Binding Corporate Rules – eine Möglichkeit zur sicheren Datenübermittlung?

Binding Corporate Rules (BCR) sind bei der Übermittlung von Daten innerhalb multinationaler Unternehmen und Konzernen ein wichtiges Werkzeug. Insbesondere weil die Zulässigkeit von EU-Privacy Shield und Standardvertragsklauseln und damit darauf aufbauende Datenübermittlungen in Drittländer immer wieder in Frage gestellt werden.

Hintergrund

Unternehmen müssen bei Datenübermittlungen in Drittländer die DSGVO und deren Schutzniveau einhalten (Art. 44 DSGVO). Der Zweck dahinter ist, dass die Betroffenen Personen auch bei Übermittlung in Drittländer ihre Rechte wirksam durchsetzen sollen. Um dies zu gewährleisten sieht die DSGVO mehrere Möglichkeiten vor: ein Angemessenheitsbeschluss, Verwendung von Standardvertragsklauseln oder Erstellen von Binding Corporate Rules. Angemessenheitsbeschlüsse werden durch die Europäische Kommission erlassen, wenn das Datenschutzniveau des betreffenden Drittlandes die Voraussetzungen in Art. 45 Abs. 2 DSGVO erfüllt, wie z.B. die Existenz und die wirksame Funktionsweise einer oder mehrerer unabhängiger Aufsichtsbehörden. Dadurch sind Datenübermittlungen in das Drittland möglich und es bedarf keiner weiteren gesonderten Genehmigung.

Jedoch bestehen lediglich für einige wenige Drittländer solche Angemessenheitsbeschlüsse, weswegen vor allem auch Standardvertragsklauseln verwendet werden. Standardvertragsklauseln bieten bei Datenübermittlungen ein angemessenes Datenschutzniveau und können bei Auftragsverarbeitungen wirksam vereinbart werden.

Binding Corporate Rules – ein Kind der 90er

Ein weiteres Instrument bei Datenübermittlung in Drittländer sind die sogenannten Binding Corporate Rules, welche in der DSGVO ausdrücklich geregelt sind (als „unternehmensinterne[n] Datenschutzvorschriften“ in Art. 47 DSGVO). Darunter sind selbst auferlegte Unternehmensrichtlinien zu verstehen, welche innerhalb des Unternehmens verpflichtend ausgeführt werden, um ein einheitliches Datenschutzniveau einzuführen und die Betroffenenrechte zu gewährleisten.

Das Regelwerk von Binding Corporate Rules ist keine Neuheit, da diese schon Ende der 90er Jahre von der Wirtschaft entwickelt wurden. Anlass war das Inkrafttreten der RL 95/46/EG, der europäischen Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Auf Grund dessen suchten Unternehmen nach einer Alternative zum Abschluss von vielen einzelnen Verträgen zur Datenübermittlung und dabei kam die Idee auf verbindliche unternehmensinterne Regelungen, welche zu einem einheitlichem Datenschutzsystem innerhalb der Unternehmensgruppe führen. Diese wurden auch von den Datenschutzbehörden als eine geeignete Garantie anerkannt, aber fanden sich bis jetzt nicht in einer ausdrücklichen europäischen Regelung wieder. Insbesondere weil keine einheitliche Regelung vorlag, verlangten einige Aufsichtsbehörden trotz Vorliegen von BCR noch Einzelgenehmigungen bei einzelnen Datenübermittlungen, was die BCR nicht wirklich attraktiv gemacht hatte.

Genehmigungsverfahren und inhaltliche Anforderungen

BCR müssen von der zuständigen Aufsichtsbehörde genehmigt werden, damit diese als geeignete Garantie für Datenübermittlung angesehen werden kann (Art. 47 Abs. 2 DSGVO).
Zuständig ist die Aufsichtsbehörde gemäß Art. 56 Abs. 1 DSGVO des Landes, in dem sich die Hauptniederlassung des Verantwortlichen befindet (= federführende Aufsichtsbehörde). Da der Genehmigungsprozess im Rahmen des Kohärenzverfahren durchgeführt wird, kann die federführende Aufsichtsbehörde noch die Standpunkte weiterer betroffener Aufsichtsbehörden einholen. Dennoch bleibt die federführende Aufsichtsbehörde die zentrale Anlaufstelle für die Unternehmensgruppe, was das Verfahren vereinfachen sollte.

Damit eine solche Genehmigung erteilt wird müssen die in Art. 47 Abs. 2 DSGVO festgelegten Voraussetzungen erfüllt sein. Diese sind zum Beispiel:

  • Die BCR müssen für alle Mitglieder der Unternehmensgruppe und deren Mitarbeiter rechtlich verbindlich sein und durchgesetzt werden können;
  • Den betroffenen Personen müssen rechtlich verbindliche Prozesse zur Verfügung gestellt werden, damit diese Rechte bei der Datenverarbeitung durchsetzen können;
  • Struktur und Kontaktdaten der Unternehmensgruppe, sowie über das jeweilige einzelne Mitglied;
  • betreffenden Datenübermittlungen oder Reihen von Datenübermittlungen einschließlich der betreffenden Arten personenbezogener Daten, Art und Zweck der Datenverarbeitung, Art der betroffenen Personen und das betreffende Drittland beziehungsweise die betreffenden Drittländer;
  • Beschwerdeverfahren;
  • Datenschutzrechtliche Schulungen für das Personal, welche Kontakt mit personenbezogenen Daten haben;
  • interne und externe Rechtsverbindlichkeit der betreffenden internen Datenschutzvorschriften.

In der DSGVO finden sich keine genauen Angaben, wie die Mindestvorgaben in den BCR auszugestalten sind. Jedoch hat die Art. 29 Datenschutzgruppe schon vor der Einführung der DSGVO detailliertere Vorgaben in ihren Arbeitsdokumenten an die BCR ausgearbeitet, welche immer noch als Hilfestellung bei der Umsetzung dienen können. Denn die Voraussetzungen des Art. 47 Abs. 2 DSGVO beruhen teilweise auf deren Ausarbeitungen.

Durch die BCR kann individuell auf die jeweilige Unternehmensgruppe eingegangen werden, da die Bestimmungen auf die Bedürfnisse und Prozesse dieser zugeschnitten werden kann. Zudem sind weitere Vorteile, dass keine einzelnen Vertragsabschlüsse zwischen den Unternehmen erfolgen müssen und es als eine unternehmensweite Leitlinie zum Datenschutz verwendet werden kann, was sich förderlich auf das Ansehen des Unternehmens auswirken kann.

Wer darf BCR verwenden?

Die Verwendung von BCR ist bei Mitgliedern einer Unternehmensgruppe oder einer Gruppe von Unternehmen vorgesehen. Unter einer Unternehmensgruppe versteht die DSGVO eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht (Art. 4 Nr. 19 DSGVO). Weiter wird in Art. 4 Nr. 20 DSGVO definiert, dass es sich um Unternehmen handeln kann, die eine gemeinsame Wirtschaftstätigkeit ausüben. Darunter sind Unternehmensgruppen zu verstehen, die eng wirtschaftlich miteinander verknüpft sind und nicht im Wettbewerb zueinanderstehen. Es kommt somit nicht auf eine gesellschaftsrechtliche Verbindung, aber auf eine gleichwertige enge wirtschaftliche Verbindung an, wie zum Beispiel bei Joint Ventures. Nicht geeignet sind die BCR dagegen nur für lose Verbindungen.

BCR können auch von Unternehmensgruppen erstellt werden, die als Auftragsverarbeiter Daten von Dritten verarbeiten, was vor allem für IT-Dienstleistern oder Cloud-Dienste positiv ist, da Standardvertragsklauseln hier zu kurz greifen können.

BCR, die bereits vor der Einführung der DSGVO genehmigt worden sind, bleiben auch mit der DSGVO weiterhin gültig, sofern sie nicht von der zuständigen Aufsichtsbehörde beanstandet werden (Art. 46 Abs. 5 DSGVO). Somit haben die bereits verabschiedeten BCR Gültigkeit, es wird aber den zuständigen Behörden ermöglicht tätig zu werden. Das heißt, es empfiehlt sich bereits erlassene BCR an die DSGVO anzupassen, um ein Tätigwerden der Behörden vorab zu verhindern.

Fazit

Gerade für Konzerne, die internationale Niederlassungen haben, sind die BCR ein nützliches Instrument, um die Bestimmungen der DSGVO einzuhalten und dabei individuell auf interne Prozesse einzugehen ohne, dass ein unübersichtliches Vertragsmanagement für Datenexporte benötigt wird.

Die Schwierigkeiten die BCR noch vor der Einführung der DSGVO hatten, wie die teilweise Einzelgenehmigungen von Datentransfers trotz Vorliegen von BCR, fallen weg. Zudem sollte durch die alleinige Zuständigkeit der federführenden Aufsichtsbehörde eine Vereinfachung im Genehmigungsverfahren eintreten. Dadurch sind die BCR ein weiteres wichtiges Werkzeug für unternehmensweite Datenübermittlungen.

Achtung Betrug: Fax von „Die Datenschutzauskunft-Zentrale“

Seit dem 1.10.2018 versendet ein Unbekannter unter dem Pseudonym „Datenschutzauskunft-Zentrale“ Faxe an Unternehmen, Kanzleien und sonstige Empfänger mit der Aufforderung, Angaben zu fehlenden Unternehmensdaten zu machen. Als Begründung wird die „gesetzliche (…) Pflicht zur Umsetzung des Datenschutzes“ und zur Umsetzung der „Anforderungen der seit 25.05.2018 geltenden europäischen Datenschutzgrundverordnung (EU-DSGVO)“ genannt. Ausgefüllt soll das Schreiben schließlich per Fax zurück an die „Datenschutzauskunft-Zentrale“ geschickt werden. Als Frist wird der 09.10.2018 genannt.  

Es ist dringend davon abzuraten auf dieses Fax zu antworten!

  • Das Schreiben erweckt den Eindruck von einer staatlichen Behörde zu stammen. Eine solche Behörde mit dem Namen „Datenschutzauskunft-Zentrale“ existiert jedoch nicht.Wer genau hinter der „Datenschutzauskunft-Zentrale“ steckt, ist nicht bekannt. Die telefonische Vorwahl „00800“ deutet auf einen nicht-seriösen Ursprung. Sowohl die Bundesrepublik Deutschland als auch die einzelnen Länder verfügen über Datenschutzbehörden und Bundes- bzw. Landesbeauftragte für den Datenschutz. Eine „Datenschutzauskunft-Zentrale“ existierthingegen weder auf Bundes- noch auf Landesebene.
  • Im Fax der „Datenschutzauskunft-Zentrale“ wird auf die „gebührenfreie“ Faxstelle verwiesen, an die das unterschriebene Formular gesendet werden soll. Im Kleingedruckten folgt jedoch ein Hinweis darauf, dass mit Absenden des unterschriebenen Formulars eine Bestellung eines „Leistungsschutzpaket Datenschutz“ für mindestens drei Jahre erfolgt. Die Kosten betragen jährlich mindestens 498 Euro. Das Paket soll (angeblich) aus Informationsmaterial zur DSGVO bestehen. Letztlich erfolgt mit der Rücksendung des Formulars zunächst eine Pflicht zur Zahlung von mindestens. ca. 1500,00 €.


Das Formular sollte daher in keinem Fall beantwortet werden!

  • Falls das Formular dennoch bereits unterschrieben zurückgesandt wurde, sollte jeder Absender seine Erklärung sofort widerrufen. Zudem besteht ein Recht auf Anfechtung wegen arglistiger Täuschungund zudem möglicherweise die Notwendigkeit einer Strafanzeige wegen (versuchten) Eingehungsbetruges. Bezüglich des Widerrufes und Anfechtung genügt grundsätzlich der Hinweis darauf, dass die eigene Erklärung widerrufen wird.
  • Wer sich absichern möchte, sollte sich rechtlich beraten
  • Offizielle Warnungen vor dem Fax der „Datenschutzauskunft-Zentrale“ finden sich hier.

DSGVO-Umsetzung: Aktueller Gesetzesstand der EU-Mitgliedsländer UPDATE

Update am 15. Juli 2019: Unsere Übersicht wird fortlaufend aktualisiert. Es gibt neue Eintragungen für Estland und Italien.

Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (EU-DSGVO) wirksam und betroffene Unternehmen müssen sich EU-weit auf weitreichende Änderungen einstellen. 1993 erließ die Europäische Gemeinschaft die Richtlinie 95/46/EG, die seitdem Maßstab für den Datenschutz in den Mitgliedstaaten der EU war. Die Richtlinie erforderte eine gesetzliche Umsetzung in den Mitgliedstaaten. Die DSGVO hingegen ist in den Mitgliedstaaten als Verordnung unmittelbar anwendbar und hat Anwendungsvorrang vor mitgliedstaatlichem Recht (vgl. Art. 288 Abs. 2 AEUV). Prinzipiell ist damit die Datenschutzgrundverordnung die wichtigste Quelle für die Klärung datenschutzrechtlicher Fragen. Die DSGVO sieht allerdings eine Vielzahl von Öffnungsklauseln vor, die den Mitgliedstaaten Rechtsetzungsbefugnisse einräumen.

Deutschland ist das erste Land, das ein entsprechendes DSGVO-Umsetzungsgesetz erlassen hat. Dieses gilt ebenfalls seit dem 25. Mai 2018 und ersetzt das bisherige Bundesdatenschutzgesetz (BDSG). Da bei vielen Unternehmen Unsicherheit über den derzeitigen Rechtsstand der Datenschutzregeln im europäischen Ausland besteht, haben wir eine Übersicht erstellt, die den Gesetzgebungsstand im Großteil der EU-Mitgliedstaaten aufzeigt. Wir aktualisieren unsere Übersicht regelmäßig.

Belgien

In Belgien wird die DSGVO in erster Linie unmittelbar angewendet. Es wurde jedoch ein Gesetz erlassen um die bisherige „Kommission zum Schutz der Privatsphäre“ in eine Aufsichtsbehörde umzugestalten, die den Anforderungen der DSGVO genügt. Dies ging mit einer Erhöhung des Budgets einher.

Offizielle Bezeichnung: „Loi du 3 décembre 2017 portant création de l’Autorité de protection des données“.

Stand des Gesetzgebungsverfahrens: Abgeschlossen am 10.01.2018.

Weitere Informationen (in Landessprache): Link

Bulgarien

In Bulgarien befindet sich der Entwurf für ein Umsetzungsgesetz noch in der öffentlichen Debatte. An dem schleppenden Umsetzungsverfahren wird national Kritik geübt. In einer Stellungnahme des Bulgarischen Industrieverbandes heißt es: „Der Mangel an Informationen über die bevorstehenden Gesetzesänderungen schafft Voraussetzungen für die Verbreitung von Fehlinformationen aus verschiedensten Quellen und verhindert, dass Unternehmen sich angemessen vorbereiten können.“(Quelle: СЕГА)

Bezeichnung des Rechtsakts zur Implementierung der DSGVO: „ЗАКОНА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ“.

Stand des Gesetzgebungsverfahrens: In der öffentlichen Debatte seit dem 14.05.2018.

Originaltext: Link

Erwägungsgründe zum Entwurf: Link

Weitere Informationen (in Landessprache): Link

Dänemark

In Dänemark wird die DSGVO mit einem eigenen Datenschutzgesetz umgesetzt, das ergänzende Vorschriften für diverse Bereiche enthält.

Offizielle Bezeichnung: „Lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven)“.

Stand des Gesetzgebungsverfahrens: Abgeschlossen am 17.05.2018.

