18. September 2023

Alternativen zum klassischen Cookie-Banner – Paywalls, PUR-Modelle und PIMS

Das Werbetracking bietet Telemedienanbieterinnen und -anbietern die Möglichkeit, den Nutzerinnen und Nutzern personalisierte Werbung auszuspielen und damit die Darstellung ihrer Inhalte zu finanzieren. Die Zulässigkeit der dafür eingesetzten Cookie-Walls ist seit langem rechtlich umstritten. Da der Zugriff auf die Inhalte von der Zustimmung der Nutzer:innen zum Werbetracking abhängt, wird die datenschutzrechtliche Freiwilligkeit der Einwilligung in Zweifel gezogen. Um personalisierte Werbung dennoch rechtssicher umzusetzen, haben sich in jüngster Zeit Alternativen zu klassischen Cookie-Walls etabliert. Mittels sogenannter PUR-Modelle wird den Nutzerinnen und Nutzern eine Wahlmöglichkeit zwischen der Einwilligung in das Werbetracking und einem kostenpflichtigen Abonnement angeboten. Der folgende Beitrag untersucht die rechtlichen Herausforderungen personalisierter Werbung und zeigt praktische Lösungsansätze auf.

Warum sind Cookie-Walls problematisch?

Cookie-Walls blockieren den Zugriff auf ein bestimmtes Telemedienangebot. Erst nach Zustimmung der Nutzer:innen in das Werbetracking wird diese Zugriffssperre aufgehoben. Technisch basiert das Tracking in der Regel auf Informationen, die auf dem Endgerät gespeichert und abgerufen werden – in der Regel Cookies, Elemente im Web Storage, JavaScript und Tracking-Pixel. Für ein solches Vorgehen ist nach § 25 Abs. 1 TTDSG grundsätzlich eine Einwilligung erforderlich, deren Wirksamkeit an den Vorgaben der DSGVO zu messen ist. Nach Art. 4 Nr. 11 DSGVO muss die Einwilligung u. a. „freiwillig“ und damit ohne Zwang erfolgen.

Im Falle einer Cookie-Wall befinden sich die Nutzer:innen jedoch in einer „take it or leave“-Situation und müssen entweder einwilligen oder können eben nicht auf die gewünschten Inhalte zugreifen. Aus der Alternativlosigkeit der Einwilligung für den Zugang zum Dienst wird häufig eine Zwangslage und damit die fehlende Freiwilligkeit der erteilten Einwilligungen abgeleitet. Diese restriktive Auffassung wird insbesondere von den Datenschutzbehörden vertreten. Ob tatsächlich eine Zwangslage vorliegt und ob diese nicht ggf. in der konkreten Situation gerechtfertigt ist, muss jedoch im Einzelfall geprüft werden. Die Zulässigkeit einer Cookie-Wall kann daher zwar nicht von vornherein verneint werden, ihre Anwendung ist in der Praxis jedoch mit erheblicher Rechtsunsicherheit verbunden.

Profitieren Sie von unserer umfassenden Expertise zu Cookies und Webtracking.

Kontaktieren Sie uns gern!

Alternative zu klassischen Cookie-Walls: PUR-Modelle

Um den strengen Maßstäben der Datenschutzbehörden gerecht zu werden, setzen die meisten Telemedienanbieter bei der Finanzierung ihrer Inhalte mittlerweile auf sogenannte PUR-Modelle. Diese ermöglichen es den Nutzer:innen, zwischen einem Zugang mit Einwilligung zum Werbetracking und einer Bezahlalternative zu wählen. Die Nutzer:innen werden dadurch vor die Wahl gestellt, entweder das Tracking zuzulassen oder gegen Zahlung eines bestimmten Entgelts Zugriff auf das gewünschte Telemedienangebot zu erhalten. Da kein grundsätzlicher Anspruch auf kostenlosen Zugang zu Inhalten besteht, wird damit eine rechtssichere Möglichkeit der Finanzierung durch personalisierte Werbung geschaffen.

PUR-Modelle sind zudem grundsätzlich von so genannten „Plus-Abonnements“ zu unterscheiden. Bei diesen erhalten Nutzer:innen im Rahmen eines Abonnements neben dem „allgemein zugänglichen“ Angebot Zugriff auf gesonderte kostenpflichtige Inhalte. PUR-Modelle dienen zunächst als Zugangsbarriere zum allgemein zugänglichen Telemedienangebot. Möchten Nutzer:innen auf die kostenpflichtigen Inhalte eines Anbieters zugreifen, muss in der Regel ein separates Plus-Abonnement abgeschlossen werden. Auch wenn PUR-Modelle aus datenschutzrechtlicher Sicht grundsätzlich nicht zu beanstanden sind, sind bei ihrer Umsetzung verschiedene Aspekte zu beachten.

Stets notwendig: transparente und verständliche Informationen

Für PUR-Modelle gelten selbstverständlich zunächst die Grundregeln für die Gestaltung von Cookie-Bannern. Dazu gehört vor allem eine transparente und verständliche Information, insbesondere über Zweck und Umfang des Werbetrackings.

Transparenz und Freiwilligkeit sind insbesondere dann problematisch, wenn sogenanntes „Nudging“ stattfindet. Dabei werden Nutzer:innen unterschwellig – beispielsweise durch farbliche Gestaltung oder Größenunterschiede der Buttons – zur Erteilung einer Einwilligung geleitet. Beide Alternativen müssen jedoch erkennbar und jedenfalls nach Auffassung der Aufsichtsbehörden gleichwertig nebeneinander stehen.

Auch missverständliche oder mehrdeutige Überschriften sollten aus Transparenzgründen vermieden werden. Hierunter fallen alle Überschriften, die geeignet sind, über die Durchführung, den Umfang oder den Zweck des Werbetrackings irrezuführen. Beispielsweise ist die Überschrift „Weiter wie gewohnt – mit Werbung“ geeignet, das Werbetracking als „Normalzustand“ darzustellen und die kostenpflichtige Alternative als unnötiges und teures Zusatzabonnement erscheinen zu lassen.

Darüber hinaus haben die Datenschutzbehörden eine Reihe von besonderen Kriterien aufgestellt, die Telemedienanbieter speziell bei PUR-Modellen beachten müssen.

Bezahlvariante als gleichwertige Alternative zur Einwilligung

Die Leistung, die die Nutzer:innen durch die Zahlung des Entgelts erhalten, muss eine gleichwertige Alternative zu der durch die Einwilligung erzielbaren Leistung darstellen. Dies setzt zunächst voraus, dass der Anbieter von Telemedien für die Bezahlvariante ein marktübliches Entgelt verlangt. Es dürfen also keine überhöhten oder gar utopischen Preise verlangt werden. Dies stünde nicht mehr in einem angemessenen Verhältnis zu den Einnahmen, die durch personalisierte Werbung erzielt werden sollen.

Darüber hinaus verlangen die Datenschutzbehörden, dass das Angebot der Bezahlvariante „zumindest im Wesentlichen die gleiche Leistung“ umfasst. Diese eher vage Formulierung lässt den Anbietern einen gewissen Spielraum. Fraglich ist jedoch, ob Bezahlmodelle, die z.B. zusätzlich den Zugriff auf kostenpflichtige Artikel ermöglichen (z.B. als kombiniertes Plus- und PUR-Abonnement), noch als gleichwertig anzusehen sind. Gleiches gilt für Varianten, über die Nutzer:innen Zugang zu mehreren unterschiedlichen Telemedienangeboten erhalten. Wenn diese sich – um das „Mehr“ an Zugängen zu kompensieren – am eher oberen Ende der Preisskala bewegen, kann dies aus Sicht der Nutzer:innen eine ungleiche Alternative darstellen.

Ohne zusätzliche Einwilligung: nur unbedingt erforderliche Dienste möglich

Entscheiden sich Nutzer:innen für die Wahrnehmung der Bezahlalternative, dürfen Telemedienanbieter nach § 25 Abs. 2 Nr. 2 TTDSG nur solche Speicher- und Auslesevorgänge auf dem Endgerät vornehmen, die für den Telemediendienst unbedingt erforderlich sind. Werden darüber hinaus – auch als nachgelagerte Verarbeitung – personenbezogene Daten verarbeitet, bedarf dies zusätzlich einer Rechtsgrundlage gem. Art. 6 Abs. 1 DSGVO.

Keine pauschale Gesamteinwilligung

Aus Sicht der Datenschutzbehörden ist es weiterhin erforderlich, dass Nutzer:innen die Zwecke, zu denen die Einwilligung eingeholt wird, selbstständig auswählen können. Bei mehreren Verarbeitungszwecken, die sich wesentlich voneinander unterscheiden, müssten die Nutzer:innen die Möglichkeit haben, einzelne Zwecke abzuwählen. Eine pauschale Gesamteinwilligung für alle Zwecke könne hingegen nicht wirksam erteilt werden. Eine Bündelung sei aber möglich, wenn die Zwecke in einem sehr engen Zusammenhang stünden.

