Unternehmen mit weniger als 10 Mitarbeitern müssen niemals einen Datenschutzbeauftragten bestellen.

FALSCH! Unabhängig von der Mitarbeiterzahl haben Unternehmen immer dann einen Datenschutzbeauftragten zu bestellen, wenn sie besonders sensible Daten, wie Angaben zur sexuellen Orientierung oder Gesundheitsdaten verarbeiten, Art. 37 Abs. 1 lit. c) DSGVO.
Weiterhin ist ein Datenschutzbeauftragter in allen Fällen zu bestimmen, in denen eine Datenschutz-Folgenabschätzung erforderlich ist, § 38 Abs. 1 S. 2 BDSG. In Fällen, in denen ein erhöhtes Risiko für die Rechte des Betroffenen an informationeller Selbstbestimmung besteht – also immer dann, wenn ein Eingriff in die Privatsphäre besonders tiefgreifend ist – ist eine Datenschutz-Folgenabschätzung durchzuführen. Ein Beispiel hierfür ist die Video-Überwachung von Mitarbeitern.

Mythos 3: Ein Datenschutzbeauftragter ist immer dann zu bestellen, wenn ein Unternehmen in seiner Kerntätigkeit personenbezogene Daten verarbeitet!

Nein, das allein reicht nicht aus. Neben der Regelung in der DSGVO, regelt das BDSG, dass ein Datenschutzbeauftragter dann bestellt werden muss, wenn ein Unternehmen mindestens zehn Mitarbeiter beschäftigt, die in ihrer Kerntätigkeit personenbezogene Daten verarbeiten, und diese „aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen“, § 38 Abs. 1 S. 1 BDSG.
Dabei kommt es nicht darauf an, wie häufig personenbezogene Daten von diesen Mitarbeitern verarbeitet werden. Es kann auch Bestandteil der Kerntätigkeit von Mitarbeitern sein, nur einmal im Monat personenbezogene Daten zu verarbeiten. Irrelevant ist zudem die konkrete Art des Anstellungsverhältnisses. Wichtig ist die Weisungsgebundenheit der Mitarbeiter, die auch bei Mitarbeitern in Teilzeit gegeben ist.

Mythos 4: Ob ein Datenschutzbeauftragter bestellt werden muss, hängt nur von der Tätigkeit des „Verantwortlichen“ ab!

Nein! Die DSGVO bestimmt ausdrücklich, dass bei der Beurteilung des Risikos für die Rechte und Interessen der betroffenen Person auch die Tätigkeit von Auftragsverarbeitern berücksichtigt werden muss. Der Verantwortliche oder der Auftragsverarbeiter müssen beispielsweise einen Datenschutzbeauftragten benennen, wenn besonders sensible Daten umfangreich verarbeitet werden.

Mythos 5: Der Datenschutzbeauftragte muss ein Mitarbeiter des betroffenen Unternehmens sein!

Das muss er nicht! Der Datenschutzbeauftragte kann auch ein externer Dienstleister sein. Die DSGVO regelt ausdrücklich, dass der Datenschutzbeauftragte nach seiner Qualifikation und nicht danach ausgewählt wird, ob er bei dem Unternehmen angestellt ist. Die Bestellung eines externen Datenschutzbeauftragten kann sogar aufgrund der damit einhergehenden Objektivität und Neutralität von Vorteil sein und auch innerhalb des Bußgeldverfahrens der DSGVO das Risiko des Fahrlässigkeitsvorwurfes mindern.

Mythos 6: Jedes Unternehmen einer Unternehmensgruppe (eines Konzerns) hat einen eigenen Datenschutzbeauftragten zu bestellen.

Nein, warum auch? Die DSGVO regelt ausdrücklich, dass Unternehmen einer Unternehmensgruppe auch einen gemeinsamen Datenschutzbeauftragten bestellen können, Art. 37 Abs. 2 DSGVO. Dies hat sogar viele Vorteile, etwa eine Übersicht über die Weitergabe von Daten an der Schnittstelle von verschiedenen Tochterunternehmen, die gerade besonders große Risiken für die Verletzung personenbezogener Daten aufweist.

Mythos 7: Der Datenschutzbeauftragte muss seinen Sitz innerhalb der EU haben.