Estland

In Estland ist das neue Datenschutzgesetz zur Anpassung des Datenschutzrechts in Estland an die DSGVO im Januar 2019 in Kraft getreten.

Offizielle Bezeichnung: „Isikuandmete kaitse seadus 616 SE“.

Originaltext: https://www.riigiteataja.ee/akt/104012019011 

Weitere Informationen in der Landessprache folgen

Finnland

In Finnland hat die Regierung am 01.03.2018 einen Entwurf für ein neues Datenschutzgesetz eingebracht.

Offizielle Bezeichnung:„Hallituksen esitys eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi HE 9/2018“.

Stand des Gesetzgebungsverfahrens:Erste Lesung abgeschlossen.

Originaltext: Link

Informationen zum Verfahren (in Landessprache): Link

Weitere Informationen (in Landessprache): Link

Frankreich

Das Gesetz zur Umsetzung wurde von der Nationalversammlung am 14.05.2018 angenommen.

Offizielle Bezeichnung: „Projet de loi relatif à la protection des données personnelles (JUSC1732261L)“.

Stand des Gesetzgebungsverfahrens: Abgeschlossen am 14.05.2018

Originaltext: Link

Informationen zum Verfahren (in Landessprache): Link

Griechenland

Ein Gesetzesentwurf wurde am 20.02.2018 veröffentlicht. Die Beratung zu dem Entwurf fand am 05.03.2018 statt.

Offizielle Bezeichnung:„Νόμος για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα σε εφαρμογή του Κανονισμού (ΕΕ) 2016/679“.

Stand des Gesetzgebungsverfahrens: Beratung am 05.03.2018

Originaltext: Link

Informationen zum Verfahren (in Landessprache): Link

Weitere Informationen (in Landessprache): Link

Irland

Das Umsetzungsgesetz wurde am 18.05.2018 vom Dáil Éireann angenommen.

Offizielle Bezeichnung: „Data Protection Bill 2018“.

Stand des Gesetzgebungsverfahrens: Abgeschlossen am 18.05.2018

Originaltext: Link

Informationen zum Verfahren (in Englisch): Link

Weitere Informationen (in Englisch): Link

Italien

In Italien ist der Gesetzgebungsprozess noch nicht abgeschlossen.

Offizielle Bezeichnung: „Decreto Legislativo 10 agosto 2018, n.101)“. Damit wurde das Datenschutzgesetz in Italien (Decreto Legislativo 30 giugno 2003, n. 196) geändert um das italienische Datenschutzrecht an die DSGVO-Vorgaben anzupassen.

Stand des Gesetzgebungsverfahrens: Das neue Gesetz vom 10. August 2018 enthält Übergangsregelungen. Insbesondere können bei Verfahren, die vor Inkrafttreten des neuen Gesetzes begonnen wurden, niedrigere Bußgelder verhängt werden.

Darüber hinaus wird eine Stellungnahme der „Commissione speciale su atti urgenti del Governo“ (einer Sonderkommission für dringende Regierungsangelegenheiten) zu weiteren Umsetzungsgesetzen erwartet.

Originaltext: Link

Informationen zum Verfahren (in Landessprache): Link

http://www.senato.it/leg/18/BGT/Schede/docnonleg/36139.htm

Kroatien

Das Umsetzungsgesetz wurde am 27.04.2018 vom Parlament angenommen und ist am 25.05.2018 in Kraft getreten.

Offizielle Bezeichnung: „ZAKONO PROVEDBI OPĆE UREDBE O ZAŠTITI PODATAKA – NN24/2018“.

Stand des Gesetzgebungsverfahrens: Abgeschlossen am 27.04.2018

Originaltext: Link

Weitere Informationen (in Landessprache): Link

Lettland

Am Donnerstag, dem 12. April, unterstützte die Saeima den Gesetzesentwurf zur Verarbeitung personenbezogener Daten in erster Lesung.

Offizielle Bezeichnung: „Personas datu apstrādes likums“.

Stand des Gesetzgebungsverfahrens: Entwurf in der zweiten Lesung in der Saeima.

Informationen zum Verfahren: Link

Litauen

In Litauen ist das Gesetzgebungsverfahren noch nicht abgeschlossen.

Offizielle Bezeichnung: „IETUVOS RESPUBLIKOS ASMENS DUOMENŲ TEISINĖS APSAUGOS ĮSTATYMAS“.

Stand des Gesetzgebungsverfahrens: Der Gesetzentwurf wird am 26.06.2018 von der Sejma geprüft werden

Originaltext: Link

Luxemburg

In Luxembourg ist das Verfahren noch nicht abgeschlossen.

Offizielle Bezeichnung: „Projet de loi portant création de la Commission nationale pour la protection des données et la mise en oeuvre du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, portant modification du Code du travail et de la loi modifiée du 25 mars 2015 fixant le régime des traitements et les conditions et modalités d’avancement des fonctionnaires de l’Etat et abrogeant la loi du 2 août 2002 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel“.

Stand des Gesetzgebungsverfahrens: Es werden Stellungnahmen und Änderungsanträge zum Entwurf eingeholt.

Informationen zum Verfahren (in Landessprache): Link

Malta

In Malta ist das Gesetzgebungsverfahren noch nicht abgeschlossen.

Offizielle Bezeichnung: „l-Att tal-2018 dwar il-Protezzjoni u l-Privatezza tad-Data“.

Stand des Gesetzgebungsverfahrens: Dritte Lesung am 24.05.2018

Originaltext: Link

Informationen zum Verfahren (in Landessprache): Link

Niederlande

In Niederlande ist das Verfahren bereits abgeschlossen.

Offizielle Bezeichnung: „Uitvoeringswet Algemene verordening gegevensbescherming“.

Stand des Gesetzgebungsverfahrens: Am 15.05.2018 als Hammerstück abgeschlossen

Originaltext: Link

Informationen zum Verfahren (in Landessprache): Link

Österreich

In Österreich wurde die Umsetzung durch mehrere Anpassungsgesetze zum nationalen Datenschutzgesetz durchgeführt.

Offizielle Bezeichnung: „Datenschutzgesetz DSG“.

Stand des Gesetzgebungsverfahrens: Letzte Änderung des DSG am 15.05.2018

Aktuelles DSG: Link

Originaltext (Letzte Änderung): Link

Polen

In Polen ist das Verfahren noch nicht abgeschlossen. Ein Entwurf wird in der Sejm behandelt.

Offizielle Bezeichnung: „Ustawa o ochronie danych osobowych“.

Stand des Gesetzgebungsverfahrens: Stellungnahme der „Konferencja Rektorów Akademickich Szkół Polskich“ am 23.05.2018

Originaltext: Link

Informationen zum Verfahren (in Landessprache): Link

Portugal

In Portugal ist das Verfahren noch nicht abgeschlossen.

Offizielle Bezeichnung: „Proposta de Lei 120/XIII“.

Stand des Gesetzgebungsverfahrens: Entwurf eingebracht am 26.03.2018

Quelle: Link

Rumänien

In Rumänien ist am 31.07.2018 ein Umsetzungsgesetz zur DSGVO in Kraft getreten. Der rumänische Gesetzgeber macht darin kaum Gebrauch von Öffnungsklauseln der DSGVO zur Klarstellung offener Fragen und Definitionen.  So bleibt etwa unklar wie die Voraussetzungen, des Artikels 37 der DSGVO zur Bestellung eines Datenschutzbeauftragten konkretisiert werden. Dagegen beinhaltet es Privilegierungen für Behörden und Parteien im Falle von Verletzungen der DSGVO. So sind u.a. niedrigere Bußgelder vorgesehen als bei Verletzungen durch Private.

Offizielle Bezeichnung: Gesetz Nummer 190/2018

Stand des Gesetzgebungsverfahrens: Abgeschlossen am 31.07.2018

Weitere Informationen: Link 

Informationen zum Verfahren (in Landessprache): Link

Schweden

In Schweden ist das Verfahren bereits abgeschlossen

Offizielle Bezeichnung: „Ny Dataskyddslag“.

Stand des Gesetzgebungsverfahrens: Abgeschlossen am 18.04.2018

Originaltext: Link

Informationen zum Verfahren (in Landessprache): Link

Slowakei

In der Slowakei ist das Verfahren abgeschlossen.

Offizielle Bezeichnung: „Zákon o ochrane osobných údajov a o zmene a doplnení niektorých zákonov“.

Stand des Gesetzgebungsverfahrens: Abgeschlossen am 30.01.2018

Informationen zum Verfahren (in Landessprache): Link

Slowenien

In Slowenien ist das Verfahren noch nicht abgeschlossen.

Offizielle Bezeichnung: „OSNUTEK ZAKONA O VARSTVU OSEBNIH PODATKOV (ZVOP-2)“.

Stand des Gesetzgebungsverfahrens: Regierungsentwurf eingereicht am 23.01.2018

Originaltext: Link

Spanien

In Spanien ist das Verfahren noch nicht abgeschlossen

Offizielle Bezeichnung: „Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal“.

Stand des Gesetzgebungsverfahrens: Der Entwurf wurde am 11.04.2018 vom Ministerrat zur Verweisung an das Cortes Generales genehmigt

Originaltext: Link

Tschechische Republik

In Tschechien ist das Verfahren noch nicht abgeschlossen.

Offizielle Bezeichnung: „Návrh zákona o zpracování osobních údajů“.

Stand des Gesetzgebungsverfahrens: Regierungsentwurf eingereicht am 21.03.2018

Informationen zum Verfahren (in Landessprache): Link

Ungarn

In Ungarn ist das Verfahren noch nicht abgeschlossen.

Offizielle Bezeichnung: „jogról és az információszabadságról szóló 2011. évi CXII. törvény jogharmonizációs célú módosításáról szóló törvény“.

Stand des Gesetzgebungsverfahrens: Entwurf vom 25.09.17

Originaltext: Link

Vereinigtes Königreich

Im Vereinigten Königreich ist das Verfahren abgeschlossen.

Offizielle Bezeichnung: „Data Protection Act 2018“.

Stand des Gesetzgebungsverfahrens: Abgeschlossen am 23.05.2018

Originaltext: Link

Informationen zum Verfahren (in Landessprache): Link

Zypern

In Zypern ist das Verfahren noch nicht abgeschlossen.

Offizielle Bezeichnung: „της προστασίας των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών Νόμος του 2018.“.

Stand des Gesetzgebungsverfahrens: Beratung über den Entwurf am 04.04.2018

Originaltext: Link

Informationen zum Verfahren (in Landessprache): Link

DSGVO & Bußgelder: Was gilt für Konzerne, welche Maßnahmen sind notwendig?

Die DSGVO schafft innerhalb der Mitgliedstaaten der Europäischen Union ein einheitliches Datenschutzniveau als Voraussetzung für den Daten-Binnenmarkt der EU. Um dieses Niveau zu garantieren und gleiche Bedingungen für alle Marktteilnehmer zu gewährleisten, wurden auch die Bußgeldrahmen erheblich erweitert. Um auch gegen große Unternehmen schmerzhafte Sanktionen zu ermöglichen, beläuft sich die maximale Bußgeldhöhe auf bis zu 4% des weltweiten Jahresumsatzes. Zusätzlich geht die DSGVO von einem erweiterten Unternehmensbegriff aus, der es erlaubt, Bußgelder nicht nur gegen einzelne Gesellschaften, sondern auf Konzernebene zu verhängen. Konzerne und Konzerngesellschaften sollten daher in ihre datenschutzrechtliche Strategie Maßnahmen einbeziehen, die das Gruppenweite Bußgeldrisiko minimieren.

Wen treffen Bußgelder innerhalb einer Unternehmensgruppe?

Bußgelder aufgrund von Verstößen gegen die DSGVO können gegen Unternehmen selbst sowie deren Leitungspersonen verhängt werden. Legt man den weiten Unternehmensbegriff zugrunde, kann für lokale Verstöße einer Konzerngesellschaft bei der Berechnung der Bemessungsgrundlage für Bußgelder der Gesamtumsatz der Unternehmensgruppe herangezogen werden – 4 % des weltweiten Jahresumsatzes betreffen dann den Jahresumsatz des Gesamtkonzerns.

Erwägungsgrund 150 der DSGVO verweist darauf, dass beim Unternehmensbegriff an den Unternehmensbegriff der Artikel 101 und 102 des AEUV angeknüpft werden soll. Die Artikel 101 und 102 des AEUV regeln den Unternehmensbegriff im Kartellrecht und gehen daher von der Einheit einzelner Gesellschaften aus, wenn diese als Wirtschaftseinheit agieren. Auch die Artikel-29-Datenschutzgruppe verweist darauf, dass Sanktionen gegen Unternehmen nur dann „wirksam, verhältnismäßig und abschreckend“ sein können, wenn vom kartellrechtlichen Unternehmensbegriff gemäß der Auslegung des EuGHs ausgegangen wird. Danach gehören zur Wirtschaftseinheit neben Muttergesellschaft auch alle abhängigen Tochtergesellschaften. Nicht entscheidend ist damit die Rechtsform oder die Art der Finanzierung. Die Wirtschaftseinheit ist vor allem dann anzunehmen, wenn die Tochtergesellschaft trotz eigener Rechtspersönlichkeit in ihrem Marktverhalten Weisungen und einem erkennbaren Einfluss der Muttergesellschaft unterliegt.

Für welche Verstöße können gruppenweite Bußgelder verhängt werden?

Die Entscheidung, ob das Bußgeld konzernweit oder gegen eine einzelne Gesellschaft verhängt wird, liegt dabei im Ermessen der Aufsichtsbehörde. Maßgebliche Kriterien vor dem Hintergrund der wirksamen Abschreckung sind die tatsächliche organisatorische Verantwortlichkeit für einen Verstoß sowie die konzerninterne Gewinnverteilung. Das Risiko konzernweiter Bußgelder besteht vor allem bei operativen Prozessen, die einem konzernübergreifenden wirtschaftlichen Zweck dienen. Fehlt es in diesem Zusammenhang auf Gruppenebene an hinreichenden organisatorischen Maßnahmen, setzen sich Unternehmen diesem Risiko aus, da nach allgemeinem Unionssanktionsrecht bereits ein Organisationsverschulden ausreicht, um bei einem Verstoß ein Bußgeld gegen eine Unternehmensgruppe zu verhängen.

Welche Maßnahmen können das gruppenweite Bußgeldrisiko verringern?

Um ein Organisationsverschulden auszuschließen und das Bußgeldrisiko zu verringern, sollten Unternehmensgruppen ihrem Datenschutzmanagement-System eine gruppenweite Betrachtung zugrunde legen. Insbesondere der Austausch von Daten zwischen einzelnen Tochtergesellschaften aber auch Datenverarbeitungen mit Relevanz für gemeinsame Ziele sollten dabei zum Gegenstand von einheitlichen Analysen gemacht werden. Die Bestellung eines Konzerndatenschutzbeauftragten kann dabei helfen, eine ganzheitliche Perspektive zu wahren und zudem dem Vorwurf von fahrlässigen Datenschutzverstößen zu entgehen.

Entscheidend ist neben der Wahrung allgemeiner datenschutzrechtlicher Anforderungen die klare Verteilung von gruppeninternen Verantwortlichkeiten. Auf Grundlage eines Inter-Company-Agreements können die Zuständigkeiten für operative Prozesse und datenschutzrechtliche Pflichten geregelt werden. Durch die entsprechende Gestaltung dieser Vereinbarung lassen sich Bußgeldrisiken in doppelter Hinsicht vermeiden. Einerseits wird sichergestellt, dass datenschutzrechtliche Anforderungen konzernweit umgesetzt werden. Andererseits kann durch entsprechende Gestaltung der Verträge die Gruppenrelevanz für einzelne risikoreiche Verarbeitungstätigkeiten verringert oder vermieden werden. Zusätzliche strukturelle Maßnahmen – etwa eine klare Trennung von Reportingstrukturen – helfen dabei, derartige Gestaltungen zu manifestieren. Das Datenschutz-Management-System sollte insofern die konzernrechtlichen Strukturen aufgreifen und in datenschutzrechtlicher Hinsicht konkretisieren.