Vor dem einheitlichen Hintergrund der Werbefinanzierung sei es daher notwendig, die Verweigerung einzelner dafür notwendiger Zwecke – wie etwa die Erstellung von Nutzungsprofilen zur Ausspielung personalisierter Werbung – nicht zur Disposition der Nutzer:innen zu stellen. Soweit die Zwecke jedoch davon abweichen, muss eine gesonderte Einwilligung des Betroffenen – etwa auf der zweiten Stufe für die Einbindung von Social Media – ermöglicht werden.

PUR-Modelle – lohnt sich die Umsetzung?

Der Nachteil eines PUR-Modells liegt in der Einrichtung und Verwaltung des Bezahlmodells. Die Anforderungen an deren datenschutzkonforme Ausgestaltung stellen jedoch einen überschaubaren Annex zu den grundsätzlichen Anforderungen an Cookie-Banner und Cookie-Walls dar. Auch wenn Cookie-Walls nicht per se unzulässig sind, birgt ihr Einsatz doch ein hohes datenschutzrechtliches Risiko. PUR-Modelle werden dagegen von den Datenschutzbehörden grundsätzlich anerkannt. Telemedienanbieter sollten daher PUR-Modelle als datenschutzkonforme Möglichkeit zur Finanzierung ihrer Dienste auf jeden Fall im Auge behalten.

Wir unterstützen Sie bei der Erfüllung von datenschutzrechtlichen Anforderungen

Der Umgang mit Cookies und Nutzertracking ist für den Datenschutz entscheidend. Unsere Datenschutzberatung steht Ihnen zur Seite, um die Komplexität der DSGVO im Zusammenhang mit Cookie-Bannern, Cookie-Walls und dem Tracking von Nutzerinnen und Nutzern zu entwirren. Dabei unterstützen wir Sie nicht nur bei der Gestaltung eines DSGVO-konformen Cookie-Banners, sondern beraten Sie auch zu innovativen Lösungen wie PUR-Modellen. Unsere Datenschutzexpertinnen und -experten unterstützen Sie dabei, Wege zu finden, die User Experience auf Ihrer Website zu optimieren und dabei die Anforderungen der DSGVO nicht aus den Augen zu verlieren.

4. September 2023

Datenschutzaudit – Erforderlichkeit, Ablauf, Umfang

Die Datenschutz-Grundverordnung (DSGVO) sieht an vielen Stellen Kontrollmechanismen und Kontrollpflichten für Unternehmen vor, damit diese regelmäßig überprüfen, ob die Vorgaben der DSGVO eingehalten werden, wo mögliche Risiken bestehen und wie diesen begegnet werden kann. Diese Mechanismen können jedoch nur dann ihren Zweck vollumfänglich erfüllen, wenn auch Kontrollmechanismen der DSGVO selbst, wie das Datenschutzmanagementsystem (DSMS) oder das Verzeichnis von Verarbeitungstätigen (VVT), auf ihre wirksame Umsetzung hin überprüft werden. Diesem Ziel dienen die sogenannten Datenschutzaudits. Im Rahmen eines Datenschutzaudits werden nicht nur einzelne datenschutzrechtlich relevante Verarbeitungsvorgänge im Unternehmen geprüft, sondern allgemein die Einhaltung und Umsetzung der DSGVO. Im Folgenden erfahren Sie, was unter einem Datenschutzaudit zu verstehen ist und in welchen Fällen ein Datenschutzaudit erforderlich ist. Wir zeigen Ihnen außerdem, wie ein solches Datenschutzaudit idealerweise ausgestaltet ist.

Wir unterstützen Sie bei der Durchführung von Audits und überprüfen die Wirksamkeit Ihrer Datenschutzmaßnahmen.

Nehmen Sie Kontakt zu uns auf

Was ist ein Datenschutzaudit genau?

Ein Datenschutzaudit ist eine freiwillige Analyse und Prüfung der Datenschutzkonformität von datenverarbeitenden Vorgängen innerhalb eines Unternehmens. Es dient der Analyse, ob einzelne Datenverarbeitungsprozesse mit der DSGVO im Einklang stehen, so zum Beispiel bei der Anwendung von standardisierter oder individueller Software (sog. Software-Audit).
Dabei findet bspw. eine Prüfung von Verträgen, Betriebsvereinbarungen, internen Richtlinien hinsichtlich ihrer Datenschutzkonformität statt. Neben der Prüfung der einzelnen Verarbeitungsprozesse bzgl. ihrer Vereinbarkeit mit der DSGVO dient ein Audit auch der Prüfung von entsprechenden Sicherheitsvorkehrungen, wie zum Beispiel des Schutzniveaus von technischen und organisatorischen Maßnahmen (TOM) gem. Art. 32 DSGVO (sog. TOM-Audit).

Zweck eines Datenschutzaudits ist die Schaffung einer Grundlage für die Entwicklung langfristiger Datenschutzstrategien. Dabei kann ein Audit sowohl dazu dienen, ein von Grund auf neues Datenschutzmanagement aufzuziehen, als auch bereits bestehende Betriebsabläufe umzugestalten und zu optimieren. Unternehmen profitieren von der Durchführung eines Audits, da mit dem Audit oftmals auch ein interner Lernprozess einhergeht.
Während es beim Audit somit um die Prüfung des Datenschutzmanagements oder einzelne seiner Bestandteile geht, bezieht sich eine Zertifizierung dagegen nur auf einzelne IT-Produkte und Dienstleistungen.

Checkliste – Wann muss ein Datenschutzaudit durchgeführt werden?

In folgenden Fällen ist ein Audit insbesondere empfehlenswert:

Zweifel an der Notwendigkeit der Bestellung einer/eines Datenschutzbeauftragten
Zweifel an der Effektivität des Datenschutzmanagementsystems, durchgeführter Datenschutz-Folgenabschätzungen, Prozesse zum Umgang mit Betroffenenanfragen und angelegter Verzeichnisse von Verarbeitungstätigkeiten
Keine spezifischen Datenschutzmaßnahmen für einzelne Unternehmensbereiche wie IT, Marketing, Vertrieb, HR
Umfangreiche Auftragsverarbeitungsverträge
Gefahren für die IT-Sicherheit, drohende oder mögliche Hackerangriffe
Zweifel an ausreichenden Sicherheitsvorkehrungen für Server und Büros

Wer führt ein Datenschutzaudit durch?

Der/Die Datenschutzbeauftragte (DSB) eines Unternehmens hat die Aufgabe, die Einhaltung der gesetzlichen Anforderungen an den Datenschutz im Unternehmen sicherzustellen und die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme zu überwachen. Von ihm/ihr kann daher auch die Initiative ausgehen, ein „internes Audit“ durchzuführen.
Eine weitere Möglichkeit ist ein „externes Audit“. Dies hat den großen Vorteil, dass Personen, die außerhalb der Organisation oder Unternehmen stehen, mit einem neutralen Blick ein Audit durchführen können. Auch zur Unterstützung des/der Datenschutzbeauftragten bei der Durchführung eines internen Audits kann es von Vorteil sein, dieses gemeinsam mit einem externen Beratungsunternehmen durchzuführen.

Wie läuft ein Datenschutzaudit ab?

Ein effektives Datenschutzaudit verläuft insgesamt in vier Schritten:

Ist-Analyse

Im Rahmen der sog. Ist-Analyse werden die Risiken und Schwachstellen relevanter Prozesse im jeweiligen Unternehmen erfasst. Es wird regelmäßig geprüft, welche Vorgänge im Unternehmen besonders hohe Risiken für DSGVO-Verstöße aufweisen.
Dies erfolgt durch eine Überprüfung in rechtlicher (Einhaltung des Transparenzgrundsatzes der DSGVO, Reichweite von Einwilligungen etc.) und tatsächlicher Hinsicht (Einhaltung technischer und organisatorischer Maßnahmen , um ein dem Risiko angemessenes Schutzniveau zu gewährleisten).
Zur Ermittlung des Ist-Zustandes können im ersten Schritt Fragebögen im Unternehmen ausgeteilt werden mit der Bitte an die Mitarbeitenden, diese auszufüllen.
In einem weiteren Schritt bietet es sich gerade für größere Unternehmen an, Interviews mit denjenigen Mitarbeitenden zu führen, die einen guten Überblick über einzelne Abteilungen haben. Durch gezielte Interviews können gewisse Umstände präziser erfragt werden. Je sorgfältiger die entsprechenden Informationen unternehmensseitig vor- bzw. aufbereitet werden (Bestimmung eines Ansprechpartners/einer Ansprechpartnerin, Auflistung relevanter Fachabteilungen und entsprechender Fachverantwortlicher ), desto effektiver kann das Audit durchgeführt werden . Eine weitere Audit-Methode, die zur Anwendung kommen kann, ist die Stichprobenüberprüfung. Hierbei wird eine vorher nicht bestimmte Auswahl von Vorgängen und Unterlagen wie z. B. Einwilligungserklärungen begutachtet.