Das stimmt zwar nicht, ein Sitz innerhalb der EU kann aber vorteilhaft sein. Dies resultiert aus den Aufgaben des Datenschutzbeauftragten nach der DSGVO.
Der DSB ist vor allem für die Aufklärung der Mitarbeiter über die datenschutzrechtlichen Vorgaben der DSGVO und die Einhaltung der DSGVO durch das Unternehmen verantwortlich. Um diese Aufgaben zu erfüllen, sollten keine sprachlichen Barrieren und fehlende rechtliche Kenntnisse bestehen, die jedenfalls bei einem Sitz außerhalb der EU eher anzunehmen sind. Die Aufklärung der Mitarbeiter kann besonders effizient durch Schulungen durchgeführt werden, für die sprachliche oder rechtliche Defizite erhebliche Folgen hätten. Zudem ist es erforderlich, dass der Datenschutzbeauftragte ohne unzumutbare Hindernisse (also bei leichter Erreichbarkeit) auch tatsächlichen Zugang zum Unternehmen hat, um etwa die Einhaltung der DSGVO-Vorgaben zu begutachten. Von einem unzumutbaren Hindernis ist z.B. dann auszugehen, wenn der Konzerndatenschutzbeauftragte länger als einen Tag für die Anreise zu einem bestimmten Unternehmen braucht. Auch dies kann bei einem Sitz außerhalb der EU unter Umständen bezweifelt werden. Unternehmen setzen sich einem unnötigen Risiko aus, wenn sie es hier „darauf ankommen lassen“. Der Fahrlässigkeitsvorwurf innerhalb des Bußgeldverfahrens kann dann nicht mehr ohne Weiteres widerlegt werden. Die leichte Erreichbarkeit muss zudem nicht nur gegenüber den einzelnen Unternehmen bestehen, sondern auch für Betroffene und Aufsichtsbehörden.

Mythos 8: Bei Verletzung der DSGVO haftet der Datenschutzbeauftragte und nicht das Unternehmen!

Das stimmt nicht! Neben der Aufklärung der Mitarbeiter hat der Datenschutzbeauftragte in Kooperation mit den Aufsichtsbehörden die Einhaltung der DSGVO im Unternehmen zu überwachen. Bei Verletzung dieser Pflicht haftet das ihn beauftragende Unternehmen. Darüber hinaus haften Unternehmen, wenn sie den Datenschutzbeauftragten bei der Erfüllung seiner Pflicht nicht ausreichend unterstützen, ihm also etwa keinen Zugang zu bestimmten innerbetrieblichen Prozessen gewähren. Demgemäß besteht für Unternehmen sogar ein doppeltes Haftungsrisiko.

Mythos 9: Aus der Nichtbestellung eines Datenschutzbeauftragten erfolgt keine Konsequenz!

Falsch! Die Nichtbestellung eines Datenschutzbeauftragten, trotz Bestellungspflicht, kann allein und für sich betrachtet die Bußgelder der DSGVO von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes ausmachen, je nachdem welcher Betrag höher ausfällt. Zudem kann das Bußgeld dadurch erhöht werden, dass die Aufsichtsbehörden die Nichtbestellung als (grob) fahrlässigen Verstoß gegen das Datenschutzrecht der DSGVO, in schwerwiegenden Fällen sogar als bedingt vorsätzlichen Verstoß werten. Sollten die Bußgelder für die Nichtbestellung bereits verhängt worden sein und erst später ein (weiterer) Verstoß (z.B. die Nichtbeantwortung von Betroffenenanfragen) erfolgen und immer noch kein Datenschutzbeauftragter bestellt worden sein, haben Unternehmen daher unter Umständen doppelte Bußgelder zu zahlen.

Fazit und Handlungsempfehlung

Die DSGVO verfolgt mit der Bestellung von Datenschutzbeauftragten einen risikobasierten Ansatz. Ist das Risiko für die Rechte und Interessen von Betroffenen bei der Verarbeitung von personenbezogenen Daten besonders hoch, ist eher von einer Bestellpflicht auszugehen. Zusätzlich sind auch der Zweck und Umfang der Datenverarbeitung ausschlaggebend. Die Unternehmensgröße ist zunächst zweitrangig. Aktuell wird unter Bezugnahme auf eine Öffnungsklausel der DSGVO eine Bestellpflicht für Datenschutzbeauftragte in Deutschland diskutiert. Unternehmen sollten die entsprechende Diskussion im Bundesrat zum Datenschutz-Anpassungsgesetz daher genau beobachten und nicht vorschnell von der Bestellung eines Datenschutzbeauftragten absehen (s. zum Entwurf des federführenden Ausschusses für innere Angelegenheiten und des Wirtschaftsausschusses des Bundesrates.)