Welche Kriterien sind bei der Festlegung von Bußgeldern und der Bußgeldhöhe von den Aufsichtsbehörden heranzuziehen?

Die Artikel-29-Datenschutzgruppe verweist darauf, dass Bußgelder wie alle Abhilfemaßnahmen „wirksam, verhältnismäßig und abschreckend“ sein müssten. Anknüpfend an Artikel 83 DSGVO sei dabei immer Art, Schwere und Folge des Verstoßes zu berücksichtigen. Das Bußgeldverfahren setzt daher immer eine Einzelfallbetrachtung und eine Differenzierung nach der Zielrichtung der Abhilfemaßnahmen voraus. Erforderlich ist also die Differenzierung danach, ob ein Verstoß behoben oder bestraft werden soll. Demgemäß können Bußgelder allein oder neben weiteren Abhilfemaßnahmen verhängt werden. Ob Bußgelder erforderlich sind und wie hoch diese gegebenenfalls ausfallen sollen, bemisst sich nach der Stellungnahme der Datenschutzgruppe nach folgenden Kriterien.

Artikel 83 Absatz 2 lege als Kriterien für die Bemessung von Bußgeldern Art, Schwere und Folgen des Verstoßes fest. Die Differenzierung nach der Art des Verstoßes erfolgt vor allem durch Artikel 83 Absatz 4 und 5, je nachdem gegen welche Vorschrift der DSGVO verstoßen wurde. Liegen Verstöße gegen mehrere Vorschriften vor, so legt die Artikel-29-Datenschutzgruppe nahe, die Geldbuße nach dem schwersten Verstoß (also etwa die Verletzung der Vorgaben zum Umgang mit Gesundheitsdaten) zu bemessen. Bezüglich der Schwere und der Folgen des Verstoßes seien zudem die Anzahl der betroffenen Personen und der Zweck der Datenverarbeitung zu berücksichtigen. Zudem seien die Dauer des Verstoßes (die zudem Aufschluss über Vorsatz oder Fahrlässigkeit geben könne) und mögliche erlittene materielle oder immaterielle Schäden auf Seiten der Betroffenen zu berücksichtigen. Ebenfalls zu differenzieren sei nach der Art der betroffenen Daten – ist eine Identifizierung des Betroffenen möglich und handelt es sich um besonders sensible Daten?

Weiterhin einzubeziehen seien Vorsätzlichkeit (wurde die Maßnahme von höchster Geschäftsebene und damit wahrscheinlich vorsätzlich angeordnet?), Fahrlässigkeit (etwa, wenn nicht alle erforderlichen Maßnahmen ergriffen wurden, um der Komplexität der Geschäftsvorgänge gerecht zu werden) und Abhilfemaßnahmen nach Bekanntwerden des Verstoßes (etwa Benachrichtigung der Betroffenen, Notfallmaßnahmen bei Datenpannen) und der Grad der diesbezüglichen Kooperation mit Aufsichtsbehörden.

Ebenfalls entscheidende Kriterien sind der Grad der Verantwortlichkeit bei der Umsetzung der Vorgaben zu technischen – datenschutzfreundlichen – Voreinstellungen sowie der sonstigen technischen und organisatorischen Maßnahmen, um Datenschutzverstöße zu vermeiden. Außerdem fallen frühere Verstöße gegen das Datenschutzrecht, der Umgang mit diesen und mit anerkannten Verhaltensregeln für Unternehmen in Betracht. Die Einzelfallprüfung impliziert, dass auch alle sonstigen erschwerenden und mildernden Umstände berücksichtigt werden.

Fazit und Handlungsempfehlung

Mit wachsender Größe bedeuten unstrukturierte und unübersichtliche Verarbeitungsprozesse zunehmende Compliance-Risiken, die es zu minimieren gilt.

Im Zuge der Einführung eines Datenschutzmanagement-Systems sollten Unternehmensgruppen daher insbesondere:

  • sämtliche Datenverarbeitungen erfassen und auf Gruppenrelevanz prüfen (Data-Mapping)
  • gruppenrelevante Verarbeitungstätigkeiten einer Risikoanalyse unterziehen
  • Verantwortlichkeiten definieren.

Um den erheblichen Aufwand – insbesondere für das Data-Mapping – zu kompensieren, empfiehlt sich eine Erweiterung des Analyse-Scopes auf Business Intelligence und Data Governance-Aspekte um Synergien zu erzielen.

Standardvertragsklauseln – Ein Trump(f) für die Datenübermittlung in die USA?

Der EU-US-Privacy-Shield steht seitens der EU-Organe unter zunehmender Kritik. Als Alternative für Datenübertragungen in die USA und Gewährleistung eines „angemessenen Datenschutzniveaus“ werden immer häufiger Standardvertragsklauseln ins Feld geführt. Doch auch für diese könnte bald das Aus durch den EuGH kommen. 

Hintergrund

Die Kritik der EU-Organe am Privacy-Shield reißt nicht ab. Ende Juli 2018 kritisierte die EU-Justizkommissarin Jourova erneut das in den USA praktizierte Datenschutzniveau, setzte dem US-Handelsminister eine Frist bis Ende Oktober, um auf ihre Kritikpunkte zu reagieren und drohte andernfalls mit Aussetzung des Privacy-Shields.

Ein Hauptkritikpunkt ist das Fehlen einer Ombudsperson in den USA, bei der sich betroffene Personen aus Europa über die Verletzung der Datenschutz-Vorgaben beschweren können. Es bleibt zweifelhaft, ob US-Handelsminister Ross auf diese Fristsetzung reagieren wird. Bereits im Frühjahr bezeichnete er das Datenschutzniveau in der EU als übertrieben und unnötig. Für US-Unternehmen bestünde die Gefahr zurückgehender Geschäfte. Der Privacy-Shield steht damit mehr denn je vor einer ungewissen Zukunft.

Ist der Privacy Shield die einzige Möglichkeit für einen sicheren Datentransfer in die USA?

Nach Art. 44 der Datenschutz-Grundverordnung („DSGVO“) ist der Transfer von personenbezogenen Daten in Nicht-EU-Staaten nur unter engen Voraussetzungen zulässig. Neben dem Privacy-Shield bzw. Angemessenheitsbeschlüssen der Kommission gibt es für konzerninterne Datenübertragungen die Möglichkeit, verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) zu vereinbaren, mittels derer die Einhaltung der DSGVO gewährleistet werden soll.

Außerhalb von Konzernen bieten sich sog. Standardvertragsklauseln an, um ein angemessenes Datenschutzniveau zu gewährleisten. So kann etwa ein Unternehmen, ansässig in der EU, mit seinem Auftragsverarbeiter in den USA ergänzend zu einem herkömmlichen Auftragsverarbeitungsvertrag (nach Art. 28 DSGVO) die Standardvertragsklauseln vereinbaren. Durch die von der EU-Kommission entwickelten Klauseln soll sichergestellt werden, dass der Auftragsverarbeiter ein dem EU-Recht entsprechendes Datenschutzniveau einhält.

Sind Standardvertragsklauseln das Mittel der Zukunft?

Die aktuell gültigen Standardvertragsklauseln der EU-Kommission stammen aus dem Jahr 2010. Werden sie innerhalb eines Auftragsverarbeitervertrages mit einem US-Unternehmen einbezogen, so genügt die Datenübertragung grundsätzlich den Anforderungen der DSGVO.

Seit 2015 werden diese Standardvertragsklauseln jedoch nach Vorlage des irischen High Courts vom Europäischen Gerichtshof („EuGH“) auf ihre Rechtmäßigkeit überprüft. Im zugrundeliegenden Verfahren argumentierte der Datenschutz-Aktivist und Anwalt Max Schrems, dass die Übertragung von Facebook-Irland (Sitz Facebooks in Europa) auf die Facebook-Server des Mutterkonzerns in den USA gegen das europäische Datenschutzrecht verstoße. Insbesondere die weitreichenden Zugriffsrechte der US-Geheimdienste auf Daten von EU-Bürgern wurden dabei kritisiert.

Ins gleiche Horn stößt auch die aktuelle Kritik des EU-Parlamentes wie der EU-Kommission am Privacy Shield. Vor allem wegen des CLOUD Acts, einem Gesetzt, das es US-Behörden erlaubt, auf Daten von US-Unternehmen zuzugreifen, auch wenn die Speicherung außerhalb der USA erfolgt, hat sich diese Problematik noch weiter zugespitzt.

Facebook hat unterdessen Rechtsmittel vor dem irischen Gericht eingelegt, das die Frage nach der Gültigkeit der Standardvertragsklauseln dem EuGH zur Klärung vorgelegt hat. Es kann jedoch nicht davon ausgegangen werden, dass dieses Rechtsmittel Einfluss auf die Entscheidung des EuGHs haben wird, da dieser bereits mit der Rechtsfrage befasst ist und ihm das Verfahren nicht wieder „entzogen“ werden kann.

Die Zukunft der aktuell gültigen Standardvertragsklauseln hängt also von der Entscheidung des EuGHs ab. Sollte dieser die Standardvertragsklauseln für unwirksam erklären, so hat die Kommission die Möglichkeit, neue Standardvertragsklauseln zu erlassen, welche die Rechtsauffassung des EuGHs, der Behörden und des EU-Parlamentes sowie die aktuellen Entwicklungen in den USA berücksichtigen. Für Unternehmen könnte dies eine zukunftstaugliche Alternative zum Privacy-Shield darstellen. Allerdings müssten in diesem Fall auch alle Verträge, die auf den bisherigen Standardvertragsklauseln basieren, neu verfasst und abgeschlossen werden.

Fazit und Handlungsempfehlung

Erheblicher Grund zur Sorge besteht für Unternehmen nicht. Die Datenübertragung in die USA ist aktuell noch sowohl auf der Grundlage der Standardvertragsklauseln von 2010 oder dem Privacy Shield möglich. Nur wenn beide Alternativen vom EuGH und/oder der Kommission zeitgleich für nicht angemessen bzw. unwirksam erklärt werden würden, wäre (außerhalb von Binding Corporate Rules) eine rechtmäßige Datenübertragung in die USA ausgeschlossen. Da die Kommission um die Bedeutung solcher Datenübertragungen für EU-Unternehmen weiß, ist zu hoffen, dass eine Alternative mit genügend Vorlaufzeit zur Anpassung entwickelt wird, bevor Privacy-Shield und Standardvertragsklauseln als Rechtsgrundlage entfallen.

Aktuelle Ausführungen der Trump-Regierung lassen den Schluss zu, dass das bevorstehende erste US-Bundesgesetz zum Datenschutz eher weite Zugriffsmöglichkeiten für Unternehmen und Behörden auf personenbezogene Daten ermöglicht und damit die Kritik aus Europa weiter befeuern wird. Die neuen Standardvertragsklauseln der Kommission könnten dann das Instrument der Zukunft für Datenübertragungen in die USA werden, da das neue US-Bundesgesetz nicht den Anforderungen der EU-Justizkommissarin Jourova entspricht und damit den Privacy Shield zuerst zum Scheitern bringen könnte, worauf die Kommission durch neue Standardvertragsklauseln reagieren kann.

Login-Allianzen- Eine Alternative zu US-Big-Playern?

Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung („DSGVO“) in Kraft. Mit ihr wird vor allem der Grundsatz der Transparenz der Datenverarbeitung in den Vordergrund gestellt. Immer häufiger stellen Unternehmen fest, dass die Anforderungen der DSGVO an Transparenz, Datensicherheit und Datenschutz durch technische Voreinstellungen (Privacy-by-Design und Privacy-by-Default) nicht nur eine Pflicht, sondern auch eine Chance für Unternehmen darstellen können, um Prozesse der Datenverarbeitung auch für eigene Zwecke zu optimieren.

Diese Chance versuchen verschiedene Unternehmen durch sog. Login-Allianzen zu ergreifen. Mittels dieser Allianzen soll Nutzern ein einheitliches Kundenkonto für den Login bei verschiedenen Anbietern zur Verfügung gestellt werden. Die Konzerne Axel Springer, Allianz, Daimler, Deutsche Telekom, Lufthansa, die Bundesdruckerei und Deutsche Bank und weitere Partner nennen ihre Login-Allianz dabei „Verimi“. Als Konkurrenz dazu tritt die Login-Allianz der Mediengruppe von RTL-Deutschland, ProSiebenSat.1 und United Internet und weiterer Partner auf. Beiden Allianzen ist bewusst, dass ihr Erfolg vor allem von Größe und Teilnehmerzahl abhängt und sind daher für weitere Partner offen. So ist die Partnerschaft mit Zalando ein wichtiger Schritt für ProSiebenSat1 und Co.

Was sind Login-Allianzen?

Login-Allianzen ermöglichen durch einmalige Registrierung die Erlangung einer Art „digitalen Schlüssels“, mittels dessen der Login bei allen Partnern einer Login-Allianz und deren Angeboten, Webseiten, Apps usw. erfolgen kann. Dieses Verfahren wird auch als „Single Sign-On“-Verfahren bezeichnet. Der Nutzer spart damit viel Zeit und soll auch nicht mehr dem Druck ausgesetzt werden bei jeder Online-Betätigung erst ein Kundenkonto eröffnen oder seine vollständigen Daten eingeben zu müssen.

Die Single-Sign-On-Lösung ist bisher vor allem aus dem US-Markt bekannt. Facebook, Amazon und Google bieten für zahlreiche Dienste den Login mittels des jeweiligen Kundenkontos an. Dadurch erhalten die US-Big-Player erhebliche Datenmengen, die aus Sicht von Werbetreibenden sehr wertvoll sind. Diese Daten auf dem deutschen Markt wollen die Partner der Login-Allianzen nun ebenfalls nutzen. Zudem wird den Big-Playern am US-Markt häufig Intransparenz vorgeworfen. Die Login-Allianzen versuchen genau diesen Vorwurf zu vermeiden und deshalb z.B. übersichtliche Privacy-Center zu schaffen.

Wie sind Login-Allianzen aus Sicht der DSGVO zu bewerten?

Nach der DSGVO ist die Verarbeitung personenbezogener Daten grundsätzlich unzulässig. Erforderlich ist daher immer eine rechtliche Erlaubnis (sog. Verbot mit Erlaubnisvorbehalt). Werden also beispielsweise personenbezogene Daten zu Werbezwecken verarbeitet, um also zum Beispiel personalisierte Werbeangebote zu erstellen, ohne dass eine solche rechtliche Erlaubnis vorliegt, verstoßen die beteiligten Unternehmen gegen die DSGVO – ein Verhalten, dass in jedem einzelnen Fall eine bußgeldbewehrte Ordnungswidrigkeit darstellt.

Eine mögliche Rechtsgrundlage bietet dabei die Einwilligung der Nutzer in die Datenverarbeitung gemäß Artikel 6 Abs. (1) lit. a) DSGVO. Stimmt der Nutzer also vor der Datenverarbeitung einer solchen Verarbeitung zu, ist sie rechtmäßig, sofern die Voraussetzung einer ordnungsgemäßen Einwilligung eingehalten werden. Wichtig ist dabei vor allem, dass eine Einwilligung ausdrücklich und vor Beginn der Datenverarbeitung erfolgen muss (Opt-In). Die Verarbeitung von Daten ist also nicht so lange zulässig, bis der Nutzer widerspricht (Opt-Out), sondern darf erst erfolgen, wenn der Nutzer vorher ausdrücklich zugestimmt hat.