Analyse und Bewertung

Sind die einzelnen datenschutzrelevanten Prozesse identifiziert, folgt eine Analyse und Bewertung derselben. Dabei kommt es maßgebend darauf an, ob Risiken für von der Verarbeitung betroffene Personen bestehen. Soweit solche bestehen, muss festgelegt werden, ob diese durch die Verarbeitung einem hohen Risiko ausgesetzt werden. Dabei handelt es sich stets um eine Einzelfallprüfung (Liegen besonders sensible Daten vor? Bestehen Anhaltspunkte für Hackerangriffe? Sind Maßnahmen finanzierbar?).

Analysebericht mit Maßnahmenkatalog und Implementierung

Aus den Ergebnissen der Ist-Analyse werden Maßnahmen abgeleitet, um einen bestimmten „Soll-Zustand“ in Hinblick auf die Einhaltung datenschutzrechtlicher Anforderungen zu erreichen. Maßnahmen können auf rechtlicher Ebene (z. B. veränderte Einwilligungs- und Datenschutzerklärungen) sowie technischer und organisatorischer Art (z. B. Überarbeitung des Verzeichnisses von Verarbeitungstätigkeiten, des Datenschutzmanagementsystems) erfolgen. Hinsichtlich des Maßnahmenkatalogs erfolgen dabei konkrete Handlungsempfehlungen und Priorisierungen. Sind entsprechende Maßnahmen getroffen worden, sollten diese implementiert werden.

Dokumentation und Prüfschleifen

Das Datenschutzaudit inkl. Ergebnis werden in einem Auditbericht dokumentiert. So können Unternehmen bspw. einen Fahrlässigkeitsvorwurf bei möglichen DSGVO-Verstößen entkräften und das Bußgeldrisiko senken. Zudem ermöglicht die regelmäßige Überprüfung, Verstöße zu verhindern (Stichwort: Prävention). Unternehmen kommen mit der Dokumentation zudem ihrer Rechenschaftspflicht gem. der DSGVO nach und erhöhen das Vertrauen in die Sicherheit der Datenverarbeitung.

Für welche Unternehmen sind Audits notwendig?

Da sich die DSGVO grundsätzlich an alle Unternehmen richtet, die personenbezogene Daten verarbeiten, ist ein Datenschutzaudit grundsätzlich für alle Unternehmen – also auch für kleinere und mittlere Unternehmen – zu empfehlen.
Erforderlich wird ein Datenschutzaudit insbesondere dann, wenn Zweifel an der Notwendigkeit der Bestellung eines/einer Datenschutzbeauftragten bestehen. Die Fälle, in denen eine solche Erforderlichkeit besteht, sind zum Teil Folge einer rechtlichen Bewertung (z. B. wann gehört die Übermittlung personenbezogener Daten zur Kerntätigkeit eines Unternehmens? Ab wann sind personenbezogene Daten besonders schutzwürdig?) und sollten daher genau überprüft werden. Darüber hinaus ist ein Audit dann erforderlich, wenn Anhaltspunkte für mögliche Hackerangriffe vorliegen oder sonstige Zweifel an der IT-Sicherheit bestehen.
Ein weiterer wichtiger Anknüpfungspunkt ist die Verarbeitung von Daten, die Mitarbeitende sowie Bewerber oder Bewerberinnen betreffen. Je umfangreicher das Personalwesen (HR), desto dringender ist ein Datenschutzaudit durchzuführen. Darüber hinaus ist auf weitere Besonderheiten des jeweiligen Unternehmens einzugehen und zu überprüfen, ob ausreichende Maßnahmen zum Schutz von personenbezogenen Daten in den jeweiligen Abteilungen von Unternehmen (neben dem HR, etwa in der IT, dem Marketing, dem Vertrieb) bestehen. Ein Datenschutzaudit kann weiter erforderlich sein, wenn umfangreiche Auftragsverarbeitungsverträge vorliegen, also solche Verträge, durch die andere Unternehmen mit der Verarbeitung von personenbezogenen Daten beauftragt werden. Diese bergen stets das Risiko, dass Verantwortlichkeiten nicht genau abgegrenzt werden oder bei der Übertragung von Daten gegen Vorschriften aus der DSGVO verstoßen wird. In diesen besonderen Fällen ist eine umfangreiche Analyse des Ist-Zustandes aus DSGVO-Perspektive unerlässlich.

Welchen Umfang hat ein Datenschutzaudit?

Die DSGVO sieht wie geschildert an einigen Stellen bereits Überprüfungen der datenschutzrechtlichen Vorgaben vor. Demgemäß gilt es vor allem diese Mechanismen des Datenschutzmanagementsystems, wie zum Beispiel das ordnungsgemäße Anlegen des Verzeichnisses von Verarbeitungstätigkeiten sowie den Prozess in Bezug auf die Bearbeitung von Betroffenenanfragen zu prüfen . Weiterhin ist zu kontrollieren, ob für den Fall von Datenschutzvorfällen ausreichende Kenntnisse der Mitarbeitenden und klare Vorgaben für den Umgang mit den Meldepflichten der DSGVO (gegenüber den Aufsichtsbehörden und den betroffenen Personen ) bestehen. Sodann ist die effektive Einbindung des/der Datenschutzbeauftragten in das Unternehmen zu überprüfen. Insbesondere sollte darauf geachtet werden, dass ein regelmäßiger Austausch zwischen dem/der Datenschutzbeauftragten und den Mitarbeitenden erfolgt, der/die diese für den Umgang mit personenbezogenen Daten sensibilisiert. Hierfür bieten sich vor allem Schulungen an. Dabei sollte darauf geachtet werden, dass Mitarbeitende nicht nur für den Fall von Datenschutzvorfällen geschult werden, sondern vor allem auch für den Umgang mit Betroffenenrechten. So fordert die DSGVO nicht nur ein transparentes System für die betroffenen Personen, um von ihren Rechten Gebrauch machen zu können, sondern auch eine zeitnahe Reaktion von Unternehmen auf Betroffenenanfragen.

Beim Datenschutzaudit auf Expertise setzen

Das Datenschutzaudit ermöglicht eine regelmäßige und fachkundige Überprüfung der Einhaltung datenschutzrechtlicher Vorgaben in Ihrem Unternehmen. Dabei dient die Überprüfung der Datenschutzkonformität nicht nur der Absicherung vor rechtlichen Risiken, sondern stärkt zugleich auch das Vertrauen von Kunden und Kundinnen, Geschäftspartner und -partnerinnen sowie Mitarbeitenden. Ein effektives Datenschutzaudit lässt sich in den meisten Fällen mit externer Hilfe erreichen. Das Team von ISiCO steht Ihnen mit seinen Datenschutzexperten zur Seite. Sprechen Sie uns an!

Mehr zum Thema

6. Februar 2024

Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.
Weiterlesen
26. Januar 2024

Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download

Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.
Weiterlesen
9. Januar 2024

Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling

In Zeiten zunehmender Cyberbedrohungen können Unternehmen durch die Mitigation von Datenschutzrisiken nicht nur sich selbst und ihre Beschäftigten vor Bedrohungen bewahren, sondern vor allem auch den Schutz ihrer Kund:innen effektiver gewährleisten. Ein Schlüsselelement der Risikoanalyse ist das sogenannte Threat Modeling. Wir erläutern, was Threat Modeling beinhaltet und wie es speziell in der Datenschutzberatung eingesetzt wird.
Weiterlesen

22. August 2023

Datenschutz und Digitalisierung: EU-Datenregulierung im Überblick

Die EU-Datenregulierung ist nicht nur ein Gesetzesdschungel, sondern auch eine große Herausforderung für den Datenschutz. Die rechtlichen Bedingungen werden durch immer komplexere Rechtsakte weiterentwickelt bzw. konkretisiert und Unternehmen, die in Europa tätig sind, müssen sich ständig mit diesen Veränderungen auseinandersetzen. Ein falscher Umgang mit Daten oder Unkenntnis der Regelungen kann zu schwerwiegenden Datenschutzverstößen führen, die nicht nur hohe Bußgelder nach sich ziehen, sondern auch das Vertrauen in das Unternehmen untergraben können.