Weitere Artikel zu den DSGVO-Mythen:

Schluss mit den DSGVO-Mythen!

Datenschutz-Anpassungsgesetz – Wann muss ein Datenschutzbeauftragter bestellt werden?

Artikel-Update, 18.12.2019: Das 2. Datenschutz-Anpassungsgesetz: Änderungen bei DSB und BDSG

Seit dem 25.05.2018 wirkt die Datenschutz-Grundverordnung (DSGVO). Die DSGVO dient vor allem der Angleichung und Vereinheitlichung des Datenschutzniveaus in Europa. Damit soll auch ein Forum-Hopping durch Unternehmen vermieden werden. Dennoch enthält die DSGVO an zahlreichen Stellen sog. Öffnungsklauseln, mittels derer den nationalen Gesetzgebern Spielräume zur Konkretisierung einzelner DSGVO-Vorgaben eingeräumt werden. Um diese Öffnungsklauseln besser als bisher auszunutzen sowie zur Anpassung von Begriffsbestimmungen und Verweisen arbeitet der deutsche Gesetzgeber aktuell an einem zweiten Datenschutz-Anpassungsgesetz. Bezüglich der Frage, wann ein Datenschutzbeauftragter bestellt werden muss, gibt es dabei Unklarheiten, in die dieser Beitrag Licht bringen soll.

Hintergrund: Wie ist die Bestellung von Datenschutzbeauftragen in der DSGVO geregelt?

Erfordert die „Kerntätigkeit“ des Verantwortlichen oder des Auftragsverarbeiters „aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung“ von Personen, so sind die verantwortlichen Unternehmen bzw. ihre Auftragsverarbeiter zur Bestellung eines Datenschutzbeauftragten verpflichtet (vgl. Art. 37 Abs. 1 (b) DSGVO). Gemeint sind damit – wie bereits nach dem alten BDSG – v.a. Unternehmen, die mit Daten als „Ware“ handeln, also Auskunfteien, Adresshandelsunternehmen, Meinungsforscher etc.

Die Artikel-29-Datenschutzgruppe, die sich aus Vertretern aller Datenschutzbehörden der EU zusammensetzte führte aus, dass sich eine „umfangreiche“ Überwachung im Sinne des Art. 37 DSGVO v.a. an der Anzahl der überwachten Personen, der Datenmenge, der Verarbeitungsdauer und der geografischen Reichweite der Datenverarbeitung bemisst.

Daneben verlangt Art. 37 Abs. 1 (c) DSGVO auch dann die Bestellung eines Datenschutzbeauftragten, wenn das verantwortliche Unternehmen oder der Auftragsverarbeiter einer Kerntätigkeit nachgehen, die in Zusammenhang mit der umfangreichen Erhebung besonders sensibler Daten gemäß Art. 9 DSGVO (z.B. über Herkunft oder Religion) oder strafrechtlicher Verurteilungen gemäß Art. 10 DSGVO steht

Das neue BDSG konkretisierte die Anforderungen an die Bestellung eines Datenschutzbeauftragten in § 38 Abs. 1 S. 1 und 2 BDSG dahingehend, dass einer zu bestellen ist, soweit regelmäßig mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Daneben ist ein Datenschutzbeauftragter zu bestellen, wenn aufgrund der Verarbeitung eine Datenschutzfolgenabschätzung nach der DSGVO erforderlich ist. Dies ist v.a. dann der Fall, wenn aufgrund der Art oder des Umfangs der Verarbeitung ein besonders hohes Risiko für die Rechte und Interessen des Betroffenen besteht. Zudem regelt § 38 Abs. 1 S. 2 BDSG, dass dann ein Datenschutzbeauftragter zu bestellen ist, wenn „personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung“ verarbeitet werden. Im letzten Fall hat die Bestellung unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen zu erfolgen.