Mit dem Single-Sign-On verfolgen die Partner der Login-Allianzen das Ziel, den Einwilligungsprozess transparenter und übersichtlicher zu gestalten. Dabei besteht die Möglichkeit eine einmalige Einwilligung für die Datenverarbeitung durch alle beteiligten Unternehmen einzuholen (etwa bei Registrierung). Gerade bei solchen Mehrfacheinwilligungen ist jedoch genau auf die Rechtmäßigkeitsanforderungen der DSGVO zu achten, häufig können gerade diese Mehrfacheinwilligungen gegen den Grundsatz der Transparenz verstoßen. Daneben besteht die Möglichkeit, bei der Registrierung die Daten einmalig einzugeben und dann bei jedem Login bei einem der Partner der Allianz selbst darüber zu entscheiden, welche Daten diesem jeweiligen Partner zur Verfügung gestellt werden sollen. Dieses Ziel scheinen die Login-Allianzen zu verfolgen.

Bei den Rechtmäßigkeitsanforderungen an solche Einwilligungen wird der Transparenzgrundsatz besonders deutlich. So verlangt die DSGVO, dass der Nutzer in einer einfachen und verständlichen Sprache darüber aufgeklärt wird, worin er einwilligt. Zudem muss er darüber informiert werden, dass eine einmal erteilte Einwilligung jederzeit widerrufen werden kann und ihm zudem weitere Betroffenenrechte (v.a. auf Löschung, Widerspruch, Berichtigung und Datenübertragbarkeit) zustehen.

Die von den Login-Allianzen geplanten „Privacy Center“ sollen den Kunden genau diesen Überblick leicht verständlich verschaffen. Der Kunde soll selbst entscheiden können, welche Daten er an welches Unternehmen überträgt und zudem darüber bestimmen können, welche Daten zwischen den einzelnen Unternehmen einer Allianz übertragen werden dürfen. Durch den „OpenID Connect Standard“ soll es genügen, dass der Kunde im Rahmen des Login bei einem der Partner E-Mail-Adresse und Passwort eingibt und im Anschluss nach erfolgter Authentifizierung ein Dialogfenster erscheint, das dem Nutzer genau anzeigt, welche Daten vom jeweiligen Unternehmen zu welchen Zwecken verarbeitet werden sollen.

Privacy-by-Design und Privacy-by-Default: Diese geplante Vorgehensweise unter Verwendung eines Privacy-Center und dem Open-ID-Connect-Verfahren kann – abhängig von der konkreten Ausgestaltung – nicht nur die Anforderungen an den Transparenzgrundsatz, sondern bietet auch in einem weiteren zentralen Punkt eine gute Möglichkeit, die Anforderungen der DSGVO in der Praxis umzusetzen: Denn im Rahmen der Ausgestaltung des Privacy Center sind die jeweiligen Unternehmen gemäß dem Grundsatz „Privacy-by-Default“ verpflichtet, bei ihrem Online-Angebot datenschutzfreundliche technische Voreinstellungen zu wählen. Gerade diese Anforderungen könnten die deutschen Login-Allianzen gegenüber den US-amerikanischen Big-Playern im Rahmen der Gestaltung der Privacy-Center erfüllen.

Koppelungsverbot: Im Zusammenhang mit der Erteilung von Einwilligungen wird häufig das Problem des sogenannten Koppelungsverbots diskutiert. Unabhängig davon, ob die DSGVO ein echtes Koppelungsverbot enthält, ist jedenfalls unzweifelhaft, dass Einwilligungen in Datenverarbeitungen nur dann rechtmäßig sind, wenn sie freiwillig erteilt werden. Eine solche Freiwilligkeit kann unter Umständen dann nicht mehr angenommen werden, wenn die Nutzung von Online-Angeboten nur dann möglich ist, wenn zugleich in die Verarbeitung personenbezogener Daten eingewilligt wird. Durch die Möglichkeit, im Privacy-Center zu wählen, welche Daten den jeweiligen Unternehmen zur Verfügung gestellt werden, können diese Anforderungen erfüllt sein und ein Verstoß gegen das Kopplungsverbot ausgeschlossen werden, wenn der Nutzer – wie bislang geplant – auch ohne Einwilligung in die Verarbeitung seiner Daten bei einem Unternehmen dessen Angebot (also etwa eine Webseite oder eine App) vollständig nutzen kann, ohne vorher seine Daten (wie etwa sein Alter, Wohnort etc.) dem jeweiligen Unternehmen zur Verfügung zu stellen. Diese Daten verbleiben dann im Privacy Center und werden nicht an die betreffenden Unternehmen übermittelt.

Grundsatz der Datensicherheit: Die DSGVO enthält auch den Grundsatz der Datensicherheit. Das Single-Sign-On Verfahren birgt dabei Chancen und Risiken. Zum einen senkt ein einheitliches Passwort das Risiko des Vergessens erheblich. Andererseits wird das Risiko für die Datenverarbeitung zugleich erhöht, da im Falle einer Kenntniserlangung durch Unbefugte diese mittels des Passworts zugleich Zugang zu mehreren Benutzerkonten des jeweiligen Betroffenen bei mehren Partner-Unternehmen der jeweiligen Login-Allianz erlangen können.

Im Fall der Verwendung mehrerer unterschiedlicher Passwörter werden diese allerdings vom Nutzer auch seltener geändert, da es für den Nutzer schwieriger ist, die Übersicht über seine verschiedenen Passwörter zu behalten. Heute gehört es jedoch zur Sicherheitsempfehlung nahezu jeden Anbieters, Passwörter regelmäßig zu ändern. Dieser Sicherheitsanforderung kann bei der Verwendung eines einheitlichen Passworts leichter durch den Nutzer nachgekommen und so die Datensicherheit verbessert werden. Geschieht dies jedoch nicht, bleibt es bei dem mit der Verwendung eines einheitlichen Passwortes für mehrere Nutzerkonten verbundenen höheren Risikos für die Datensicherheit. Die Anbieter von Login-Allianzen sollten daher in jedem Fall regelmäßige Passwort-Änderungen zur Pflicht erheben und diese so weit wie möglich auch durch geeignete Maßnahmen technisch erzwingen.

Datenspeicherung nur in der EU: Ein letzter Vorteil der Login-Allianzen besteht darin, dass im Rahmen der so ermöglichten zentralen Verwaltung und Speicherung personenbezogener Daten besser sichergestellt werden kann, dass die Daten nur innerhalb der EU gespeichert und verarbeitet werden. Die Risiken von Datenübertragungen etwa in die USA und die aktuell bestehende Unsicherheit über die Rechtmäßigkeit solcher Datenübertragungen in der Zukunft, entfallen damit.

Fazit

Login-Allianzen deutscher Unternehmen können – abhängig von ihrer konkreten Ausgestaltung – eine rechtssichere und transparente Alternative zur Verarbeitung von personenbezogenen Daten darstellen. Bei korrekter technischer und rechtlicher Ausgestaltung können sie den Grundsätzen von Transparenz und Freiwilligkeit genügen und damit personalisierte Werbung legitimieren. Allerdings sollten die beteiligten Unternehmen darauf achten, dass Nutzern wirklich in jedem Fall leicht verständlich erklärt wird, dass Daten für Zwecke der personalisierten Werbung genutzt werden und welche Möglichkeiten bestehen, um eine solche Datenverarbeitung zu verhindern. Nur wenn die Anforderungen an Transparenz und Datensicherheit auch DSGVO-konform umgesetzt werden, können die beteiligten Unternehmen die erhofften Vorteile durch Login-Allianzen erreichen, ohne hohe Bußgeldzahlungen zu riskieren.

Im Blick behalten müssen die an Login-Allianzen beteiligten Unternehmen allerdings die Frage, ob zwischen ihnen im Hinblick auf die verarbeiteten personenbezogenen Daten eine gemeinsame Verantwortlichkeit im Sinne von Art. 26 DSGVO besteht. Wenn und soweit dies der Fall ist, müssen die Unternehmen einen diesbezüglichen Vertrag schließen, der die gemäß Art. 26 DSGVO bestehenden inhaltlichen und formalen Anforderungen erfüllt. Wird ein solcher Vertrag nicht abgeschlossen, stellt dies ebenfalls eine Ordnungswidrigkeit dar, die mit einem Bußgeld geahndet werden kann.

EU Konzerndatenschutzbeauftragter- Was sind die Vorteile einer Bestellung?

Mit Geltung der DSGVO ab dem 25. Mai 2018 gehen auch erhebliche Veränderungen der Aufgaben des „Konzerndatenschutzbeauftragten“ einher, den es so vorher nicht gab. Denn die DSGVO normiert erstmals ausdrücklich, dass eine Unternehmensgruppe einen gemeinsamen Datenschutzbeauftragten ( DSB ) benennen darf. Konsequenzen ergeben sich dabei u.a. für die Datenschutz-Folgenabschätzung, für Haftungsfragen und weitere Bereiche, in denen die Vorgaben der DSGVO dringend eingehalten werden sollten. Im Unterschied zur bisherigen Rechtslage nach dem BDSG sieht die DSGVO ausdrücklich die Möglichkeit eines Datenschutzbeauftragten im Konzern vor und erleichtert damit dessen Bestellung.

Was ist das Besondere an einem Konzerndatenschutzbeauftragten?

Die Regelung des Art. 37 Abs.2 DSGVO besagt, dass eine Unternehmensgruppe (Konzern) einen gemeinsamen Datenschutzbeauftragten benennen darf. Daraus folgt, dass nicht mehr jedes einzelne Unternehmen einer Unternehmensgruppe einen eigenen Datenschutzbeauftragten benennen muss, sondern ein einheitlicher Datenschutzbeauftragter für alle Unternehmen der Unternehmensgruppe zuständig ist.

Welche Aufgaben hat der Datenschutzbeauftragte?

Die Aufgaben des betrieblichen Datenschutzbeauftragten korrelieren grundsätzlich mit denen der Unternehmen und Aufsichtsbehörden: Er ist für die Einhaltung der datenschutzrechtlichen Vorgaben durch das ihn beauftragende Unternehmen bzw. Konzern verantwortlich. Wie ein DSB, der nur für ein Unternehmen verantwortlich ist, hat auch ein Konzerndatenschutzbeauftragter die Anforderungen der DSGVO zu erfüllen. Er muss also eine gewisse berufliche Qualifikation und die Fähigkeiten zur Erfüllung seiner Aufgaben im Zusammenhang mit der Einhaltung der DSGVO sowie eine entsprechende Erfahrung aufweisen. Damit gehört es zu den primären Aufgaben eines Konzerndatenschutzbeauftragten, sich angesichts des regelmäßigen rechtlichen und technologischen Wandels weiterzubilden. Zwar verlangt die DSGVO hierfür keinen speziellen rechtlichen Hintergrund in der Ausbildung, allerdings ist es schwer vorstellbar, wie die komplexen Anforderungen der DSGVO ohne eine entsprechende rechtliche Ausbildung und Praxiserfahrung bewerkstelligt werden können. Zu den Aufgaben eines Konzerndatenschutzbeauftragten gehört es damit auch, sich mit den Wirkweisen der Datenweitergabe zwischen den einzelnen Unternehmen vertraut zu machen und die innerbetrieblichen Abläufe zu kennen.

Seine detaillierten Aufgaben nennt Art. 39 der DSGVO. Primär ist er dabei zur Aufklärung der Mitarbeiter des Unternehmens bzw. der gesamten Unternehmensgruppe über die datenschutzrechtlichen Vorgaben der DSGVO verantwortlich. Hierfür kann erwartet werden, dass ein Konzerndatenschutzbeauftragter nicht nur die erforderlichen rechtlichen Kenntnisse aufweist, sondern auch keine Sprachbarriere besteht. Insbesondere bei größeren Unternehmensgruppen kann es sein, dass einheitliche Schulungen vorbereitet und dann von ausgewählten Mitarbeitern durchgeführt werden. Die Koordination dieser Schulungen setzt jegliches Fehlen von Sprachbarrieren voraus.  Zudem ist es erforderlich, dass der Konzerndatenschutzbeauftragte ohne unzumutbare Hindernisse (also bei leichter Erreichbarkeit) auch tatsächlichen Zugang zu den einzelnen Unternehmen hat, um etwa Schulungen zu begutachten. Von einem unzumutbaren Hindernis ist z.B. dann auszugehen, wenn der Konzerndatenschutzbeauftragte länger als einen Tag für die Anreise zu einem bestimmten Unternehmen braucht. Der Konzern hat also zu gewährleisten, dass von jedem Standort eine leichte Erreichbarkeit zu einem anderen Standort besteht, damit der Konzerndatenschutzbeauftragte seinen Aufgaben nachkommen kann. Für den Konzerndatenschutzbeauftragten bedeutet dies, dass er seinen Sitz innerhalb der EU haben sollte, auch wenn zum Konzern Unternehmen außerhalb der EU gehören. Die leichte Erreichbarkeit muss zudem nicht nur gegenüber den einzelnen Unternehmen bestehen, sondern auch für Betroffene und Aufsichtsbehörden.

Sprachkenntnisse und leichte Erreichbarkeit sind auch für die zweite entscheidende Aufgabe des Konzerndatenschutzbeauftragten erforderlich: Er ist für die Überwachung der Umsetzung der DSGVO durch die Unternehmen des Konzerns verantwortlich. Diese zusätzliche Aufgabe hat Konsequenzen für Haftungsfragen, da bei einer Verletzung – anders als bisher- ebenfalls die hohen Bußgelder der DSGVO drohen. Für die Verletzung der Pflichten des Datenschutzbeauftragten haften grundsätzlich die ihn beauftragenden Unternehmen, hier also der Konzern. Daneben können Unternehmen oder Konzerne jedoch dann haften, wenn sie den Datenschutzbeauftragten nicht hinreichend bei der Wahrnehmung seiner Pflichten unterstützen. Wird dem Konzerndatenschutzbeauftragten daher nicht die Möglichkeit eingeräumt einen Überblick über die datenschutzrechtlich relevanten Vorgänge innerhalb der einzelnen Unternehmen, vor allem aber in der Zusammenarbeit zwischen den einzelnen Unternehmen zu gewinnen und kann er deshalb seine Aufgaben nicht wahrnehmen, kann für Unternehmen u.U. aus doppelten Gründen ein Haftungsrisiko entstehen.

Außerdem ist der Konzerndatenschutzbeauftrage für die Zusammenarbeit mit den Aufsichtsbehörden verantwortlich. Dabei ist wichtig, dass er ihre Funktion innerbetrieblich ergänzt und daher für den gesamten Konzern auf eine transparente Zusammenarbeit mit den Aufsichtsbehörden hinwirkt.