Vor diesem Hintergrund wird deutlich: Die EU-Datenregulierung bildet nicht nur einen rechtlichen Rahmen, sondern bestimmt die Unternehmensstrategie im digitalen Zeitalter maßgeblich mit. Insbesondere datengetriebene Unternehmen stehen vor der Herausforderung, ihre Geschäftsmodelle nicht nur an die technologischen Veränderungen, sondern auch an die datenschutzrechtlichen Anforderungen anzupassen. Dazu gehört das Verständnis des Data Governance Act (DGA), des Data Act (DA), des Digital Services Act (DSA), des Digital Markets Act (DMA), des AI Act (AIA) und des European Health Data Space (EHDS).

Das könnte Sie auch interessieren:

Eine proaktive Auseinandersetzung mit den verschiedenen Rechtsakten und ihren wechselseitigen Beziehungen ist gefordert. Die Identifizierung datenschutzrechtlicher und unternehmerischer Risiken muss in den Fokus rücken, um den Geschäftserfolg zu sichern und Rechtsverstöße zu vermeiden. Unsere Expertinnen und Experten sind darauf spezialisiert, Unternehmen bei dieser wichtigen Aufgabe zu unterstützen, zu allen Themen rund um Datenschutz beraten und dafür zu sorgen, dass Ihr Unternehmen stets die aktuellen Datenschutzbestimmungen einhält.

Wir helfen Ihnen, die datenschutzrechtlichen Fragen zu EU-Datenschutzregulierung zu klären und zu verstehen.

Zögern Sie nicht, uns zu kontaktieren!

EU-Datenregulierungen im Fokus

Wir geben Ihnen einen Überblick über die verschiedenen EU-Rechtsakte, die sich mit der Regulierung von Daten befassen.

Der Data Governance Act (DGA) zielt darauf ab, die Verfügbarkeit von Daten zu fördern, indem das Vertrauen in bestimmte Akteur:innen, die Daten bereitstellen, erhöht und die Mechanismen für die gemeinsame Nutzung von Daten in der EU gestärkt werden. Um dieses Ziel zu erreichen, konzentriert sich die Verordnung auf vier verschiedene Regelungsbereiche:
• Die Weiterverwendung geschützter Daten im „Besitz“ des öffentlichen Sektors,
• die Stärkung der Datenvermittlungsdienste als Schlüsselrolle in der Datenwirtschaft,
• die Förderung des Datenaltruismus, d.h. die Erhöhung der Datenverfügbarkeit durch freiwillige Datenspenden und
• die Einrichtung eines Europäischen Innovationsrats, eines beratenden Gremiums, das fachlichen Input für die Entwicklung von Leitlinien für europäische Datenräume liefern soll.

Bedingungen für die Weiterverwendung von Daten:

Wesentlich für das Verständnis des Gesetzes ist, dass es einzig die Bedingungen regelt, unter denen die (als zulässig unterstellte) Weiterverwendung ausgestaltet werden soll. Ein Anspruch auf Datenzugang statuiert der DGA jedoch nicht. Technische Hürden für die Weiterverwendung von Daten sollen durch Interoperabilität und ein angemessenes Schutzniveau überwunden werden. Darüber hinaus wird ein Registrierungs- und Aufsichtsrahmen für Datenintermediäre geschaffen. „Anerkannte datenaltruistische Organisationen“ haben die Möglichkeit, Privilegierungen zu erhalten.

Umsetzung des DGA in der EU:

Die Regelungen des am 23. Juni 2022 in Kraft getretenen DGA gelten ab dem 24. September 2023. Bis dahin soll der bereits erwähnte Dateninnovationsrat eingerichtet werden. Die Überwachung und Registrierung von Datenintermediären sowie die Festlegung etwaiger Sanktionen (keine Höchstgrenzen seitens der EU) bleibt den Mitgliedstaaten überlassen.

Der Data Act (DA) regelt, wer unter welchen Bedingungen auf Daten zugreifen darf, die bei der Nutzung eines Internet-of-Things-Produkts oder damit verbundener Dienste erzeugt werden. Zentrales Anliegen der geplanten EU-Verordnung ist es, eine faire Verteilung der Wertschöpfung aus Daten zwischen den Akteuren der Datenwirtschaft zu gewährleisten. Der DA schafft neue Datenzugangsrechte und beinhaltet Vorschriften für die rechtlich zulässigen Formen der Datennutzung zwischen Privaten, sowohl B2B als auch B2C.

Datenzugang und Verpflichtungen für Hersteller:innen: Der Data Act (DA) im Fokus:

Um eine gerechtere Verteilung der Datenwertschöpfung zu erreichen, regelt der DA vor allem die Pflicht für Hersteller:innen und Entwickler:innen von Produkten, den Nutzer:innen die bei der Nutzung anfallenden Daten zur Verfügung zu stellen. Dabei wird nur der Zugang zu den Daten geregelt, die das jeweilige Produkt über seine Nutzung oder seine Umgebung erhält, erzeugt oder sammelt und die von dem Produkt über einen elektronischen Kommunikationsdienst übertragen werden können. Das entsprechende Auskunftsrecht verpflichtet zugleich Dateninhaber:innen als weitere Adressaten:innen des DA. Diese haben den sog. „Access by Design“ sicherzustellen. Eine Ausnahme gilt für Klein- und Kleinstunternehmen.

Fairness und Cloud-Switching:

Darüber hinaus enthält der DA allgemeine Regelungen zu fairen und diskriminierungsfreien Datenbereitstellungspflichten, zu spezifischen AGB-Kontrollen von Vertragsklauseln und zum (ausnahmsweise erzwingbaren) Zugang öffentlicher Stellen zu Daten im „Besitz“ von Unternehmen sowie zum sog. Cloud-Switching. Um das Cloud-Switching zu erleichtern, werden den Dateninhaber:innen weitreichende Pflichten auferlegt, die sich nicht nur auf den Zugang zu und die Herausgabe von Daten beschränken. Vielmehr enthält der DA detaillierte Vorgaben für die Vertrags- und AGB-Gestaltung. So sieht das Gesetz beispielsweise eine „funktionsäquivalente Datenübermittlung“ bei einem Wechsel des Cloud-Anbietenden vor. Was dies im Einzelnen bedeutet und wie dies umgesetzt werden soll, ist noch unklar.

DSGVO-Schutz und Dateninhaber:innenpflichten:

Da der Schutzstandard der DSGVO auch mit dem DA gewahrt bleiben soll, werden Dateninhaber:innen Prüf- und Handlungspflichten auferlegt. Sie müssen beurteilen, ob die vom Herausgabeersuchen betroffenen Daten (auch) personenbezogene Daten enthalten. Soweit dies der Fall ist, muss sichergestellt werden, dass eine Rechtsgrundlage nach der DSGVO für die Herausgabe der Daten gegeben ist. Insoweit ist Vorsicht gefragt: Werden Daten dem Anwendungsbereich der DSGVO fehlerhaft zugerechnet und wird mit dieser Begründung der Zugang auf Grundlage des DA verweigert, begründet dies zugleich einen Verstoß gegen den DA. Daher kommt der zutreffenden Zuordnung der Daten eine hohe Relevanz zu.

Bußgelder und Anwendung des DA:

Bei Verstößen gegen die Verpflichtungen aus dem DA können Bußgelder in Höhe von bis zu 20 Mio. EUR bzw. bei Unternehmen bis zu 4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden. Die Verabschiedung des DA wird für 2024 erwartet. Unter Berücksichtigung der gesetzlich vorgesehenen Übergangsfrist von 12 Monaten ist damit zu rechnen, dass die Regelungen des DA ab Ende 2025 Anwendung finden.

Der Digital Services Act (DSA) wird die Aktivitäten von Anbieter:innen digitaler Dienste einheitlich regeln. Ziel der Verordnung ist es, einen sicheren digitalen Raum frei von illegalen Inhalten zu schaffen und die Grundrechte der Nutzer:innen zu schützen.

Regelungsadressaten des DSA sind im Wesentlichen die digitalen Vermittlungsdienste (B2B und B2C), die Nutzer:innen Zugang zu Waren, Dienstleistungen und Inhalten verschaffen. Dabei sieht der DSA verschiedene Regulierungsebenen vor:

• Stufe 1: Vermittlungsdienste (Transit-, Caching- und Hosting-Dienste)
• Stufe 2: Verschärfte Regeln für bestimmte Hosting-Dienste
• Stufe 3: Online-Plattformen
• Stufe 4: sehr große Online-Plattformen und Suchmaschinen

Danach gelten für alle Vermittlungsdienste grundlegende Sorgfaltspflichten, wie z.B. die Einrichtung zentraler Anlaufstellen, die Einhaltung von Transparenzvorgaben bei der Gestaltung der Allgemeinen Geschäftsbedingungen sowie jährliche Transparenzberichtspflichten.