Problem: Aktuelle Reformvorschläge

Nach dem aktuellen Vorschlag des federführenden Ausschusses für innere Angelegenheiten und des Wirtschaftsausschusses des Bundesrates wird dem Bundesrat nahegelegt, für eine Reform der Bestellpflicht des Datenschutzbeauftragten zu stimmen. Die Mitarbeiterzahl soll danach kein Kriterium mehr für die Bestellpflicht sein. Nur, „soweit personenbezogene Daten geschäftsmäßig oder zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung“ verarbeitet werden, soll ein Datenschutzbeauftragter bestellt werden. Damit sollen v.a. kleinere und mittlere Unternehmen, aber auch Freiberufler und Organisationen, die überwiegend aus ehrenamtlichen Mitarbeitern bestehen, wie z.B. Vereine, entlastet werden. Die Vergleichbarkeit mit europäischen Wettbewerbern sei nicht gewährleistet, wenn in Deutschland zusätzliche Kosten durch die Bestellung von Datenschutzbeauftragten entstünden. Datenschutzbeauftragte sollen also v.a. von Unternehmen bestellt werden, die Daten geschäftsmäßig zum Zweck der Übermittlung verarbeiten. Ausdrücklich genannt sind Auskunfteien, Adresshandelsunternehmen und Markt- und Meinungsforschungsinstitute. Nur für diese Unternehmen und in Fällen, in denen (für alle Unternehmen) eine Datenschutz-Folgenabschätzung notwendig ist, wird das Risiko für Betroffenenrechte als groß genug eingeschätzt, um eine Bestellpflicht zu installieren.

Als Hilfsempfehlung nennt der Vorschlag der beiden Ausschüsse eine Begrenzung der Bestellpflicht von Unternehmen, die mindestens 10 Mitarbeiter mit der Verarbeitung von Daten beschäftigen, für Fälle, in denen „die Verarbeitung gewerblichen Zwecken dient“.

Eine weitere Hilfsempfehlung möchte die bisherige Fassung des § 38 Abs. 1 S. 1 erhalten, allerdings die Bestellpflicht von 10 auf 50 Mitarbeiter erhöhen. Auch damit sollen kleinere und mittlere Unternehmen sowie Freiberufler und Ehrenämter entlastet werden. Vor allem weil der Datenschutzbeauftragte überwiegend als Beratungs- und Kontrollorgan diene, müssten sich Unternehmen datenschutzrechtliche Kenntnisse nämlich ohnehin aneignen. Auch hier sollen keine Nachteile im europäischen Wettbewerb entstehen.

Stellungnahme

Die Vorschläge des federführenden Ausschusses für innere Angelegenheiten und des Wirtschaftsausschusses des Bundesrates können nicht vollständig überzeugen. Die Bestellung eines Datenschutzbeauftragten kann zwar mit Kosten verbunden sein, vermeidet jedoch unter Umständen die hohen Bußgelder der DSGVO. Die Artikel-29-Datenschutzgruppe führt in ihrer Stellungnahme zur Verhängung von Bußgeldern aus, dass die Vorbereitung des Unternehmens auf die Einhaltung der DSGVO zu berücksichtigen sind. So kann sich die Bestellung eines Datenschutzbeauftragten positiv auf die Bußgeldhöhe auswirken.

Zudem kann der Datenschutzbeauftragte die Einhaltung der DSGVO an der Schnittstelle verschiedener Unternehmensbereiche koordinieren und damit das Risiko für Verstöße senken, das gerade in diesem Bereich (v.a. bei der Weitergabe von Daten zwischen einzelnen Unternehmensteilen) auch bei kleineren und mittleren Unternehmen – wie Start-Ups – besonders hoch ist.

Zur Vermeidung von Datenschutzverstößen und zur Information der Mitarbeiter über Veränderungen im Datenschutzrecht sind Schulungen dringend geboten. Auch diese Aufgabe kann vom Datenschutzbeauftragten übernommen werden. Es stellt sogar einen Vorteil im europäischen Wettbewerb dar, wenn ein Unternehmen als besonders sicher im Umgang mit personenbezogenen Daten gilt.

Die Artikel-29-Datenschutzgruppe empfiehlt Unternehmen zudem bereits die interne Analyse, ob ein Datenschutzbeauftragter bestellt werden muss, zu dokumentieren. Damit kann ein Nachweis über das Bemühen um die Einhaltung der Vorgaben der DSGVO geführt werden und es können Bußgelder minimiert oder verhindert werden. Auch diese Empfehlung belegt, dass die Bestellung eines Datenschutzbeauftragten nicht allein an Kostenaspekten gemessen werden darf.

Viele Unternehmen, v.a. regulierte Unternehmen wie Banken, arbeiten zudem nur mit Unternehmen zusammen, die über einen Datenschutzbeauftragten verfügen. Damit versuchen sie ebenfalls ihren Pflichten zur Einhaltung der DSGVO nachzukommen. Auch aus diesem Grund empfiehlt sich die Bestellung eines Datenschutzbeauftragten, möchte man auf diese Zusammenarbeit nicht verzichten.