Zudem bestehen die Aufgaben des Konzerndatenschutzbeauftragten in der Beratung bei und der Durchführung einer Datenschutz-Folgenabschätzung. In Fällen, in denen ein erhöhtes Risiko für die Rechte des Betroffenen an informationeller Selbstbestimmung bestehen, also immer dann, wenn ein Eingriff in die Privatsphäre besonders tiefgreifend ist, ist eine solche Datenschutz-Folgenabschätzung durchzuführen. Beispiel hierfür ist die Video-Überwachung. Es ist erst recht von einem solch hohen Risiko auszugehen, wenn besonders sensible Daten (wie Gesundheitsdaten) verarbeitet werden. Mittels der Datenschutz-Folgenabschätzung soll der Konzerndatenschutzbeauftragte abwägen ob in einem Unternehmen, mehreren Unternehmen oder durch die Datenweitergabe zwischen den einzelnen Unternehmen des Unternehmensverbundes die Interessen von Betroffenen oder die Interessen des Konzerns (oder eines einzelnen Unternehmens) überwiegen. Sollte eine Gefahr für die Interessen und Rechte der Betroffenen bestehen, trifft der Konzerndatenschutzbeauftragte sodann erforderliche Maßnahmen um bereits im Vorfeld die Daten des Betroffenen besser zu schützen. Dies kann beispielsweise durch eine frühzeitige Aufklärung, im Vorfeld der Datenverarbeitung oder entsprechende technische Voreinstellungen (Privacy by design) geschehen.

Welche Vorteile hat die Berufung eines Konzerndatenschutzbeauftragten?

Ein Konzerndatenschutzbeauftragter kann wie ein externer Datenschutzbeauftragter leicht einen Überblick über die gesamten datenschutzrechtlich relevanten Fragestellungen im Konzernverbund gewinnen. Gerade bei Verarbeitung personenbezogener Daten durch Weitergabe zwischen einzelnen Unternehmen kann sich häufig die Frage der Verantwortlichkeit für die Einhaltung der DSGVO-Vorgaben ergeben, die durch einen Konzerndatenschutzbeauftragten transparent und damit im Sinne der DSGVO geklärt werden kann. Zudem können Unternehmen mittels eines Konzerndatenschutzbeauftragen auch ihren Dokumentationspflichten nachkommen und damit den Beweislastregeln der DSGVO gerecht werden. Insgesamt mindert ein Konzerndatenschutzbeauftragter daher das Risiko der hohen Bußgeldzahlungen nach der DSGVO erheblich, indem einheitliche Konzernstandards geschaffen werden. Zudem ergibt sich für Unternehmen durch die Bestellung eines einheitlichen Datenschutzbeauftragten ein Kostenvorteil. Die einheitlichen Vorgaben und Strukturen im Datenschutz für die gesamte Unternehmensgruppe können zudem die Vorgaben des Transparenzgebotes der DSGVO erfüllen.

Handlungsempfehlung

Konzernen ist wegen der Effizienz und Transparenz bei der Bestellung eines Konzerndatenschutzbeauftragten dringend zu raten diese Möglichkeit in Erwägung zu ziehen. Gerade die komplexen Vorgänge bei der Datenweitergabe zwischen Unternehmen und der Einschaltung von Auftragsverarbeitern erfordern einen übergeordneten Blick und Umgang mit datenschutzrechtlich relevanten Fragestellungen, um die hohen Bußgelder der DSGVO zu vermeiden.

Mehr Information finden Sie auf unserer Leistungsseite „Datenschutzbeauftragter

EU-US-Privacy-Shield – Der Anfang vom Ende?

Das Europäische Parlament wendet sich mit einem Entschließungsantrag an die EU-Kommission um den EU US-Privacy Shield überprüfen zu lassen.

Nicht erst seit dem Datenskandal um Facebook und Cambridge Analytica werden Datentransfers aus der EU in die USA kritisch betrachtet. Mit Wirkung der DSGVO seit dem 25. Mai 2018 hat sich die Aufmerksamkeit für dieses Thema nochmals erhöht. Insbesondere der als „EU-US Privacy Shield“ bezeichnete Angemessenheitsbeschluss der EU-Kommission, der Datentransfers in die USA ermöglicht, gilt als nicht mehr zukunftssichere Rechtsgrundlage. Unternehmen sollten sich daher mit anderen Rechtsgrundlagen für den Datentransfer in die USA beschäftigen.

Was sind Angemessenheitsbeschlüsse der EU- Kommission?

Bei Datentransfers in Länder außerhalb der EU unterscheidet die DSGVO zwischen „sicheren“ und „nicht sicheren“ Drittländern.

Unsichere Drittstaaten sind solche Staaten, für die kein Angemessenheitsbeschluss der EU-Kommission gemäß Art.45 Abs.3 DSGVO vorliegt. Angemessenheitsbeschlüsse kommen in der Regel dann zustande, wenn zwischen der EU und einem Drittstaat eine Übereinkunft dahin erzielt wird, dass ein der EU vergleichbares Datenschutzniveau im Umgang mit personenbezogenen Daten aus der EU, vom Drittland gewährleistet wird. In einem solchen Fall kann die Kommission bestätigen, dass das Datenschutzniveau im Drittland „angemessen“ ist, weshalb die Übermittlung von personenbezogenen Daten an Unternehmen oder Mitglieder der eigenen Unternehmensgruppe in diesem Drittland nicht gegen die DSGVO verstößt. Beispiel für ein entsprechendes Vorgehen ist der Angemessenheitsbeschluss der EU-Kommission in Bezug auf das EU-US Privacy Shieldsoweit selbstzertifizierte Organisationen betroffen sind, die sich dem Schutzmechanismus angeschlossen haben. Der Angemessenheitsbeschluss der EU-Kommission setzt aber nicht zwingend ein Übereinkommen mit einem Drittland voraus. Gemäß Art. 45 DSGVO kann die Kommission einen solchen Beschluss auch dann fassen, wenn sie allgemein zu der Auffassung gelangt, dass ein angemessenes Schutzniveau im Drittland besteht. Berücksichtigt werden dabei unter anderem die Menschenrechtssituation, Grundfreiheiten, Datenschutzvorschriften, Struktur der Aufsichtsbehörden und internationalen Verpflichtungen des Drittlandes.

Was ist der EU-US Privacy Shield?

Als Angemessenheitsbeschluss ermöglicht der EU-US Privacy Shield grundsätzlich Datentransfers von der EU in die USA. Voraussetzung ist, dass der Empfänger der Daten, also in der Regel ein US-Unternehmen, innerhalb des US-EU Privacy Shield als Unternehmen mit hohem Datenschutzniveau gelistet ist. Liegt diese Voraussetzung vor, können Datentransfers grundsätzlich ohne jede weitere Genehmigung erfolgen. Gleiches gilt für Datentransfers innerhalb einer Unternehmensgruppe, wenn ein Tochterunternehmen in den USA niedergelassen ist.

Der Privacy Shield stellt die Nachfolge des Save-Harbour-Abkommens dar, das der EuGH 2015 für unwirksam erklärt hatte. Weder Privacy Shield noch Safe-Harbour-Abkommen stellen rechtsverbindliche Abkommen dar. Dennoch bietet der Privacy Shield einen Rechtsrahmen, der die dort gelisteten Unternehmen und den insoweit mit den USA stattfindenden Datenaustausch als rechtssicher einordnet und damit auch aus Sicht der DSGVO legitimiert.

Weshalb ist der EU-US Privacy Shield in Gefahr?

Ausgangspunkt der Infragestellung des EU-US Privacy Shields war der Regierungswechsel in den USA und die Präsidentschaft von US-Präsident Donald Trump.

Grundlage für den EU-US Privacy Shield waren einige inneramerikanische Rechts- und Gesetzänderungen im Jahr 2016. Insbesondere konnten sich (bestimmte, u.a. deutsche) EU-Bürger auf US-Rechte nach dem amerikanischen „Privacy Act“ direkt vor US-Justizbehörden wenden.  Diese Rechts- und Gesetzesänderungen scheinen durch eine „Executive Order“ von US-Präsident Trump vom 25. Januar 2017 gefährdet, nach der „auf der Grundlage des geltenden Rechts“ [u.a.] der Schutz aus dem Privacy Act Nichtstaatsangehörigen der USA nicht mehr zugutekommen soll. Bisher ist nicht eindeutig geklärt, ob EU-Bürger damit gerade aus dem Schutz des US-Privacy-Act herausfallen oder gerade weiterhin davon profitieren, weil ihre Einbeziehung in den Privacy-Act gerade „geltendem Recht“ entspricht.

Für Unternehmen gilt es abzuwarten, welche Auslegung des US-Privacy Act sich etabliert. Grundsätzlich besteht nach wie vor ein wirksamer Angemessenheitsbeschluss der Kommission bezüglich des EU-US Privacy Shield, allerdings war die Anordnung des US-Präsidenten Ausgangspunkt für viele Debatten zu dessen Effektivität.

Die Artikel-29-Datenschutzgruppe, deren Stellungnahmen gewichtige Bedeutung bei der Auslegung der DSGVO zukommt, erklärte in ihrer Stellungnahme „EU-US-Privacy Shield- First annual Joint Review“ vom 28. November 2017, dass trotz des Privacy Shield in vielen Punkten Zweifel an einem mit der EU vergleichbaren Datenschutzniveau bezüglich der Daten von EU-Bürgern in den USA bestünden.

Insbesondere die fehlende Überprüfung der Einhaltung eines mit der EU vergleichbaren hohen Datenschutzniveaus durch unabhängige Aufsichtsbehörden in den USA wird bemängelt. Zudem bestehen Unterschiede in der Auslegung zentraler Begriffe des Privacy Shield wie etwa „HR Data“ zwischen US- und EU-Behörden. Auch die Regelung für automatische Entscheidungsfindung/Profiling sei nicht ausreichend und spezifisch genug getroffen worden, um den besonderen Gefahren der automatischen Entscheidungsfindung zu begegnen. Außerdem kritisiert die Datenschutzgruppe, dass es keine Überprüfungsmöglichkeit für unter Umständen trotz Privacy Shield erfolgende, unrechtmäßige Datensammlungen durch US-Behörden von Daten von EU-Bürgern gibt. Dazu passt, dass US-Finanz- und Strafverfolgungsbehörden aktuell Ausnahmen vom EU-Datenschutzrecht begehren. Zudem fehle es an einer unabhängigen und effektiven Funktion einer Ombudsperson speziell für Beschwerden von EU-Bürgern in den USA.

Unter anderem wegen dieser Kritikpunkte forderte der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Parlamentes der Europäischen Union (LIBE) die Kommission dazu auf, den EU-US Privacy Shield bis zum 01. September 2018 auszusetzen, nachzubessern und neu zu verhandeln. Im Anschluss an diese Forderung beschloss das Europäische Parlament in einem Entschließungsantrag vom 26.06.2018 der Forderung des LIBE-Ausschusses stattzugeben. Die Kommission wurde in diesem Antrag dazu aufgefordert den Privacy Shield auszusetzen, wenn bis zum 01. September kein mit der EU vergleichbares Datenschutzniveau in den bzw. durch die USA erkennbar sei. Die entscheidenden Passagen des Antrages des EU-Parlamentes lauten:

  • 31. fordert die Kommission auf, sämtliche Maßnahmen zu ergreifen, die erforderlich sind, damit der Datenschutzschild uneingeschränkt im Einklang mit der ab dem 25. Mai 2018 geltenden Verordnung (EU) 2016/679 und der EU-Grundrechtecharta steht, sodass das Kriterium der Angemessenheit nicht zu Schlupflöchern oder Wettbewerbsvorteilen für US-Unternehmen führt;
  • 32. bedauert, dass die Kommission und die zuständigen US-Behörden die Gespräche über die Datenschutzschild-Regelung nicht wieder aufgenommen und keinen Aktionsplan aufgestellt haben, um die festgestellten Mängel so schnell wie möglich zu beheben, wie die Artikel-29-Datenschutzgruppe in ihrem Bericht vom Dezember über die gemeinsame Überprüfung gefordert hat; fordert die Kommission und die zuständigen US-Behörden auf, dies unverzüglich zu tun;
  • 33. weist erneut darauf hin, dass der Schutz der Privatsphäre und der Datenschutz rechtlich durchsetzbare Grundrechte sind, die in den Verträgen, der Charta der Grundrechte und der Europäischen Menschenrechtskonvention sowie in Gesetzen und in der Rechtsprechung verankert sind; betont, dass sie so angewandt werden müssen, dass der Handel und die internationalen Beziehungen nicht unnötig behindert werden, aber nicht gegen wirtschaftliche oder politische Interessen „abgewogen“ werden dürfen;
  • 34. vertritt die Auffassung, dass die derzeitige Datenschutzschild-Regelung nicht das angemessene Schutzniveau bietet, das nach dem EU-Datenschutzrecht und der EU-Charta gemäß der Auslegung durch den Europäischen Gerichtshof erforderlich ist;
  • 35. ist der Ansicht, dass die Kommission nicht gemäß Artikel 45 Absatz 5 der Datenschutz-Grundverordnung tätig geworden ist, es sei denn, die USA erfüllen die Anforderungen bis zum 1. September 2018 vollständig; fordert die Kommission daher auf, den Datenschutzschild auszusetzen, bis die US-Behörden seine Bestimmungen einhalten;

 

Angesichts der oben genannten Anordnung von US-Präsident Donald Trump kann als unwahrscheinlich eingeordnet werden, dass die USA bis zum 1. September ein ausreichend hohes Datenschutzniveau gewährleisten werden. Sollte die Kommission dem Antrag des EU-Parlamentes stattgeben, stünde der Privacy Shield damit vor dem Aus.

Insgesamt können Datentransfers aktuell noch auf den Privacy Shield gestützt werden, allerdings kann dieser durch Beschlüsse der Kommission oder Urteile des EuGHs in naher Zukunft vor dem Aus stehen. Unternehmen sollten daher Datentransfers in die USA auf eine andere Grundlage stellen.

Weshalb handelt das EU-Parlament erst jetzt?

Als Stein das Anstoßes kann der Datenskandal um Facebook und die Analysefirma Cambridge Analytica gewertet werden. Beide Unternehmen hatten sich auf den Privacy Shield berufen um personenbezogene Daten aus der EU zu verarbeiten. Demgemäß verlangte das EU-Parlament, dass solche und weitere Unternehmen, die den Privacy Shield für nicht genehmigte Datenverarbeitungen missbrauchten, aus dem Schutz des Shields auszunehmen sind. Die Forderung richtete sich gleichermaßen an US- wie EU-Behörden.

Zudem weisen die Parlamentarier darauf hin, dass auf der Grundlage des im März 2018 in den USA verabschiedeten Cloud-Acts amerikanische Sicherheitsbehörden die Möglichkeit hätten auf Daten von US-Unternehmen auch dann zuzugreifen, wenn diese außerhalb der EU gespeichert worden seien. Daran kann ein Versuch des Unterlaufens des Privacy-Acts gesehen werden. Verhandlungen über Befugnisse von Sicherheitsbehörden bezüglich Daten innerhalb Europas, scheitern bisher am amerikanischen Widerstand.

Welche Befürchtungen hat die deutsche Wirtschaft?

Der Bundesverband der Deutschen Industrie warnt vor einem Aussetzen des Privacy Shields. Er verweist auf einen unpassenden Zeitpunkt des Antrages des EU-Parlamentes, da dieser zu großer Rechtsunsicherheit bei deutschen Unternehmen führe.

Welche Alternativen gibt es zum EU-US Privacy Shield für Datenübertragungen von der EU in die USA?

Den Sorgen der deutschen Wirtschaft kann durch Alternativen zum Privacy Shield für einen rechtssicheren Datentransfer in die USA begegnet werden. Alternativen zum EU-US Privacy Shield bestehen gemäß Artikel 46 DSGVO reichlich. Innerhalb der eigenen Unternehmensgruppe bieten sich vor allem Binding Corporate Rules als Lösung für den Datentransfer in die USA an. Außerhalb der eigenen Unternehmensgruppe kommen vor allem Standardvertragsklauseln in Betracht. Außerdem bieten sich genehmigte Verhaltensregeln (Code of Conducts) und ISO-zertifizierte Genehmigungen als Lösung an.