Besondere Pflichten für Hostingdienste und Online-Plattformen:
Hostingdiensten werden besondere Pflichten in Bezug auf Melde- und Abhilfeverfahren auferlegt, während für Online-Plattformen zusätzlich die Einrichtung eines internen Beschwerdemanagement- und Streitbeilegungssystems vorgesehen ist. Die Entscheidungen des Beschwerdemanagements dürfen nicht ausschließlich automatisiert getroffen werden. Vielmehr muss es unter der Aufsicht von qualifiziertem Personal stehen. Es ist jedoch ausreichend, wenn die automatisierten Ergebnisse anschließend von menschlichen Entscheidungsträgern überprüft werden. Hervorzuheben sind auch die allgemeinen Schnittstellenvorgaben für Online-Plattformen. Der DSA verbietet jede Gestaltung, Organisation oder Betriebsweise der Online-Schnittstelle, durch die Nutzer getäuscht, manipuliert oder sonst in ihrer Entscheidungsfreiheit beeinträchtigt oder behindert werden können. Damit soll in der Praxis der Verwendung von sog. „Dark Patterns“, also verhaltensmanipulierenden Designs und Prozessen, ein Riegel vorgeschoben werden.

Herausforderungen für große Plattformen und Suchmaschinen:

Den größten Compliance-Aufwand haben sehr große Plattformen und Suchmaschinen zu bewältigen. Neben den für alle Plattformanbieter:innen geregelten Transparenzpflichten für Online-Werbung und dem eingeschränkten Profiling-Verbot verlangt das Gesetz von den Anbieter:innen der vierten Stufe zusätzlich die Einrichtung eines Archivs, das auf ihren Online-Schnittstellen verfügbar ist und das neben dem Werbeinhalt und dem Werbenden unter anderem auch Angaben zu den wichtigsten Parametern für die personalisierte Darstellung der Werbung enthalten muss.

DSA-Bußgelder und Durchsetzungsmaßnahmen:

Bei Verstößen gegen die Vorgaben des DSA drohen Bußgelder in Höhe von bis zu 6 % der Jahreseinnahmen bzw. des Jahresumsatzes. Für die Ahndung zuständig sind von den Mitgliedstaaten benannte Behörden. Eine von ihnen wirkt als „Digital Services Coordinator“ und ist mit umfassenden Auskunfts-, Durchsuchungs-, Anordnungs- sowie Sanktionsrechten ausgestattet. Bei Maßnahmen gegen sehr große Online-Plattformen hat die Kommission ein Durchgriffsrecht.

Sorgfalts- und Transparenzpflichten für Wertpapierdienstleistungen:

Das DSA ist am 16. November 2022 in Kraft getreten und gilt im Wesentlichen ab dem 17. Februar 2024 (einzelne Regelungen gelten bereits seit dem 16. November 2022; vgl. hierzu Art. 93). Die umfassenden Sorgfalts- und Transparenzpflichten für Wertpapierdienstleistungen betreffen alle Bereiche unternehmerischen Handelns. Sie sind bereits bei der technischen Ausgestaltung der Dienste zu berücksichtigen.

Der Digital Markets Act (DMA) zielt auf die Regulierung der digitalen Märkte und insbesondere der großen Online-Plattformen, die als sog. Torwächter („Gatekeeper“) die digitalen Märkte kontrollieren. Regelungsadressat:innen sind die von den Torwächtern betriebenen zentralen Plattformdienste, die in Art. 2 Abs. 2 Nr. 2 lit. a-j abschließend aufgezählt sind. Dazu gehören z.B. Online-Vermittlungsdienste, Online-Suchmaschinen, Online-Dienste sozialer Netzwerke sowie virtuelle Assistenten. Ob eine digitale Plattform als Torwächter anzusehen ist, bestimmt sich nach qualitativen und quantitativen Kriterien. Qualitative Kriterien sind vor allem die Auswirkungen der Plattform auf den Binnenmarkt, ihre Mittlerfunktion zwischen gewerblichen Nutzer:innen und Endnutzer:innen sowie die voraussichtliche Solidität und Dauerhaftigkeit ihrer Tätigkeit. In quantitativer Hinsicht wird von einer digitalen Plattform als Torwächter ausgegangen, wenn sie bestimmte Schwellenwerte überschreitet: So wird unter anderem vermutet, dass der unionsweite Jahresumsatz in jedem der letzten drei Geschäftsjahre mindestens 7,5 Mrd. EUR oder die Marktkapitalisierung mindestens 75 Mrd. EUR betragen hat und der Dienst mindestens 45 Mio. monatlich aktive Endnutzer:innen und 10.000 jährlich aktive gewerbliche Nutzer:innen in der EU hat.

DMA-Verhaltensvorgaben für Torwächter:

Zur Regulierung von Online-Plattformen stellt der DMA zahlreiche Verhaltensvorgaben für Torwächter auf. Alle Vorgaben entfalten unmittelbare Rechtswirkung und sind direkt anwendbar. So verpflichtet Art. 5 die Torwächter dazu, das Sideloading von Apps zu ermöglichen, Interoperabilität zu gewährleisten und den Nutzer:innen Zugang zu den Servicedaten der Plattform zu gewähren.

DMA-Verstöße und Sanktionen:

Bei Verstößen gegen die DMA-Verhaltensregeln drohen Strafen von bis zu 10%, im Wiederholungsfall bis zu 20% des weltweiten Jahresumsatzes. Bei systematischen Regelverstößen kann sogar ein zeitlich befristetes Zusammenschlussverbot verhängt werden. Für die Anwendung des DMA ist allein die Kommission zuständig. Nationale Behörden haben keine Durchsetzungsbefugnis.

Fristen für Torwächter und Umsetzung der Vorgaben:

Der DMA ist am 1. November 2022 in Kraft getreten und gilt seit dem 2. Mai 2023. Bis zum 3. Juli 2023 hatten potenzielle Torwächter Zeit, der Kommission mitzuteilen, dass sie zentrale Plattformdienste betreiben. Die Kommission prüft innerhalb der folgenden 45 Arbeitstage (also bis spätestens 6. September 2023), ob das betreffende digitale Unternehmen als Torwächter einzustufen ist. Ist dies der Fall, erlässt sie eine sogenannte Benennungsentscheidung. Bis spätestens 6. März 2024 müssen die benannten Gatekeeper die Vorgaben umsetzen.

Selbstkontrolle und Compliance-Anforderungen für Gatekeeper:

Der DMA setzt stark auf Selbstkontrolle. Die Gatekeeper sind verpflichtet, Compliance-Maßnahmen mit den ihnen vorgegebenen Verhaltensregeln nachzuweisen und eine mit weitreichenden Befugnissen ausgestattete Compliance-Funktion in ihrem Unternehmen einzurichten, die für die interne Überwachung der Pflichten aus dem DMA zuständig ist. Darüber hinaus besteht eine umfassende Berichtspflicht. Danach müssen die Gatekeeper innerhalb von sechs Monaten nach ihrer Bestellung einen Bericht über die getroffenen Maßnahmen vorlegen.

Künstliche Intelligenz (KI) ist in aller Munde. Vor dem Hintergrund ihrer zunehmenden Nutzung soll der Artificial Intelligence Act (AIA) den Rechtsrahmen mittels eines sektoralen und risikobasierten Regulierungsansatzes bilden. Damit sollen Unternehmen in die Lage versetzt werden, die Wettbewerbsvorteile der KI-Technologie zu nutzen und die Wirtschaft im Binnenmarkt zu stärken. Der AIA richtet sich sowohl an Anbieter:innen, die solche KI-Systeme auf den Markt bringen (unabhängig davon, wo der/die Anbieter:in niedergelassen ist), als auch an deren Nutzer:innen, die sich in der EU befinden (gemeint sind die Unternehmen, die das System betreiben). Die Bestimmungen des AIA gelten auch für Anbieter:innen oder Nutzer:innen von KI-Systemen, die in einem Drittland niedergelassen oder ansässig sind, wenn das von dem System erzeugte Ergebnis in der Union genutzt wird.

Definition von Künstlicher Intelligenz:

Für den Geltungsbereich des AIA ist von zentraler Bedeutung, was unter KI zu verstehen ist. Die weite Definition in Art. 3 Nr. 1 des Kommissionsentwurfs erfasst im Ergebnis nahezu jedes Computerprogramm. Um absurden Ergebnissen vorzubeugen (man denke nur an einen Taschenrechner), wurden Überlegungen angestellt, den weiten Anwendungsbereich einzuschränken. Der Rat der EU hat sich dafür ausgesprochen, dass ein System nur dann unter die AIA fallen sollte, wenn es autonome Elemente enthält (…) und unter Verwendung von maschinellem Lernen und/oder logik- und wissensbasierten Ansätzen entscheidet, wie ein bestimmter Satz definierter Ziele erreicht werden kann. Das EU-Parlament wiederum möchte KI als ein System definieren, das so konstruiert ist, dass es mit unterschiedlichen Graden an Autonomie arbeitet und für explizite oder implizite Zwecke Ergebnisse wie Vorhersagen, Empfehlungen oder Entscheidungen erzeugen kann, die Auswirkungen auf die physische oder virtuelle Umgebung haben können. Aus diesen Vorschlägen geht hervor, dass ein autonomes und adaptives System erforderlich ist, damit KI vorliegt.