Fazit und Handlungsempfehlung

Die Vorschläge der beiden Ausschüsse des Bundesrates sind zum einen noch weit davon entfernt in Gesetzeskraft zu erwachsen. Es bleibt abzuwarten, ob der Bundesrat ihnen folgt bzw. für welche der teils unterschiedlichen Empfehlungen er sich entscheidet. Ebenso bleibt abzuwarten, ob und wie sich Bundestag und Bundesrat einigen werden.

Unternehmen sollten daher das Gesetzgebungsverfahren zum Datenschutz-Anpassungsgesetz genau verfolgen und keinesfalls voreilig auf die Bestellung von Datenschutzbeauftragten verzichten.

Verbandsklagen und die DSGVO: kleiner Schaden, große Wirkung?

Die DSGVO gilt noch nicht einmal ein halbes Jahr, da ist in Brüssel schon die nächste Gesetzgebungsinitiative mit Datenschutzbezug im Rollen. Diesmal geht es um eine Richtlinie, die u.a. Verbandsklagen bei Datenschutzverstößen erleichtern soll. Bei Verstößen gegen die DSGVO sollen also nicht nur Betroffene selbst, sondern auch Verbände, die eine Vielzahl von Betroffenen vertreten, unter erleichterten Voraussetzungen im Namen der Betroffenen klagen dürfen. Dieser Artikel soll einen Überblick darüber geben, was Verbandsklagen sind, welche Neuerungen die geplante Richtlinie bringt und ob die Sorgen von Unternehmen vor Millionenklagen wirklich berechtigt sind.

Hintergrund: Was sind Verbandsklagen?

Mit Verbandsklagen soll es bestimmten Verbraucherschutzverbänden möglich sein bei Verstößen gegen die DSGVO kollektive Ansprüche geltend zu machen, d.h. im Namen einer Vielzahl von Nutzern zu klagen. Dabei sind nicht alle Verbände klageberechtigt. Nach der geplanten „Richtlinie zum Schutz der Kollektivinteressen der Verbraucher“, deren erster Entwurf im Juli 2018 von der EU-Justizkommissarin vorgelegt wurde, müssen klageberechtige Verbände bestimmte Voraussetzungen erfüllen. Demnach muss der klageberechtige Verband nach dem Recht eines Mitgliedstaates gegründet und in dortigen offiziellen Verzeichnissen als Verband geführt werden. Zudem muss der Verband nachweisen, dass er u.a. dem Zweck dient, die Einhaltung des Rechts der EU zu gewährleisten und darf keine kommerziellen Absichten, speziell keine Gewinnerzielungsabsicht, verfolgen. Sind diese Voraussetzungen erfüllt, kann ein Verbraucherschutzverband im Namen einer Vielzahl von Verbrauchern auch bei Verstößen gegen die DSGVO klagen und so deren Ansprüche bündeln.

Rechtliche Problematik: Ausdehnung des Verbandsklagerechts auf Schadensersatzansprüche

Zwar müssen sich Unternehmen auch nach der aktuellen Rechtslage in Deutschland auf Verbandsklagen bei Verstößen gegen das Datenschutzrecht einstellen. Allerdings sind diese Klagerechte, die sich aus dem UWG (Gesetz gegen den unlauteren Wettbewerb) und dem UKlaG (Unterlassungsklagengesetz) ergeben, nicht auf Schadensersatzansprüche, sondern v.a. auf Unterlassungsansprüche ausgerichtet. Auch die DSGVO selbst ermöglicht zwar bei Verstößen Verbandsklagen nach dem Recht der Mitgliedstaaten, schließt aber ausdrücklich Verbandsklagen auf Schadensersatz aus.

Die neue Richtlinie bezieht sich nicht nur ausdrücklich auch auf Verstöße gegen die DSGVO, sondern ermöglicht darüber hinaus auch Verbandsklagen auf Schadenersatz. Dies stellt im europäischen und deutschen Recht eine Neuerung dar, da Verbandsklagen bisher v.a. dem Zweck dienten Ungleichgewichte zwischen Unternehmen wie Facebook und einzelnen Nutzern insoweit auszugleichen, als dass diese bei Verstößen gegen das Datenschutzrecht erfolgreich auf Unterlassung klagen können, ohne etwa zu hohe Prozesskosten befürchten zu müssen. Schadensersatzansprüche waren ausdrücklich aus dem Verbandsklagerecht ausgenommen, da Verbandsklagen nicht dem Ziel dienen sollten, Betroffenen die Durchsetzung von Geldansprüchen zu erleichtern.