Fazit und Ausblick

Die mediale Aufmerksamkeit, die dem Datenskandal um Facebook und Cambridge Analytica zuteilwurde belegt, dass Datentransfers in die USA aktuell ein besonders sensibles Thema darstellen. Der Antrag des EU-Parlamentes kann daher als Fingerzeig für den Anfang vom Ende des EU-US Privacy Shield verstanden werden. Unternehmen, deren Datenempfänger innerhalb dieses Beschlusses gelistet sind, können diesen zwar weiter als Grundlage für Datentransfers in die USA nutzen, sollten allerdings rechtzeitig eine alternative Rechtsgrundlage in Betracht ziehen. Ohne den Privacy Shield gelten die USA als „nicht sicheres Drittland“, sodass Datentransfers ohne Rechtsgrundlage einen Verstoß gegen die DSGVO bedeuten und mit hohen Bußgeldern belegt werden.

Fragenkatalog: Sind Sie und Ihr Unternehmen bereit für die DSGVO?

Seit dem 25. Mai 2018 gilt die DSGVO. Die viel befürchtete Abmahnwelle ist zwar ausgeblieben, jedoch werden Unternehmen in Zukunft häufiger daraufhin überprüft werden, inwieweit sie die Vorgaben der DSGVO eingehalten haben. Einen Anfang machte die Landesbeauftragte für den Datenschutz in Niedersachsen. In einer branchenübergreifenden Querschnittsprüfung sollen Unternehmen angeschrieben werden und einen aus zehn Fragen bestehenden Katalog beantworten. Die Antworten sollen Aufschluss über die Frage geben, ob die Unternehmen die 2-jährige Übergangszeit zur Umsetzung der DSGVO genutzt haben.

Die Landesdatenschutzbeauftrage verweist in der entsprechenden Pressemeldung ausdrücklich darauf, dass es bei dem Fragenkatalog nicht primär um die Verhängung möglicher Bußgelder gehe. Dennoch sei es möglich, dass im Zusammenhang mit der Beantwortung der Fragen ein solches Verfahren eingeleitet werden müsse. Vor allem gehe es darum aufzuklären und für Datenschutz und eventuell erforderliche Maßnahmen nach der DSGVO zu sensibilisieren. Zielrichtung seien außerdem vor allem größere und mittlere Unternehmen. Anknüpfend an die Beantwortung der Fragen könnten sich in Zukunft in einzelnen Unternehmen Schwerpunktprüfungen anschließen.

Der Fragenkatalog fällt wie folgt aus:

Fragenkatalog Querschnittsprüfung DSGVO

  • Vorbereitung auf die DS-GVO
    Wie haben Sie sich als Unternehmen auf die DS-GVO vorbereitet? Schildern Sie (kurz) die Vorgehensweise, welche Bereiche involviert waren und welche Maßnahmen initiiert wurden. Sofern noch nicht alle Maßnahmen vollständig umgesetzt wurden, erläutern Sie bitte auch den Umsetzungsstatus.
  • Verzeichnis von Verarbeitungstätigkeiten
    Wie haben Sie sichergestellt, dass alle Ihre Geschäftsabläufe, bei denen personenbezogene Daten verarbeitet werden, in ein Verzeichnis von Verarbeitungstätigkeiten aufgenommen wurden? Wie stellen Sie dessen Aktualität sicher? Legen Sie bitte eine Übersicht Ihrer dokumentierten Verfahren sowie ein Beispielverfahren als Muster bei.
  • Zulässigkeit der Verarbeitung
    Auf Basis welcher Rechtsgrundlagen verarbeiten Sie personenbezogene Daten? Sofern Sie auch auf Basis von Einwilligungen personenbezogene Daten verarbeiten, legen Sie bitte Ihre verwendeten Muster bei.
  • Betroffenenrechte
    Wie stellen Sie die Einhaltung der Betroffenenrechte (auf Information, Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit) sicher? Skizzieren Sie Ihre diesbezüglichen Prozesse und gehen Sie insbesondere detailliert darauf ein, wie Sie Ihren Informationspflichten nachkommen. Vorhandene Musterinformationen fügen Sie bitte bei.
  • Technischer Datenschutz
    a. Wie stellen Sie sicher, dass Ihre technischen und organisatorischen Maßnahmen bzw. die Ihrer Dienstleister ein dem Verarbeitungsrisiko angemessenes Schutzniveau gewährleisten?
    b. Wie stellen Sie sicher, dass Ihre technischen und organisatorischen Maßnahmen an den jeweiligen Stand der Technik angepasst werden?
    c. Wie stellen Sie sicher, dass Sie für die von Ihnen aktuell oder zukünftig eingesetzten IT-Anwendungen ein dokumentiertes datenschutzkonformes Rollen- und Berechtigungskonzept haben?                                                                                                                                                                                               d. Wie stellen Sie sicher, dass bei der Änderung oder Neuentwicklung von Produkten oder Dienstleistungen Datenschutzanforderungen von Anfang an mitberücksichtigt werden (Privacy by Design und by Default)?
  • Datenschutz-Folgenabschätzung
    a. Wie stellen Sie sicher, dass Verarbeitungen mit einem voraussichtlich hohen Risiko für die Rechte und Freiheiten der Betroffenen erkannt und für diese eine Datenschutz-Folgenabschätzung durchgeführt wird?
    b.  Haben Sie in Ihrem Unternehmen Verarbeitungen mit einem voraussichtlich hohen Risiko für die Rechte und Freiheiten der Betroffenen identifiziert? Welche? Fügen Sie bitte die jeweilige Dokumentation zur Datenschutz-Folgenabschätzung bei.
  • Auftragsverarbeitung
    Haben Sie Ihre bestehenden Verträge mit Auftragsverarbeitern an die neuen Regelungen der DSGVO angepasst? Sofern Sie Musterverträge verwenden, fügen Sie diese bitte bei, darüber hinaus fügen Sie bitte einen aktuellen Beispielvertrag mit einem Ihrer Auftragsverarbeiter bei.
  • Datenschutzbeauftragter
    Wie ist Ihr Datenschutzbeauftragter in Ihre Organisation eingebunden? Welche Fachkundenachweise hat er
  • Meldepflichten
    Wie stellen Sie sicher, dass Ihr Unternehmen Datenschutzverstöße fristgemäß an die Aufsichtsbehörde meldet? Skizzieren Sie Ihre diesbezüglichen Prozesse.
  • Dokumentation
    Wie können Sie die Einhaltung aller vorstehend in Ziff. 2 – 9 genannten Pflichten nachweisen?

 

Der Fragenkatalog gibt deutliche Hinweise auf die von der Niedersächsischen Aufsichtsbehörde gesetzten Schwerpunkte. So scheint ein erster wesentlicher Schwerpunkt auf der Einhaltung von Dokumentationspflichten zu liegen. Unternehmen sollten daher die Prozesse zur Umsetzung der DSGVO nicht nur hinsichtlich ihrer Effizienz, sondern auch hinsichtlich der Dokumentation der entsprechenden Maßnahmen überprüfen. Dies gilt nicht nur für offensichtliche Dokumentationsanforderungen wie das Verzeichnis der Verarbeitungstätigkeiten, sondern etwa auch für den Nachweis der Fachkunde des Datenschutzbeauftragten und den Umgang mit Meldepflichten.

Des Weiteren ist zu erkennen, dass der Fragebogen wenig Detailschärfe aufweist. Vielmehr zielen etwa die Fragen nach Umsetzung der Betroffenenrechte und technischem Datenschutz auf detaillierte Angaben durch Unternehmen ab. Unternehmen sollten den hier bestehenden Umsetzungsspielraum einerseits erkennen, andererseits aber nicht zu großzügig auslegen.

Weniger deutlich klingen Fragen mit der Zielrichtung der Untersuchung des Transparenzgebotes der DSGVO an. Allerdings sollten vor allem die Fragen zu Musterverträgen, Mustereinwilligungserklärungen etc. nicht nur als Hinweis zur Einhaltung von Dokumentationspflichten, sondern auch als Grundlage für die Untersuchung von Transparenzvorgaben angesehen werden.

Auffällig ist zudem, dass bezüglich der Rechtsgrundlage für Datenverarbeitung nur die Einwilligung explizit erwähnt wird. Dies spricht dafür, dass es an klaren Anhaltspunkten für die Gewichtung von Interessen im Rahmen der Interessenabwägung gemäß Artikel 6 Abs.1 lit. (f) DSGVO bisher fehlt und diese noch entwickelt werden müssen. Unternehmen können mit der Antwort auf solche und ähnliche Untersuchungen daher selbst dazu beitragen, die Bedeutung einzelner Interessen – wie Werbeinteressen – hervorzuheben, bevor es zu Gerichtsverfahren kommt.

Die Einwilligung in der DSGVO und ihre Mythen – was stimmt und was stimmt nicht?

Im Datenschutzrecht gilt der Grundsatz: Die Verarbeitung von personenbezogenen Daten ist verboten, es sei denn das Gesetz oder die betroffenen Personen erlauben es. Die Erlaubnis der betroffenen Person wird Einwilligung in der DSGVO genannt. Das Gesetz stellt strenge Anforderungen an die Einwilligung. Aber welche sind es genau und stimmt alles was man darüber hört? Wir erläutern 10 Fehlvorstellungen über Einwilligungen nach der DSGVO:

1. Einwilligungen müssen stets in Schriftform eingeholt werden!

Bei der Form der Einwilligung kommt die DSGVO den Verantwortlichen entgegen. Eine „Erklärung oder sonstige bestätigende Handlung“ genügt, d.h. auch ein Kopfnicken würde theoretisch reichen. Allerdings nur theoretisch, denn Verantwortliche müssen nachweisen, dass die Einwilligung wirksam erteilt wurde (Dokumentations- und Beweispflicht). Dies wird bei einem Kopfnicken schwer. Stattdessen reicht bereits das aktive Anklicken eines Kontrollkästchens (Opt-in) aus. Ein vorangekreuztes Kästchen, welches deaktiviert werden muss (Opt-out) gilt hingegen nicht als wirksame Einwilligung.

Nicht ausreichend ist außerdem, wenn dem Nutzer einer Website der Hinweis eingeblendet wird, dass scrollen und wischen auf der Website eine Einwilligung in die Datenverarbeitung darstellen. Scrollt oder wischt der Nutzer schließlich auf der Website, so hat er nicht eindeutig gezeigt, dass er mit der Datenverarbeitung einverstanden ist. Hinweise wie „Mit dem Weitersurfen stimmen Sie der Datenverarbeitung zu“ sollten daher nicht verwendet werden.

2. Einwilligungen, die vor Geltung der DSGVO eingeholt wurden, sind hinfällig!

Das stimmt so nicht. Der europäische Gesetzgeber hat zugunsten der Verarbeiter entschieden, dass auch Einwilligungen, die vor dem 25.05.2018 eingeholt wurden, fortgelten sollen. Das heißt, dass einmal wirksam eingeholte datenschutzrechtliche Einwilligungen nicht noch einmal eingeholt werden müssen, sofern sie auch den Vorgaben der DSGVO entsprechen. Da die Anforderungen des alten Bundesdatenschutzgesetzes denen der DSGVO weitestgehend gleichen, wird in den meisten Fällen ein erneutes Einholen der Einwilligung nicht notwendig sein.

Achtung: Für die Einwilligung Minderjähriger gelten nun besondere Voraussetzungen.

3. Minderjährige können keine wirksame Einwilligung abgeben!

Es ist richtig, dass die DSGVO nun starre Altersgrenzen für die wirksame Abgabe einer Einwilligung vorsieht. Nach dem bisherigen deutschen Datenschutzrecht kam es lediglich auf die Einsichtsfähigkeit und geistige Reife der betroffenen Person an. Die DSGVO sieht nun vor, dass Minderjährige erst ab dem Alter von 16 Jahren wirksam in die Verarbeitung ihrer personenbezogenen Daten einwilligen können. Diese Altersgrenze kann von den Mitgliedsstaaten noch bis zur absoluten Untergrenze von 13 Jahren herabgesetzt werden. Für die Verarbeitung personenbezogener Daten von unter 16-jährigen benötigen Verantwortliche die Genehmigung des gesetzlichen Vertreters.

Mehr zum Thema:

Cookies & Einwilligungspflicht: Ratgeber nach BGH-Urteil – mit Whitepaper
Google Analytics: Rechtskonformer Einsatz nur mit Einwilligung des Nutzers?

4. Einwilligungen können auch nachträglich eingeholt werden!

Der Mythos, dass es auf den Zeitpunkt der Einholung der Erlaubnis nicht ankommt, stimmt nicht. „Einwilligung“ ist ein juristischer Begriff und bedeutet übersetzt vorherige Zustimmung. Das Gegenteil der Einwilligung ist die „Genehmigung“, d.h. nachträgliche Zustimmung, die eine Verarbeitung personenbezogener Daten nicht legitimiert.

5. Für Einwilligungen ist das Double-Opt-in-Verfahren zwingend!

Einwilligungen, die als Opt-in (also das Setzen eines Hakens in einem Kontrollkästchen) ausgestaltet sind, müssen aktiv erteilt werden. Die zur Verfügung Stellung einer Opt-out Möglichkeit ist nicht ausreichend. Fraglich ist nun, ob das sog. Double-Opt-in für die Erteilung der Einwilligung zwingend ist. Beim Double-Opt-in Verfahren wird auch zunächst der Haken gesetzt. Zusätzlich muss ein zur Verfügung gestellter Link, z.B. bei der Newsletter-Anmeldung, zur Bestätigung der Einwilligung angeklickt werden. Vorteil dieses Verfahrens ist, dass es einen erleichterten Nachweis über die Erteilung der Einwilligung bietet, welcher für die Dokumentations- und Beweispflicht des Verantwortlichen zwingend erforderlich ist. Kann dieser Nachweis auch mit dem Single-Opt-in Verfahren erbracht werden reicht dies aus, sodass ein Double-Opt-in nicht zwingend durchgeführt werden muss. Allerdings kann festgehalten werden: Das Double-Opt-in bietet mehr Sicherheit vor Sanktionen und doppelt hält ohnehin immer besser!

6. E-Mail-Marketing ist nur mit einer Einwilligung zulässig!

Die Zulässigkeit des E-Mail-Marketings richtet sich nicht nur nach der DSGVO, sondern auch nach dem „Gesetz gegen unlauteren Wettbewerb“ (UWG). Danach kann E-Mail-Marketing grundsätzlich nur mit Einwilligung des Empfängers der Werbung betrieben werden. Allerdings kann das sog. Bestandskundenprivileg eingreifen. Dazu müssen die Voraussetzungen des § 7 Abs. 3 UWG gegeben sein, die u.a. fordern, dass der Werbetreibende die E-Mail-Adresse vom Adressaten selbst und im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung erhalten hat. Die E-Mail-Adresse darf dann ausschließlich für Werbung für ähnliche Waren oder Dienstleistungen verwendet werden, der Kunde muss darüber informiert worden sein und darf dem nicht widersprochen haben. Liegen diese Voraussetzungen vor, dann kann die Datenverarbeitung über das berechtigte Interesse des Verantwortlichen, Direktwerbung betreiben zu dürfen, gerechtfertigt sein. Allerdings muss der Kunde auf sein Widerspruchsrecht hingewiesen werden, das er auch jederzeit ausüben darf.

7. Eine Einwilligung für alle Verarbeitungen reicht aus!

Die Vorstellung, eine pauschale Einwilligung für die unbeschränkte Verarbeitung von personenbezogenen Daten reiche für die Legitimierung aus, ist grob falsch. Die Grundsätze der Einwilligung sind Freiwilligkeit und Zweckbindung. Der Betroffene muss genauestens darüber informiert werden, zu welchem Zweck seine Daten verwendet werden. Daraufhin muss er selbst entscheiden können, in welche Verarbeitungsvorgänge er einwilligen möchte.