Risikobasierter Regulierungsansatz im AIA:

Der AIA verfolgt einen risikobasierten Regulierungsansatz. Je höher das Risiko, das von einem System ausgeht, desto strenger sind die Anforderungen, an denen sich das System messen lassen muss. Der AIA trifft insbesondere Vorschriften für Systeme mit hohem Risiko (vgl. Art. 6 und Anhänge II und III). Für diese Systeme ist ein umfangreiches Pflichtenprogramm vorgesehen (z.B. Risikomanagement, Data Governance, Design-Vorgaben). Derzeit wird noch diskutiert, ob Large Language Models wie ChatGPT in diese Kategorie fallen und ob Ausnahmen vorgesehen werden sollen.

Für KI-Systeme mit geringem Risiko gelten Transparenzpflichten, wenn sie mit Menschen interagieren (z.B. durch Chatbots oder Emotionserkennung) oder bestimmte Inhalte erstellen (Art. 52). Unterhalb dieser Schwelle (minimales Risiko) greifen keine Verpflichtungen, aber es können freiwillige Verhaltenskodizes (Art. 69) statuiert werden. Systeme, die mit dem Wertesystem der EU unvereinbar sind, wie z.B. Social Scoring Systeme oder die biometrische Fernidentifikation in Echtzeit im öffentlichen Raum zu Strafverfolgungszwecken, sind gänzlich verboten.

Nationale Aufsicht, Bußgelder und aktueller Stand:

Die Überwachung der betreffenden KI-Anwendungen soll durch die nationalen Aufsichtsbehörden erfolgen. Sie sind es auch, die etwaige Bußgelder verhängen, deren Schwellenwerte im AIA geregelt sind. Die Sanktionen können maximal 30 Mio. EUR oder 6 % des weltweiten Jahresumsatzes betragen.

Zum Kommissionsentwurf vom 21. April 2021 hat der Rat der EU im Dezember 2022 einen gemeinsamen Standpunkt („allgemeine Ausrichtung“) festgelegt. Auch das Parlament hat sich im Sommer 2023 positioniert. Derzeit stehen noch die Trilogverhandlungen aus. Aus heutiger Sicht ist mit einem Inkrafttreten des AIA ca. im Jahr 2024 und einer anschließenden zweijährigen Umsetzungsfrist zu rechnen. Mit einer Anwendung der Vorgaben des AIA ist daher erst ab 2027 zu rechnen.

Notwendige Maßnahmen und Compliance-Management für Unternehmen:

Bis dahin ist es für betroffene Unternehmen ratsam, interdisziplinäre Teams zu bilden und die „KI-Assets“ zu identifizieren. Um später aufwändige Nachdokumentationen und Zwangsabschaltungen von Systemen zu vermeiden, ist es zudem ratsam, ein KI-Compliance-Management-System zu implementieren bzw. die Compliance-Anforderungen aus dem AIA in bestehende Compliance-Prozesse und -dokumente zu integrieren. Ein besonderes Augenmerk sollten Unternehmen in ihren KI-Konzepten auf „Explainable Artificial Intelligence“ (XAI) legen. Da die Förderung von Innovationen im Bereich KI eng mit den anderen digitalen Rechtsakten verknüpft ist, empfiehlt es sich zudem, die Anforderungen der anderen Verordnungen im Blick zu behalten.

Der European Health Data Space (EHDS) ist eine Initiative der EU, die es sich zum Ziel gemacht hat, die nationalen Gesundheitssysteme durch den Austausch von Gesundheitsdaten besser zu vernetzen und damit die medizinische Versorgung zu verbessern. Die bei der Verfolgung dieses Primärziels anfallenden Daten sollen gleichzeitig zur Verbesserung der medizinischen Forschung und für andere Zwecke genutzt werden können (Sekundärziel).

Adressat:innen und Anwendungsbereich:

Mit dem EHDS sollen die Rechte natürlicher Personen in Hinblick auf ihre Gesundheitsdaten gestärkt werden, indem auf der einen Seite der Datenzugang verbessert wird und auf der anderen Seite eine verstärkte individuelle Datenkontrolle möglich ist. Neben den EU-Bürger:innen richtet sich der EHDS auch an Hersteller:innen und Anbieter:innen von EHR-Systemen (elektronische Patientenakten) und Wellness-Anwendungen, die in der EU in Verkehr gebracht und in Betrieb genommen werden. Darüber hinaus richtet sich der EHDS an in der EU niedergelassene Verantwortliche und Auftragsverarbeiter:innen, die elektronische Gesundheitsdaten von EU-Bürgern und Drittstaatsangehörigen, die sich rechtmäßig im Hoheitsgebiet der Mitgliedstaaten aufhalten, verarbeiten. Er richtet sich außerdem an Verantwortliche und Auftragsverarbeiter, die in einem Drittland niedergelassen sind und sich My Health@EU (der technischen Dateninfrastruktur für die grenzüberschreitende digitale Patientenversorgung) angeschlossen haben oder damit interoperabel sind. Eingeschlossen sind auch Datennutzer:innen, denen elektronische Gesundheitsdaten von Dateninhaber:innen in der EU zur Verfügung gestellt werden.

Der Datenraum im EHDS: Verwaltung, Datenaustausch und Sekundärnutzung für Forschung und Innovation:

Der Datenraum wird sich auf drei Säulen stützen: ein solides Verwaltungssystem und Regeln für den Datenaustausch, die Sicherstellung der Datenqualität und die Gewährleistung einer soliden Infrastruktur und Interoperabilität. Bei der Sekundärnutzung von Daten sollen diese beispielsweise für Forschungszwecke, für das Training von KI und für die Entwicklung neuer Gesundheitsprodukte genutzt werden können. Hierfür ist nach den Plänen des EHDS keine Einwilligung der Betroffenen, sondern eine Genehmigung durch eine dafür zuständige Stelle erforderlich. Dazu muss offengelegt werden, wie und zu welchem Zweck die Daten verwendet werden sollen. Aufgrund der Masse der hierfür anfallenden Daten erscheint die konkrete Umsetzung dieses Vorhabens jedoch schwierig.

Sanktionen und zeitlicher Rahmen für die Umsetzung:

Bei Verstößen sollen die Mitgliedstaaten Sanktionen festlegen und mit Hilfe ihrer Behörden durchsetzen. Die Kommission soll durch delegierte Rechtsakte den Rahmen für den Datenaustausch schaffen. Auf den Entwurf der Kommission vom 3. Mai 2022 folgten mehrere Stellungnahmen des Rates der EU, in denen erhebliche Bedenken geäußert wurden. Diese richten sich unter anderem auf die Vereinbarkeit mit dem Schutzstandard der DSGVO und der Reichweite der vorgesehenen Sekundärnutzung. Wann es zu einer Einigung kommt, ist noch unklar. Selbst wenn man von einer Verabschiedung noch im Jahr 2023 ausgeht, tritt das Gesetz erst 12 Monate später in Kraft. Gemäß Art. 72 wird die volle Interoperabilität der EHR-Systeme um weitere drei Jahre verschoben. Der EHDS wird somit frühestens Ende 2027 voll funktionsfähig sein. Auf die Ärztinnen und Ärzte kommen dann hohe Kosten und ein hoher Aufwand zu, da sie verpflichtet werden, die Behandlungsdaten im EHR-System zu speichern.

7. August 2023

Den Datenschutz im Griff: Die wesentlichen Aufgaben des externen Datenschutzbeauftragten (DSB) im Unternehmen

Die digitale Transformation und das gestiegene Datenschutzinteresse haben den Datenschutz ins Zentrum der Geschäftswelt gerückt. Unternehmen stehen vor der Herausforderung, datenschutzrechtliche Anforderungen zu erfüllen, ohne dabei gleichzeitig ihre Geschäftsprozesse zu beeinträchtigen. Vor allem für kleine und mittlere Unternehmen (KMU) kann es schwierig sein, die notwendigen Ressourcen zur Verfügung zu stellen, um alle Aspekte des Datenschutzes abdecken zu können. Sie müssen nicht nur sicherstellen, dass sie die Datenschutzgesetze einhalten, sondern auch ihre Mitarbeiterinnen und Mitarbeiter entsprechend schulen sowie sich fortlaufend über die sich ständig ändernden Datenschutzpraktiken und -gesetze informieren. Unternehmen sind heute mehr denn je gefordert: Sie müssen ein klares, kohärentes und konformes Konzept für den Umgang mit personenbezogenen Daten entwickeln und umsetzen. Hier kommt der externe Datenschutzbeauftragte (DSB) ins Spiel. Wir geben einen Überblick über die wichtigsten Aufgaben.