Der Schadensersatzanspruch besteht nach der geplanten Richtline bei allen Verstößen gegen die DSGVO sowie gegen Vorschriften der Mitgliedstaaten, die die DSGVO konkretisieren, wie es bspw. beim BDSG neu in Deutschland der Fall ist. Dabei sind sowohl Verstöße erfasst, die materielle Schäden bei Betroffenen herbeiführen, als auch solche Verstöße, die immaterielle Schäden bewirken.

Doppelte Härte: Neue Beweislastregeln

Die geplante Richtline enthält zudem eine Beweislastumkehr zugunsten der klagenden Verbände: Der Betroffene (bzw. der klagende Verband) muss nur noch darlegen, dass das Unternehmen an der Datenverarbeitung beteiligt war, ein Schaden entstanden ist und die Datenverarbeitung grundsätzlich geeignet war diesen Schaden herbeizuführen.  Ansprüche können dabei sowohl gegen das verantwortliche Unternehmen als auch gegen Auftragsverarbeiter geltend gemacht werden. Es muss nicht konkret nachgewiesen werden, dass die Datenverarbeitung durch das Unternehmen oder den Auftragsverarbeiter und der daraus folgende Verstoß gegen die DSGVO den Schaden tatsächlich auch herbeigeführt hat. Vielmehr ist es die Pflicht des beklagten Unternehmens den Beweis zu erbringen, dass die eigene Datenverarbeitung einen solchen Schaden gerade nicht herbeigeführt hat.

Haben Unternehmen jetzt eine Flut von Verbandsklagen zu befürchten?

Grundsätzlich ist durch die Möglichkeit, auch Schadensersatzansprüche im Wege der Verbandsklage geltend zu machen und durch die neue Beweislasterleichterung für Verbände, ein erhöhtes Risiko von Verbandsklagen anzunehmen. Allerdings handelt es sich beim bisherigen Vorgehen der Kommission nur um einen Richtlinienvorschlag. Dieser muss noch von Parlament und Rat bestätigt werden, also das gesamte EU-Gesetzgebungsverfahren durchlaufen. Danach haben Mitgliedstaaten noch zwei Jahre Zeit die Richtlinie in nationales Recht umzusetzen. Auf diesem Wege kann es noch zu Abmilderungen der aktuell von der Kommission geplanten Regelungen kommen.

So hat der nationale Gesetzgeber nach dem bisherigen Entwurf der Richtlinie die Möglichkeit bei deren Umsetzung in nationales Recht eine „Mandatierung“ zur Voraussetzung der Verbandsklage zu machen. Das hieße, dass Verbände nur solche Betroffenen vertreten dürfen, die ihnen vorher auch ein Mandat hierzu übertragen haben. Die Befürchtung von Unternehmen, dass sich kleinere Schäden im einstelligen Euro-Bereich gegenüber einzelnen Betroffenen, durch die Vielzahl der von Verbindenden vertretenen Betroffenen, schnell zu Millionenklagen ausweiten können, sind daher zu relativieren. Die Mandatierung kann für Betroffene eine mögliche Hemmschwelle darstellen und daher die Zahl der von Verbänden Vertretenen deutlich reduzieren.

Fazit und Handlungsempfehlung

Die Sorge vor Millionenklagen mit schwierigen Beweislastregeln sind vor dem Hintergrund der strengen Anforderungen an die Klageberechtigung von Verbraucherverbänden und die mögliche Regelung zur Mandatierung somit insgesamt zu relativieren. Unternehmen sollten den Gesetzgebungsprozess weiter beobachten. Es scheint möglich, dass der europäische Gesetzgeber noch einige Anpassungen, auch auf prozessualer Ebene vornimmt, um die strengen Beweislastregeln etwas abzumildern.

 

Schluss mit den DSGVO-Mythen!

Seit dem 25.05.2018 gilt die DSGVO. Vor und nach diesem Zeitpunkt wurden viele Mythen über ihre Folgen verbreitet. Richtig ist, dass die DSGVO hohe Bußgelder vorsieht. Richtig ist auch, dass es im Vergleich zur vorher geltenden Rechtslage einige Unterschiede zu beachten gilt. Falsch ist aber, dass alle im Zusammenhang mit der DSGVO geäußerten Befürchtungen auch für jedes Unternehmen gelten. In diesem Beitrag wollen wir mit einigen DSGVO-Mythen aufräumen.