Achtung: Freiwilligkeit ist nicht gegeben, wenn die Erbringung einer Leistung davon abhängig gemacht wird, dass in eine Verarbeitung eingewilligt wird, die zur Erbringung der Leistung nicht notwendig ist (sog. Kopplungsverbot).

Beispiel: Ein Kunde bestellt Waren in einem Onlineshop. Während des Bestellprozesses wird der Kunde darauf hingewiesen, dass die eingegebenen Daten (z.B. Mail-Adresse, Anschrift, Telefonnummer) auch für Werbezwecke genutzt werden können. Um den Bestellprozess fortsetzen zu können, muss der Kunde seine Einwilligung in die Nutzung seiner Daten zu Werbezwecken geben. Da die Einwilligung in die Datenverarbeitung nicht notwendig für die Leistungserbringung – Versand des Produkts – ist, greift das Kopplungsverbot. Ebenso greift das Kopplungsverbot bei sog. „Cookie Walls“. Das Verweigern des Zugriffs auf eine Website, wenn der Websitebesucher mit den verwendeten Cookies und Trackern nicht einverstanden ist, wurde vom Europäischen Datenschutzausschuss als unzulässig erachtet.

Wann das Kopplungsverbot greift, ist jedoch immer im Einzelfall zu entscheiden. So hat das OLG Frankfurt 2019 die Freiwilligkeit in einem Fall als gegeben erachtet, wo die Teilnahme an einem Online-Gewinnspiel davon abhängig gemacht wurde, dass der Teilnehmer in Werbeanrufe des Gewinnspielanbieters einwilligt (OLG Frankfurt a.M. – Urt. v. 27.6.2019, Az. 6U 6/19) . Der Verbraucher könne immer noch selbst entscheiden, ob es ihm die Teilnahme am Gewinnspiel wert sei, seine Daten preiszugeben.

8. Der Widerruf der Einwilligung muss 1:1 der Erteilung gleichen!

Eine einmal erteilte Einwilligung muss für die Zukunft widerrufen werden können. Interessant ist in diesem Zusammenhang die Regelung des Art. 7 Abs. 3 S. 4 DSGVO: Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein. Das bedeutet allerdings nicht, dass das Widerrufsverfahren dem der Erteilung eins zu eins entsprechen muss. Vor allem im Online-Handel wird die Einwilligung meist per Opt-in einmalig vor Beginn des Datenverarbeitungsvorganges erteilt, ohne dass die Möglichkeit der späteren Entfernung des Hakens besteht, es sei denn es besteht ein Kundenkonto. Das Stichwort lautet Simplizität. So lange eine einfache Möglichkeit zum Widerruf der Einwilligung geboten wird, ist dies ausreichend. In Newslettern ist dies beispielsweise durch einen Unsubscribe-Link am Ende der Mail möglich, oder eine Opt-out-Option in der Datenschutzerklärung.

Achtung: Auf die Möglichkeit des Widerrufs muss eindeutig und gut lesbar hingewiesen werden.

9. Ohne Einwilligung kann ich keine Daten verarbeiten!

Fehlt es an einer Einwilligung, bzw. einem Einverständnis gem. Art. 6 Abs. 1 lit. a DSGVO, und besteht auch sonst keine Rechtsgrundlage aus dem Vertragsverhältnis mit dem Betroffenen nach Art. 6 Abs. 1 lit. b DSGVO, oder eine gesetzliche Erlaubnisnorm nach lit. c derselben Norm, kann eine Verarbeitung unter bestimmten Voraussetzungen auch auf berechtigte Unternehmensinteressen gestützt werden, soweit diese die Rechte und Interessen des Betroffenen überwiegen (Art. 6 Abs. 1 lit. f DSGVO). Auch ohne Einwilligung kann es im Datenschutzrecht also gehen. Denn nach der DSGVO werden laut den Erwägungsgründen ausdrücklich auch wirtschaftliche Interessen und dabei namentlich auch die Direktwerbung als berechtigtes Unternehmensinteresse anerkannt. Allerdings müssen Unternehmen eine Interessenabwägung auch tatsächlich vornehmen und diese muss zugunsten des Unternehmens ausfallen. Generell gilt, dass die Anforderungen an das Vorliegen eines berechtigten Interesses von den Datenschutzbehörden hoch eingestuft werden. Werden allerdings sensible Daten aus Art. 9 Abs. 1 DSGVO verarbeitet, so stellt eine ausdrücklich erteilte Einwilligung im Regelfall, vorbehaltlich Ausnahmen, die rechtlich einzige Möglichkeit dar, diese Daten zu verarbeiten.

10. Für jedes Cookie benötige ich eine Einwilligung!

Achtung: Neues BGH-Urteil zur Cookie-Problematik!

Bei Cookies handelt es sich um personenbezogene Daten, die sich an der DSGVO messen lassen müssen. Das bedeutet, dass die Verwendung von Cookies grundsätzlich verboten ist, es sei denn die betroffene Person hat eingewilligt, oder es liegt ein anderer Erlaubnisgrund aus Art. 6 DSGVO vor. In der Praxis wird vor allem die Einwilligung relevant sein. Das gilt insbesondere seitdem der BGH am 28.05.2020 entschieden hat, dass für Cookies, die Nutzungsprofile für Werbung, Marktforschung oder bedarfsgerechte Gestaltung erstellen, ab sofort eine Einwilligungspflicht besteht (BGH Urt. v. 28.Mai 2020 – I ZR 7/16) . Für die Verwendung von Tracking Tools wie Google Analytics ist damit ab sofort eine Einwilligung einzuholen. Im Umkehrschluss bedeutet das Urteil allerdings, dass für Cookies, die für den Websitebetrieb erforderlich sind, keine Einwilligung notwendig ist. Wenn jedoch eine Einwilligung eingeholt werden muss, dann muss sie auch den o.g. Anforderungen entsprechen und per Opt-In eingeholt werden.

Die Datenverarbeitung durch Cookies aufgrund eines berechtigten Interesses gem. Art. 6 Abs. 1 lit. f) DSGVO kommt in allen anderen Fällen, in denen keine Einwilligungspflicht besteht, ebenfalls als mögliche Rechtsgrundlage in Betracht. Es ist abzuwägen, ob das Interesse an der Datenverarbeitung das Interesse des Betroffenen am Schutz der Daten überwiegt. Allerdings hat die DSK (Datenschutzkonferenz), in welcher sich die Datenschutzbehörden des Bundes und der Länder auf gemeinsame Positionen verständigen, diesbezüglich ein streitbares Positionspapier veröffentlicht. Darin fordern sie die zwingende Einholung einer informierten Einwilligung (Opt-in) bevor Cookies platziert werden.

Achtung: Dem Betroffenen muss immer die Möglichkeit des Widerspruchs eingeräumt und darüber deutlich informiert werden.

PSD2 – Zahlungsverkehr 2.0 – Welche Chancen und Risiken gibt es?

Update am 5.8.2019

Die Umsetzung der PSD 2 geht in die heiße Phase! Seit Mitte März sind Geldinstitute verpflichtet, die neuen vorgeschriebenen technischen Standards aus PSD 2 und den von der EBA veröffentlichten Regulatory Technical Standards (RTS) zu testen. Das bedeutet konkret, dass durch die Geldinstitute ein PSD2-konformes Testsystem bereitgestellt werden muss, bei dem Drittanbieter sich identifizieren und auf Testkonten zugreifen können. In einer zweiten Phase, die ebenfalls bereits angelaufen ist, müssen die Testkonten durch echte Konten ersetzt werden. Bis September muss dann die endgültige gesetzeskonforme Authentifizierungslösung feststehen, funktionieren und zum Einsatz kommen.

Hintergrund

Seit dem 13. Januar 2018 gilt die PSD2 (Payment Service Directive/ Zahlungsdiensterichtlinie) in Form des Zahlungsdienstaufsichtsgesetzes (ZAG) auch in Deutschland. Die neue Richtlinie regelt die Rahmenbedingungen für Zahlungsdienstleistungen und hat das Ziel diese sicherer und einfacher zu gestalten und zudem den Wettbewerb zwischen klassischen Banken (deren Monopol aufgebrochen werden soll) und modernen Zahlungsdienstleistern (FinTechs) zu fördern. Da die in diesem Zusammenhang verwendeten Daten sehr sensibel sind, war ein europaweit einheitlicher Rahmen zum Schutz dieser Daten erforderlich.

Welche FinTechs sind vom Anwendungsbereich der PSD2 umfasst?

Die PSD2 bietet erstmalig eine Rechtsgrundlage für den Marktzugang von FinTechs, da sie alle Zahlungsdienste (nicht nur solche durch klassische Banken) erfasst, die innerhalb der EU erfolgen. Zudem sind anders als bei der Vorgängerrichtlinie auch Zahlungen aus und mit Drittländern sowie in Fremdwährungen erfasst.

Namentlich umfasst sind dabei Zahlungsauslösedienstleister (Payment Initiation Service Providers, PISPs) und Kontoinformationsdienstleister (Account Information Service Provider, AISPs). PISPs, wie Klarna, führen Zahlungsvorgänge durch Zugriff auf das Bankkonto des Kunden aus. AISPs dienen vor allem dazu dem Kunden einen Überblick über Transaktionen und sonstige Kontoinformationen zu verschaffen, wenn er über mehrere Konten (bei verschiedenen Banken) verfügt.

Was verändert sich für Banken und FinTechs durch die PSD2?

Bisher mussten Kunden für Zahlungsdienste auf ihr Konto bei einer klassischen Bank zugreifen und die Instrumente ihrer Bank nutzen. Die PSD2 verlangt von Banken nun, dass sie Drittanbietern/FinTechs Zugriff auf das Kundenkonto gewähren, wenn der Kunde die Zahlungsdienstangebote des Drittanbieters wahrnehmen möchte. Die Bank ist in diesem Fall nicht mehr direkt an den Zahlungsdienstleistungen beteiligt.

Allerdings gibt es für FinTechs und sonstige Drittanbieter gewisse Hürden beim Eintritt in den Markt des Zahlungsverkehrs zu beachten. So sind die von der Europäischen Bankenaufsichtsbehörde EBA vorgegebenen technischen Regulierungsstandards/Regulatory Technical Standards (RTS) zwingend einzuhalten. Diese legen fest, wie Schnittstellen zu klassischen Banken und damit zum Kundenkonto ausgestaltet sein müssen. Daneben müssen FinTechs vor dem Markeintritt einen entsprechenden Antrag bei der BaFin stellen und die Registrierung (Lizenzierung) abwarten.

Welche Konsequenzen ergeben sich für Online-Händler durch die PSD2?

Zum einen setzt die PSD2 einen deutlichen Trend zum kostenlosen Onlinezahlen. Die extra Gebühren für ein bargeldloses Zahlungsmittel fallen weitestgehend weg, sodass Kunden sich eher für den Online-Handel entscheiden könnten. Zudem haben Online-Händler die Möglichkeit, eigene Zahlungsdienste anzubieten, sich entsprechend bei der BAFIN zu registrieren und dann etwa als AISP wertvolle Informationen über das Konsumentenverhalten und Kaufentscheidungen zu erlangen. Zudem können Händler sog. Instant Payment Services einrichten, durch die sie die Möglichkeit haben, den Kaufpreis direkt vom Kundenkonto auf ihr eigenes Konto einzuzahlen und damit anders als z.B. bei Lastschriften eine Zahlungsgarantie haben. (Siehe auch unseren Beitrag: „PSD 2 & 2-Faktor-Authentifizierung: Umsetzungsbedarf für Online-Händler“)

Sollten Online-Händler nicht selbst Zahlungsdienstleistungen anbieten, sollten sie darauf achten, bei der Auswahl der möglichen Zahlungsdienste neben dem Renommee und der Sicherheit der verschiedenen Anbieter, auch auf kreative Lösungen zu blicken. Die PSD2 ermöglicht FinTechs einen größeren Handlungsspielraum bei Zahlungsdiensten und somit die Chance Kundenerwartungen eher zu entsprechen, die in den letzten Jahren gerade auch unkomplizierte und schnelle Lösungen zu beinhalten schienen. Bei der Einbindung eines regulierten Zahlungsdienstleisters müssen allerdings bestimmte Anforderungen gewahrt werden, um nicht selbst in die Regulierung zu rutschen.

Teilweise befürchten Online-Händler durch die strengeren Sicherheitsvorkehrungen (dynamischer Code, TAN, Fingerabdruck s. dazu sogleich im Detail) jedoch auch eine Verkomplizierung der Online-Zahlungen, die Kunden abschrecken könnte. 

Welche datenschutzrechtlichen Regelungen enthält die PSD2?

Nach der PSD2 ist vor allem darauf zu achten, dass Zahlungsdienstleister nur mit der ausdrücklichen Zustimmung (Einwilligung) ihrer Nutzer personenbezogene Daten verarbeiten dürfen. Durch den Verweis auf die seit dem 25. Mai 2018 geltende Datenschutz-Grundverordnung (DSGVO) kann diese Einwilligung mündlich, schriftlich oder elektronisch erfolgen, muss jedoch ausdrücklich ergehen und darf sich nicht etwa aus den Umständen ergeben. Eine Möglichkeit zur Einholung der Einwilligung ist die Datenschutzerklärung. Die PSD2 legt dabei in Verbindung mit der DSGVO größten Wert auf Transparenz und Verständlichkeit. Dem Kunden muss also in einer einfachen und verständlichen Sprache erklärt werden, worin er genau einwilligt.

Die EBA hat bei der Schaffung der technischen Standards ebenfalls die datenschutzrechtlichen Vorgaben zu berücksichtigen. Die Kommunikation zwischen FinTech und Bank muss dabei den selben Transparenzanforderungen unterliegen, wie sie gegenüber Betroffenen gelten.

Weiterhin haben FinTechs auf datenschutzfreundliche technische Voreinstellungen (Privacy by Design) zu achten und sollten dazu gegebenenfalls rechtlichen Rat einholen.

Zudem sollten FinTechs dringend den engen Zweckbindungsgrundsatz beachten. So dürfen AISPs zwecks Kontenübersicht mit Einwilligung des Nutzers erhobene Daten keinesfalls für Werbung oder Scoring verwenden.

FinTechs haben sowohl gegenüber Banken (ebenso wie Banken gegenüber FinTechs) als auch gegenüber Betroffenen den Grundsatz der Datensparsamkeit zu berücksichtigen. Demgemäß dürfen niemals mehr Daten erhoben werden, als für die Umsetzung des entsprechenden Kundenauftrages erforderlich sind.

In Verbindung mit der DSGVO drohen hohe Bußgelder von bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro.

Wie ist die Sicherheit der Daten darüber hinaus geregelt?

Da die PSD2 den Kontozugriff nicht mehr auf klassische Banken beschränkt, muss sie auch bei den Sicherheitsanforderungen höhere Standards anlegen. So reicht für Online-Zahlungen und sonstige Transaktionen ein Log-In mit Benutzername und Passwort nicht mehr aus. Ab bestimmten Summen wird nun immer die TAN oder ein dynamisch hergestellter Code, der per SMS an das Handy des Nutzers gesendet wird, abgefragt. Jedenfalls ist neben dem Passwort immer ein zweiter Sicherungsschritt erforderlich, der in Zukunft auch in einem Fingerabdruck oder anderen biometrischen Medium bestehen kann. Darüber hinaus müssen auch die Apps und Code-Algorithmen ebenso wie TAN-Systeme den strengeren Sicherheitsanforderungen der PSD2 angepasst werden. 