Was macht der externe Datenschutzbeauftragte?

Der oder die externe Datenschutzbeauftragte unterstützt Unternehmen bei der Umsetzung und dauerhaften Einhaltung der Datenschutzbestimmungen. Er oder sie überwacht den datenschutzrechtlich zulässigen Umgang mit personenbezogenen Daten im Unternehmen und berücksichtigt dabei auch die Belange des Beschäftigtendatenschutzes. Darüber hinaus legt er oder sie Datenschutzziele fest und bestimmt den Handlungsbedarf sowie den Zeitplan, um die Rechtskonformität im Bereich des Datenschutzes zu gewährleisten.

Was sind die wesentlichen Aufgaben des externen Datenschutzbeauftragten?

Zu den wesentlichen Aufgaben des oder der externen DSB gehören unter anderem das Hinwirken auf die Einhaltung der Datenschutzgesetze und -vorschriften sowie die Erstellung und Pflege von Verfahrensübersichten, die Sicherstellung der datenschutzkonformen Verarbeitung von Mitarbeitenden- und Kund:innendaten, die Durchführung von Vorabkontrollen bei IT-Anwendungen oder die Beratung in Datenschutzfragen in den einzelnen Fachabteilungen. Er oder sie erarbeitet datenschutzkonforme Prozesse, erstellt Richtlinien und Betriebsvereinbarungen und überprüft die Systemsicherheit. Darüber hinaus sind externe Datenschutzbeauftragte Ansprechperson in allen Datenschutzfragen und erstellen einen jährlichen Datenschutzbericht. Die Aufgaben eines oder einer externen DSB werden in erster Linie durch das Bundesdatenschutzgesetz (BDSG) und die Europäische Datenschutz-Grundverordnung (DSGVO) bestimmt.

Sie benötigen die Unterstützung eines externen DSB?
Dann kontaktieren Sie uns jetzt und vereinbaren Sie ein unverbindliches Erstgespräch!

Kontaktieren Sie uns jetzt!

Was sind die Aufgaben des externen DSB im Detail?

Welche konkreten Aufgaben ein externer Datenschutzbeauftragter hat, hängt von den individuellen Bedürfnissen und Anforderungen des jeweiligen Unternehmens ab, für das sie oder er tätig ist. Zu diesen spezifischen Aufgaben können beispielsweise gehören:

Erarbeitung gemeinsamer Datenschutzziele sowie Festlegung des Handlungsbedarfs und eines Zeitplans zur Erreichung der Rechtskonformität hinsichtlich des betrieblichen Datenschutzes;
Festlegung von jährlichen Projektplänen und deren Umsetzung;
Aufbau eines gesellschafts- und standortübergreifenden Datenschutzmanagementsystems (DSMS);
Erstellung und Umsetzung eines Datenschutz- und Datennutzungskonzeptes;
Erstellung und Prüfung der erforderlichen Dokumentationen wie das Verzeichnis der Verarbeitungstätigkeiten (VVT), Datenschutz-Folgenabschätzungen (DSFA), Technische und Organisatorische Maßnahmen (TOM) etc.;
Durchführung von Compliance-Checks zur Datenverarbeitung;
Durchführung von Datenschutz- und Risikofolgenabschätzungen bei risikobehafteten IT-Prozessen;
Umsetzung von Rechten der Kund:innen und Mitarbeitenden wie Auskunft, Löschung, Recht auf Vergessenwerden, Datenübertragbarkeit;
Erstellung und Umsetzung von Lösch- und Archivierungskonzepten;
Beratung zu Themen des Beschäftigtendatenschutzes, u. a. zur elektronischen Personalakte, zum On- und Offboarding, zum Recruiting-Prozess etc.;
Konzeption und Dokumentation von datenverarbeitenden Anwendungen und Prozessen (Privacy by Desgin);
Etablierung und Umsetzung datenschutzrelevanter Prozesse, wie z. B. der Umgang mit Datenschutzvorfällen, die Bearbeitung von Betroffenenanfragen sowie der Abschluss von Auftragsverarbeitungsverträgen (AVV);
Beratung zu Datenflüssen in Unternehmensgruppen und Erstellung von datenschutzrechtlichen Standards (Intercompany Agreement);
Kommunikation mit Datenschutzaufsichtsbehörden;
Management von Datenschutzvorfällen sowie Planung und Umsetzung von Ad-hoc-Maßnahmen;
Bearbeitung von Stakeholder-Anfragen;
Erstellung eines jährlichen Datenschutzberichts.

Was kann der externe DSB für ein Unternehmen tun?

Der oder die externe Datenschutzbeauftragte kann für Unternehmen eine besonders wertvolle Lösung sein. Er oder sie bringt umfassendes Fachwissen und Erfahrung mit und kann sich voll und ganz auf den Datenschutz konzentrieren, ohne von anderen Unternehmensaufgaben abgelenkt zu werden. Der oder die externe Datenschutzbeauftragte kann objektive und unabhängige Überprüfungen und Analysen durchführen und bei der Entwicklung einer umfassenden Datenschutzstrategie behilflich sein.
Darüber hinaus können externe Datenschutzbeauftragte die notwendige Unterstützung bei der Bewältigung von Veränderungen bieten, die sich aus bestehenden und neuen Datenschutzvorschriften ergeben. Sie können Schulungen durchführen und sicherstellen, dass alle Mitarbeiterinnen und Mitarbeiter auf dem neuesten Stand der Datenschutzpraxis und -gesetzgebung sind.

Was ist der Unterschied zwischen einem internen und einem externen Datenschutzbeauftragten?

Die Wahl zwischen einem oder einer internen und externen DSB hängt von einer Reihe von Faktoren ab, einschließlich der Größe des Unternehmens, der Komplexität der zu verarbeitenden Daten und der verfügbaren internen Ressourcen. Benötigt ein Unternehmen beispielsweise Unterstützung über mehrere Unternehmensstandorte hinweg und auf Konzernebene, so kann die Bestellung eines oder einer Konzerndatenschutzbeauftragten in Betracht gezogen werden. Unabhängig von der Wahl ist es jedoch von entscheidender Bedeutung, dass der oder die DSB über die zur Erfüllung seiner oder ihrer Aufgaben erforderlichen Qualifikationen verfügt. In der schnelllebigen digitalen Welt ist der Datenschutz eine zentrale Säule für jedes erfolgreiche Unternehmen. Externe Datenschutzbeauftragte können eine wichtige Ressource sein, um sicherzustellen, dass Unternehmen die Datenschutzbestimmungen einhalten und gleichzeitig innovativ und wettbewerbsfähig bleiben.

Wenn Sie von den Vorteilen einer kompetenten und datenschutzkonformen Unternehmensführung profitieren möchten, sprechen Sie uns an. Unser Team qualifizierter externer Datenschutzbeauftragter steht bereit, um Sie bei der Bewältigung dieser komplexen Aufgabe zu unterstützen.

Mehr zum Thema

23. April 2024

Informationssicherheit im Gesundheitssektor – neue Regeln für die Cybersecurity

Mit der zunehmenden Vernetzung und der fortschreitenden Digitalisierung des Gesundheitswesens ist der Schutz informationstechnischer Systeme zu einem zentralen Anliegen der Branche geworden. Denn funktionierende IT-Systeme sind eine wesentliche Voraussetzung für die Sicherheit der Versorgung im Allgemeinen und die Patientensicherheit im Besonderen.
Weiterlesen
1. April 2024

Ransomware-Prävention in Zeiten von KI – Wie Unternehmen Attacken vorbeugen können

Ransomware ist nach wie vor eine der größten Bedrohungen für Wirtschaftsunternehmen. Besonders IT-Dienstleister sind in den vergangenen Jahren in den Fokus von Cyberkriminellen gerückt. Durch präventive Maßnahmen der Cybersicherheit werden personenbezogene Daten angemessen und wirksam vor den alltäglichen Gefahren des digitalen Zeitalters geschützt.
Weiterlesen
20. Februar 2024

Die Deadline naht: Machen Sie Ihr Unternehmen noch vor Oktober fit für NIS-2

Mit der nahenden Deadline im Oktober für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS-2) stehen Unternehmen vor der Herausforderung, nicht nur gesetzliche Vorgaben zu erfüllen, sondern auch ihre eigenen Geschäftsprozesse und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern.
Weiterlesen

26. Juli 2023

Smart-Data-Verfahren im Finanzsektor: Datenschätze behutsam erschließen

900.000€ – Mit diesem Bußgeld wurde ein Hannoveraner Kreditinstitut von der niedersächsischen Landesbeauftragten für Datenschutz im Juli 2022 belegt, nachdem es Zahlungsverkehrsdaten zum Zwecke der gezielten Kundenansprache ausgewertet hatte. Zuletzt wurden alle niedersächsischen Genossenschaftsbanken von der Behörde öffentlich vor der Profilbildung für Werbezwecke gewarnt. Dies zeigt, dass der Einsatz von sog. Smart-Data-Verfahren in der Finanzbranche ein heißes Eisen ist. Denn Kreditinstitute, FinTechs und weitere Unternehmen der Finanzwirtschaft haben angesichts der zunehmenden Inanspruchnahme von Online-Finanzdienstleistungen mittlerweile erkannt, welche Potenziale die datengetriebene Kundenansprache auch für sie bietet. Das Thema beschäftigt Finanzinstitute und Landesdatenschutzbeauftragte gleichermaßen. Welche datenschutzrechtlichen Fragen stellen sich und unter welchen Voraussetzungen ist der Einsatz von Smart-Data Verfahren im Finanzsektor nach derzeitigem Stand möglich? Wir geben im Folgenden einen Überblick.