Bußgelder:

Verstöße gegen die DSGVO führen immer zu Bußgeldern von 20 Millionen Euro oder 4% des Jahresumsatzes

Das stimmt so nicht! Bei Verstößen gegen die DSGVO kann es je nach Art des Verstoßes auch zu Bußgeldern von bis zu 20 Millionen Euro oder 4% des Jahresumsatzes kommen. Allerdings berücksichtigt die DSGVO die Art des Verstoßes, Vorsatz oder Fahrlässigkeit und das Verhalten des Unternehmens nach Bekanntwerden des Verstoßes. In der Regel werden Bußgelder daher niedriger ausfallen als 20 Millionen Euro oder 4% des Jahresumsatzes. So führt Artikel 83 explizit die wirtschaftlichen Verhältnisse und Verhältnismäßigkeit bei der Verhängung von Bußgeldern als Kriterien an. Richtig ist aber, dass der Bußgeldrahmen im Vergleich zur vorherigen Rechtslage nach dem Bundesdatenschutzgesetz deutlich gestiegen ist.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

USA:

Die DSGVO verbietet Datenübertragungen in die USA

Die DSGVO verbietet grundsätzlich alle Datenübertragungen in nicht-sichere Drittländer, also solche Länder deren Datenschutzniveau unterhalb demjenigen der DSGVO liegt. Dazu gehören grundsätzlich auch die USA. Allerdings erlaubt die DSGVO unter anderem dann Datenübertragungen in solche Länder, wenn für sie ein Angemessenheitsbeschluss der Kommission besteht. Auf der Grundlage des sog. US-EU-Privacy-Shield, innerhalb dessen die USA den Schutz der Daten von EU Bürgern zusagten, kam ein solcher Beschluss der Kommission zustande. Damit erlaubt die DSGVO aktuell Datenübertragungen in die USA. Der Beschluss unterliegt einer mindestens einmal jährlich stattfindenden gemeinsamen Überprüfung durch die EU- und US-Behörden. Richtig ist allerdings, dass der EU-US-Privacy-Shield aktuell heftiger Kritik vom Europäischen Parlament und weiteren europäischen Vertretern ausgesetzt ist. Ob er in Zukunft bestehen bleibt, ist aktuell unsicherer denn je. Unter Umständen muss die Grundlage, auf der eine Datenübertragung in die USA gemäß der DSGVO zulässig ist, für die Zukunft neu bewertet werden.

Datenschutzbeauftragter:

Jedes Unternehmen muss einen Datenschutzbeauftragten haben

Das stimmt nicht! Die DSGVO regelt klar in welchen Fällen ein Datenschutzbeauftragter bestellt werden muss. Daraus folgt im Umkehrschluss, dass es auch Fälle gibt, in denen eine solche Bestellung nicht zwingend erforderlich ist. Grundsätzlich gilt, dass Unternehmen, die mehr als 10 Mitarbeiter beschäftigen, deren Kerntätigkeit in der Verarbeitung personenbezogener Daten besteht einen Datenschutzbeauftragten bestellen müssen. Darüber hinaus wird eine Bestellung vor allem dann erforderlich, wenn vom Unternehmen besonders sensible Daten (wie Gesundheitsdaten) verarbeitet, öffentliche Räume beobachtet , und Daten in großem Umfang weiterveräußert werden. Zusätzlich bedarf es eines Datenschutzbeauftragten, wenn allgemein ein großes Risiko für die Verletzung der Rechte und Interessen von Personen an ihren personenbezogenen Daten besteht und daher eine Datenschutzfolgenabschätzung durchgeführt werden muss.

Fotos:

Fotos von Personen bedürfen immer deren vorherige Einwilligung

Das stimmt nicht. Fotos, die zum Privatgebraucht gemacht werden, bedürfen auch dann keiner Einwilligung, wenn sie innerhalb einer geschlossenen Whats-App-Gruppe oder anderweitig durch Passwörter geschützten Bereich des Internets veröffentlicht werden. Zudem sind die Presse-, Kunst- und Meinungsfreiheit als verfassungsrechtlich geschützte Rechte zu beachten, die es unter Umständen ermöglichen können, auch Fotos von Personen ohne deren Einwilligung zu veröffentlichen. Auch Unternehmen können sich grundsätzlich auf diese Grundrechte berufen.