Welche Probleme bestehen bezüglich der Umsetzung der PSD2?

Erstes Problem bezüglich der Umsetzung der PSD2 dürfte eine gewisse Unklarheit bezüglich des Anwendungsbereichs für bestimmte AISPs sein. So sind Dienste, die eine direkte Vertragsbeziehung zum Nutzer aufweisen und Übersichten über Multibanking-Produkte bieten unstreitig erfasst.

Schwieriger und durch die Rechtsprechung zu klären, ist jedoch die Frage ob auch zum Beispiel folgende Dienste einbezogen sind und damit ebenfalls der Antrags- und Registrierungspflicht durch die BAFIN unterliegen.

Buchhaltersoftware (soweit Kontoinformationen einsehbar sind); Dienste, die Kontowechsel erleichtern sollen; Dienste, die Kredite vermitteln und dabei Einsicht in Kontoinformationen nehmen; Kündigungsdienste, die u.a. auf Kontobewegungen blicken um über die Kündigung zu entscheiden. Eine Übersicht über die Antrags- und Lizenzpflicht geben die EBA Guidelines (Download als PDF).

Grundsätzlich besteht die Pflicht zur Registrierung bis April 2018, es sei denn das FinTech arbeitet bereits seit vor Januar 2016 in von der PSD2 reglementierten Gebieten. Unklar ist, ob die BAFIN im Falle registrierungspflichtigerer aber ohne Antrag ausgeübter Fin-Tech-Tätigkeit, die Zahlungsdienstleistungen untersagen kann

Zudem ist teilweise unklar für welche Kontoarten, die PSD2 gelten soll. So ist das Girokonto unstreitig ein solches, auf das FinTechs auf Kundenanweisung nun zugreifen können. Weniger eindeutig ist dies etwa für Kreditkartenkonten oder kontoähnlichen Angeboten wie PayPal. Hier sind Einzelfallentscheidungen danach geboten, ob und inwieweit das Konto im jeweiligen Fall funktional einem Girokonto entspricht.

Darüber hinaus sind einige der RTS (z.B. zur „starken Kundenauthentifizierung“) noch ungenau oder umstritten. Insbesondere bezüglich der Schnittstellen von Banken und FinTech-Angeboten kann es europaweit zu unterschiedlichen Umsetzungen kommen, die sowohl FinTechs als auch Online-Händler vor große Herausforderungen stellen können. Banken, die hier eigeninitiativ einheitliche Lösungen anbieten, könnten sich trotz oder gerade wegen der neuen Konkurrenz durch FinTechs Wettbewerbsvorteile verschaffen. Zudem beklagen sowohl Online-Händler als auch FinTechs, dass die Summe, ab der Zusatz-Authentifikationen verlangt werden (derzeit liegt diese bei 30€) zu niedrig sei und den Online-Handel verlangsame. Auch hier haben klassische Banken die Möglichkeit durch Kooperationen mit Online-Händlern die Summe höher anzusetzen und sich im neuen Zahlungsdienstemarkt besser zu positionieren.

Ein Bereich, in dem lange Zeit Unklarheit bestand war der des sog. Screen Scrapings, mittels dessen die Internetseite von Banken durch FinTechs ausgelesen wurde, um Zugriff auf das Kundenkonto zu erlangen. Dieser Zugriff wird durch die RTS dahingehend konkretisiert, dass er nur über eine spezifische Schnittstelle (API) erfolgen darf, wodurch das Screen Scraping weitestgehend verboten ist. Zu einem maschinengesteuerten Auslesen des Kundenkontos kann es also nicht mehr kommen. Grundsätzlich müssen Banken diese APIs bis zum dritten Quartal 2019 umgestalten, um den Zugriff zu ermöglichen.

Fazit

Die PSD2 bietet FinTechs die Möglichkeit im Markt der Zahlungsdienste mitzumischen. Kreative Lösungen und Abweichungen von veralteten Bankinfrastrukturen sind somit möglich. Dies sollte jedoch nicht zu Lasten der Datensicherheit oder des Verbraucherschutzes gehen, da gerade wegen der größeren Angebotsvielfalt und der Sensibilität der betroffenen Daten, Kunden neuen, wenig etablierten Anbieten schneller den Rücken kehren werden. Bei der Ausgestaltung der Schnittstellenstruktur zwischen Banken und FinTechs ist im Idealfall von einer Kooperation aller beteiligten Parteien auszugehen, um den Übergang in die neue Zeitrechnung im Online-Zahlungsverkehr so schnell und sicher wie möglich zu bewerkstelligen.

Data Driven Marketing nach den neuen EU-Datenschutzregeln – was ist möglich?

Nutzer-Daten. Sie sind die tragende Säule des modernen Marketings, allerdings nur für den, der es schafft, das immer größer werdende Volumen zu verwerten und für sich zu nutzen. Den individuellen Nutzer zur richtigen Zeit mit dem richtigen Angebot zu einer gewollten Handlung bewegen und daraus einen Wettbewerbsvorteil ziehen:  das ist die Herausforderung, der moderne Unternehmen in einer zunehmend vernetzten Welt gegenüberstehen.

Das Zauberwort heißt datengetriebenes Marketing (Data Driven Marketing). Datensätze, die beispielsweise mittels Webanalyse- Tools generiert wurden, werden verknüpft, analysiert und zu exakten Datenmodellen zusammengeführt. Der Vorteil von Data Driven Marketing liegt darin, Kundenerlebnisse hochgradig zu individualisieren.

Die Vorteile des datengetriebenen Marketings bedingen allerdings die Einhaltung von geltenden Datenschutzregeln, die sich seit dem 25. Mai 2018 mit der Datenschutz-Grundverordnung (DSGVO) und voraussichtlich 2019 mit der Einführung der ePrivacy – Verordnung erheblich verschärfen.

Hintergründe über die neuen EU- Datenschutzregeln DSGVO und ePrivacy-VO

Ziel der neuen Datenschutzregelungen ist es, personenbezogene Daten der Nutzer und ihren freien Verkehr besser unter Schutz zu stellen. Der bisherige Entwurf der ePrivacy–VO geht sogar noch weiter, indem sie den gesamten Bereich der elektronischen Kommunikation regeln soll, d.h. nicht nur personenbezogene Daten (z.B. Name, Adresse, Geburtsdatum von natürlichen Personen, aber auch IP-Adressen und Cookies), sondern auch die Übermittlung von Maschine-zu-Maschine-Kommunikation (z.B. SmartHome, vernetzte Autos) und somit die gesamte digitale Wirtschaft.

Ursprünglich sollte die ePrivacy-VO zusammen mit der DSGVO ab 25. Mai 2018 gelten. Dieser Zeitplan wird allerdings nicht eingehalten werden können, da sowohl das EU- Parlament, als auch die EU-Kommission verschiedene Entwürfe ausgearbeitet haben, die sich in verschiedenen Streitpunkten erheblich unterscheiden. Zudem ist noch nicht absehbar, ob es, wie schon bei der DSGVO, eine Übergangsfrist geben wird und wie lang sie sein wird.

Was hat sich durch die DSGVO geändert?

Seit dem 25. Mai 2018 gilt die DSGVO. Der Grundsatz der DSGVO, wie auch beim bisherigen BDSG, liegt darin, dass personenbezogene Daten nur mit Einwilligung (Opt-in) der betroffenen Person verarbeitet werden dürfen. Sie muss freiwillig erfolgen und darf gem. Art. 7 Abs. 4 DSGVO nicht Bedingung für die Erbringung einer Dienstleistung sein, wenn die Verarbeitung der Daten dafür nicht erforderlich ist (Kopplungsverbot). Die Einwilligung muss nachweisbar gespeichert werden und bei Nachfragen durch Aufsichtsbehörden oder dem Verbraucher selbst, abrufbar sein. Zudem muss der Einwilligende in transparenter und leicht verständlicher Weise darauf hingewiesen werden, dass er gem. Art. 7 Abs. 3 DSGVO ein jederzeitiges Widerrufsrecht hat.

Zusätzlich enthält die DSGVO eine Reihe von Erlaubnistatbeständen, die eine Verarbeitung von personenbezogenen Daten auch ohne Einwilligung ermöglichen. Dies gilt z.B., wenn die Daten für die Erfüllung von Verträgen erforderlich sind (Art. 6 Abs. 1 lit. (b) DSGVO) oder, wenn das Unternehmen ein berechtigtes Interesse an der Verarbeitung hat (Art. 6 Abs. 1 lit. (f) DSGVO). Ein solches berechtigtes Interesse besteht beispielsweise bei der Verarbeitung von Daten zur Reichweitenmessung, der Direktwerbung oder dem Einsatz von Analysetools. Voraussetzung ist, dass die schutzwürdigen Interessen der betroffenen Personen (z.B. Schutz der Privatsphäre) nicht den Interessen der Verantwortlichen überwiegen. Hier muss eine Interessenabwägung vorgenommen und darauf hingewiesen werden, dass der betroffenen Person ein Widerspruchsrecht zusteht (Opt-out). An die Interessenabwägung stellt die DSGVO hohe Anforderungen, zudem muss der Verarbeitende dem Betroffenen seine Gründe darlegen und diese auch dokumentieren.

Das für die Werbebranche wichtige Profiling wird in Art. 4 Abs. 4 DSGVO definiert, als „jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass die personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte (z.B. Alter), die sich auf eine natürliche Person beziehen, zu bewerten […]“. Mittels Profiling ist es möglich, Nutzerprofile auf Grundlage automatisch erhobener personenbezogener Daten zu erstellen und so Kundenangebote zu optimieren und persönliche Handlungsempfehlungen geben zu können. Entfaltet das automatisierte Profiling eine rechtliche oder ähnlich erhebliche beeinträchtigende Wirkung für den Betroffenen (z.B. eine Kreditentscheidung) ist eine Einwilligung notwendig, es sei denn, einer der in Art. 22 Abs. 2 DSGVO genannten Erlaubnistatbestände, greift ein. Für personalisierte Werbung wird weder eine Einwilligung, noch einer der Erlaubnistatbestände erforderlich sein, da sie bereits keine rechtliche oder ähnliche Wirkung für den Betroffenen entfaltet.

DSGVO: Handlungsempfehlungen für Unternehmen

Die DSGVO ähnelt in vielen Bereichen dem bisherigen BDSG, enthält aber auch einige Neuerungen. Werbetreibende sollten die neuen Regelungen, insbesondere im Hinblick auf die verschärften Bußgelder (bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahrs) oder Abmahnungen durch Wettbewerber, ernst nehmen. Information und Transparenz gegenüber dem Kunden, insbesondere im Rahmen der Interessenabwägung und das Einholen von Einwilligungen, wo sie erforderlich sind, werden den Unternehmen helfen. Zudem sollte auf die Praxis von Aufsichtsbehörden und zukünftiger Rechtsprechung geachtet werden.

Welche Neuerungen gibt es für das digitale Business durch die ePrivacy-Verordnung?

Im Gegensatz zur DSGVO, die in großen Teilen den bisherigen Regelungen gleicht, hat die ePrivacy-VO das Zeug, die digitale Werbewelt radikal über den Haufen zu werfen. Sie wird die so genannte Cookie- Richtlinie ersetzen und soll den Schutz der elektronischen Kommunikation sicherstellen.

Bisher basiert der größte Teil der digitalen Werbewirtschaft auf Cookies, mit denen Nutzer beispielsweise verfolgt werden (Tracking), um für die Customer-Journey-Analyse eine exakte Datenspeicherung über das Verhalten des Nutzers generieren zu können.

Die damalige Cookie-Richtlinie legte fest, dass Webseiten-Anbieter ihre Nutzer nur mit deren Einwilligung verfolgen dürfen, z.B. durch den Klick auf ein Banner mit dem Inhalt „Cookies akzeptieren“. Eine Richtlinie gilt im Gegensatz zu einer Verordnung nicht unmittelbar, sondern muss durch die Mitgliedsstaaten erst in nationales Recht umgesetzt werden. Deutschland hat dies nie getan, weshalb es statt einer Einwilligung meist nur die Information über den Einsatz von Cookies gibt. Das Benutzen der Website gilt als konkludente Einwilligung. Diese Praxis soll – zumindest tendenziell mit den derzeitigen Entwürfen – mit der ePrivacy-VO nicht mehr möglich sein.

Cookies, Einwilligung und Co.: Was würde sich ändern?

Erlaubt sind nur noch solche Cookies, die zur Diensterbringung oder aus Sicherheitsgründen erforderlich sind, oder die, in die der Betroffene eingewilligt hat. Der Unterschied zur DSGVO ist, dass es eine Interessenabwägung nicht geben soll, was die Verarbeitung der Kommunikation stark einschränken würde. Zudem soll es eine Sondervorschrift zur Einwilligung geben. Die Zugangssoftware (z.B. der Browser) muss künftig standardmäßig alle Cookies von Dritten (3rd-Party-Cookies) blocken und dem Nutzer in den Systemeinstellungen die Möglichkeit geben, dem Einsatz der Cookies zuzustimmen („Privacy by default“). Dadurch soll der Nutzer vor der Flut an „Cookie“-Bannern geschützt werden, besonders nutzerfreundlich ist diese Lösung allerdings sicherlich nicht, vielmehr wird der Webseitenbesuch für den Nutzer erschwert. Vor allem Anbietern von kostenlosen – weil werbefinanzierten – Diensten, wird die Finanzierungsgrundlage entzogen, wenn der User nicht einwilligt. Die Kontrolle der Datenverarbeitung durch Dritte liegt allein beim Anbieter der Software, die Kommunikationsverbindungen erlaubt.

ePrivacy-VO: Was können Unternehmen tun?

Zunächst ist es wichtig zu wissen, dass der bisherige Entwurf sehr umstritten ist, nicht zuletzt, weil die Widersprüche zwischen DSGVO (Interessenabwägung möglich) und ePrivacy-VO (keine Interessenabwägung, Einwilligung stets erforderlich) ein erhebliches Maß an Rechtsunsicherheit zur Folge hat. Es ist deshalb abzuwarten, welche Ergebnisse der Trilog zwischen EU- Parlament, Kommission und Rat liefert.

Für das wettbewerbsfähige Anbieten von personalisierten Angeboten und Werbung wird zukünftig wohl ein Nutzer-Login erforderlich sein, mit dessen Hilfe Permissions widerruflich gespeichert werden können und somit Content und Werbung personalisiert werden kann. Damit Nutzer nicht durch unzählige Zugangsdaten überfordert und dadurch abgeschreckt werden, wäre es für Unternehmen denkbar, sich einem Log-in-Pool anzuschließen. Sogenannte Log-in-Allianzen wollen Nutzern ein einfaches Anmeldeverfahren mit transparenter Datenverwaltung bieten, indem für verschiedene Online-Dienste die gleichen Login-Daten gelten.

Fazit

Die neuen EU-Datenschutzregelungen sollten für Unternehmen, die Data-Driven-Marketing einsetzen, als Gelegenheit gesehen werden, sich für Datenschutz zu sensibilisieren und einen guten Überblick über ihre Datenverarbeitung zu erlangen. Erst in den kommenden Wochen wird sich wirklich zeigen, wie sich das Institut DSGVO in der Praxis schlägt und welche Entwicklungen sich bezüglich der streitbaren ePrivacy-VO ergeben. Unternehmen, die sich auf das Kommende vorbereiten, werden im scheinbar undurchsichtigen Datenschutzrecht den Überblick behalten.