Einwilligung:

Die Einwilligung muss immer schriftlich eingeholt werden

Im Gegensatz zur alten Rechtslage nach dem BDSG muss eine Einwilligung nach der DSGVO gerade nicht schriftlich eingeholt werden. Vielmehr kann sie auch mündlich oder elektronisch bzw. in „sonstiger Form“ erteilt werden. Nach der DSGVO genügt ausdrücklich eine „eindeutig bestätigende Handlung“. Dabei sollten Unternehmen jedoch darauf achten, dass sie nach der DSGVO die Beweispflicht für das Vorliegen einer Einwilligung trifft. Sie sollten also eine Einwilligungsform wählen, die dokumentiert werden kann. Dazu genügt beispielsweise das Anklicken eines Kästchens (Opt-In). Nicht ausreichend ist es dagegen, wenn ein standardmäßig aktiviertes Kästchen erst deaktiviert werden muss. Ein solches Opt-Out stellt einen klaren DSGVO-Verstoß dar und ist bußgeldbewehrt.

Ohne Einwilligung sind Datenverarbeitungen nach der DSGVO unzulässig

Diese Fehlvorstellung gehört zu den häufigsten und trifft nicht zu. Die DSGVO sieht neben der Einwilligung vor allem die Interessenabwägung als Möglichkeit für eine rechtmäßige Datenverarbeitung vor. Dabei werden die Interessen des beteiligten Unternehmens (auch wirtschaftlicher Art) gegen die Rechte und Interessen der betroffenen Person abgewogen. Die DSGVO erkennt dabei die Direktwerbung ausdrücklich als berechtigtes Interesse von Unternehmen an. Zudem besteht die Möglichkeit einer gesetzlichen Erlaubnis für die Datenverarbeitung (z.B. durch Vertrag). Eine Einwilligung ist daher in vielen Fällen nicht zwingend erforderlich.

Auftragsverarbeitung:

Wenn Daten an andere Unternehmen zwecks Verarbeitung weitergegeben werden, liegt eine Auftragsverarbeitung vor

Das stimmt nicht. Eine Auftragsverarbeitung liegt nur vor, wenn Daten an ein Drittunternehmen übertragen werden und dieses die Daten sodann weisungsgebunden für das verantwortliche Unternehmen und in dessen Interesse verarbeitet. Klassische Beispiele sind das Outsourcing von Lohnabrechnungen oder der Newsletterversand durch externe Agenturen, denen Kunden-E-Mail-Adressen übertragen werden. In diesem Fall ist ein Auftragsverarbeitungsvertrag wichtig um den Zweck der Datenverarbeitung festzulegen und Haftungsfragen zu klären. Je genauer diese Regelungen ausfallen, umso eher kann sich das verantwortliche Unternehmen bei Verstößen des Auftragsverarbeiters, etwa gegen den Zweck der Verarbeitung, exkulpieren. Verarbeitet dagegen das empfangende Unternehmen Daten im eigenen Interesse und ohne Weisungen zu unterliegen, liegt keine Auftragsverarbeitung vor und ein Auftragsverarbeitungsvertrag ist nicht notwendig. Bei der Weitergabe als „Offenlegung“ handelt es sich natürlich um eine DSGVO relevante Verarbeitung von persönlichen Daten.

E-Mail-Verschlüsselung:

Unternehmen dürfen nur noch mittels verschlüsselter E-Mails kommunizieren

Das stimmt so nicht. Nur, wenn besonders sensible Daten, wie Gesundheitsdaten übermittelt werden, müssen E-Mails verschlüsselt werden. Eine Verschlüsselung ist auch dann geboten, wenn die übermittelten Daten aus anderen Gründen besonders schutzbedürftig sind.

Handlungsempfehlung

Unternehmen sollten sich nicht von allen Mythen um die DSGVO in Panik versetzen lassen. In Zweifelsfällen kann rechtliche Beratung zu ein paar kleineren Anpassungen führen, die das Risiko von DSGVO-Verstößen erheblich minimieren.

Weitere Artikel zu den DSGVO-Mythen:

Die größten DSGVO-Mythen zum Datenschutzbeauftragten: was stimmt?

Wir melden uns bei Ihnen!

In unserer Datenschutzerklärung finden Sie weitere Informationen, wie wir mit Ihren personenbezogenen Daten umgehen und welche Rechte Sie haben.