Was sind Smart-Data-Verfahren?

Smart-Data ist in aller Munde. Doch was genau ist darunter zu verstehen? Zunächst einige Begriffsklärungen: Bei Smart-Data handelt es sich um ein Endprodukt eines Daten-Veredelungsprozesses. Den Rohstoff hierfür bietet Big Data. Das sind große Datenmengen, die manuell nicht einfach ausgewertet werden können. Mithilfe leistungsfähiger Technologien und Prozesse können sie jedoch nutzbar gemacht und so gewissermaßen zu Smart-Data als Qualitätsgarant datengeschützter Entscheidungsprozesse verfeinert werden. Unternehmen können die auf diese Weise strukturierten Datenströme vielfältig zunutze machen. Anhand von Smart-Data-Verfahren lassen sich nicht nur bislang verborgene Zusammenhänge erkennen, sondern auch gewinnbringende Geschäftsmodelle und zielgerichtete Marketingstrategien entwickeln. Zentral hierfür ist, dass von Beginn an die richtige Auswahl der Daten getroffen wird. Sie orientiert sich stets an der jeweilen Zielgruppe. Potenzial bieten Smart-Data-Verfahren allen Unternehmen, die Daten in großem Umfang erheben und weiterverarbeiten.

Welches Potenzial hat Smart Data für den Finanzsektor?

Es liegt nahe, dass auch der Finanzsektor aus dem erheblichen Nutzenpotenzial von Smart Data schöpfen und davon entscheidend profitieren kann, egal ob im Rahmen von Kreditvergabeverfahren oder im Zahlungsverkehr. Denn zum einen erheben Banken, FinTechs und anderen Unternehmen im Finanzwesen eine erhebliche Menge an Kundendaten, die sich mit der Verlagerung vieler Finanzdienstleistungen ins Internet potenziert hat. Zum anderen haben sie ein großes Interesse daran, das Zahlungsverhalten und die Ausgabebereitschaft der Kundinnen und Kunden mithilfe von Datenauswertungen besser zu verstehen. Gerade die häufig kostenfrei angebotenen Kontoinformationsdienste zur Erstellung von Finanzübersichten bieten durch die Aufbereitung von Kontoumsätzen einen reichen Fundus an Transaktionsdaten. Mithilfe solcher Informationen eröffnet sich die Möglichkeit, Kundenbedürfnisse präzise zu ermitteln, entsprechend passgenaue Finanz- und andere Produkte zu entwickeln und individualisierte Werbung zu schalten. Außerdem erlauben so analysierte Kundendaten es auch, vereinfachte Bonitätsprüfungen im Rahmen der Kreditvergabe durchzuführen, da aus den Umsatzdaten valide Aussagen über die persönlichen und wirtschaftlichen Verhältnisse der Kundin bzw. des Kunden möglich sind.

Doch reicht das Potenzial von Smart-Data im Finanzsektor über die Prüfung der Kreditwürdigkeit und den klassischen Anwendungsfall der vertriebsorientierten Analysen hinaus. Gerade im Finanzwesen sind Unternehmen besonders gefährdet, durch betrügerische Handlungen erhebliche finanzielle Schäden davonzutragen. Big-Data-Analysen ermöglichen es, auffällige Vorgänge in Sekundenschnelle zu erfassen. In der Menge an Daten lassen sich auf diesem Weg erst Unregelmäßigkeiten (sog. Red Flags) und sodann auch betrugsverdächtige Personen leichter identifizieren und Betrugsrisiken so minimieren, und dies äußerst kostensparend. Daher setzen Finanzinstitute mittlerweile auch ganz gezielt auf Smart-Data-Verfahren im Rahmen der Betrugserkennung und -prävention (sog. fraud detection and prevention).

Big Data und Smart Data: Kund:innenprofilierung im Finanzsektor

Führt man sich diese Fälle vor Augen, steht außer Frage, dass der Einsatz von Big-Data-Analysen wie auch die (Weiter-)Entwicklung der digitalen Datenkompetenz im Allgemeinen im Finanzsektor eine große Rolle spielt bzw. spielen wird. Zugleich darf nicht vergessen werden, dass der Einsatz von Smart-Data-Verfahren nur durch den Umgang mit großen Datenmengen möglich ist, die im Bereich des Finanzwesens oftmals auch überaus sensible Kundeninformationen betreffen. Um bestimmte Finanzprodukte wie eine Kreditkarte, einen Wertpapiersparplan oder gar einen Immobilienkredit gezielt zu bewerben, lassen die Finanzinstitute mittels Smart-Data-Verfahren bestimmte Personen aus dem Kundenstamm herausfiltern. Das zentrale Instrument hierbei ist die Bildung von Scorewerten, die Auskunft darüber geben sollen, ob eine Kundin bzw. ein Kunde hohes Interesse an dem entsprechenden Finanzprodukt hat. Hierfür werden Informationen aus verschiedenen Datenfeldern genutzt und Zahlungsverkehrsdaten beispielsweise über die Ausgaben für Haushalt und Lebensmittel, die Höhe des Gehalts- oder Renteneingangs bzw. den Bezug von sozialen Leistungen oder die Höhe der Fahrzeugkosten herangezogen. Diese werden mit von externen Dienstleistern angekauften Daten zum Wohnumfeld der Kunden bzw. des Kunden kombiniert, um so ein möglichst präzises Kund:innenprofil zu erhalten.

Smart Data im Finanzsektor: Datenschutz und rechtliche Anforderungen

Klar ist damit zunächst, dass die Anwendung von Smart-Data im Finanzsektor (wie im Übrigen auch in anderen Bereichen) in der Regel mit einer umfangreichen Erhebung, Verarbeitung und Zusammenführung personenbezogener Daten einhergeht. Deswegen muss sich die Anwendung von Smart-Data-Verfahren an datenschutzrechtlichen Anforderungen, insbesondere den Vorschriften der Datenschutzgrundverordnung, messen lassen. Dies umfasst beispielsweise die Gewährleistung der umfangreichen Betroffenenrechte, Informationspflichten wie auch die Pflicht zur Durchführung von Datenschutz-Folgenabschätzungen.

Big Data und DSGVO: Ein Spannungsverhältnis zwischen Datenschutz und Datenauswertung

Aus datenschutzrechtlicher Perspektive ist die Verwendung bzw. die Auswertung großer, aus einer Vielzahl unterschiedlicher Quellen stammender unstrukturierter Daten schon per se eine Herausforderung. Denn die Intention von Big-Data-Anwendungen steht in einem gewissen Spannungsverhältnis zur DSGVO. Zu ihren Grundsätzen gehört es, dass Daten nur für den Zweck verarbeitet werden dürfen, zu dem sie erhoben wurden (vgl. Art. 5 Abs. 1 lit. b DSGVO). Dabei fordert der sog. Zweckbindungsgrundsatz die Festlegung und Angabe des Verarbeitungszwecks schon vor Erhebung der Daten. Zudem müssen personenbezogene Daten auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Grundsatz der Datenminimierung, vgl. Art. 5 Abs. 1 lit.c DSGVO). Dies konfligiert mit vielen Big-Data-Verfahren, bei denen der Zweck der Datenverarbeitung oftmals zu Beginn entweder gar nicht oder allenfalls unspezifisch festgelegt worden ist. Vielmehr handelt es sich in den meisten Fällen um zweckoffene Datenspeicherungen, derer sich die Unternehmen später im Rahmen der Verwendung von Smart-Data bedienen. Ein generelles Vorhalten von Daten nach den Grundsätzen der Zweckveränderung kommt nach den Wertungen der DSGVO damit nicht in Betracht. Können Big Data Analysen, die ohne konkrete oder mit sich verändernder Zweckbestimmung erfolgen, also überhaupt zulässig sein?

Anonymisierung und Pseudonymisierung: Datenschutzinstrumente im Zeitalter von Big Data

Die EU-Kommission schreibt hierbei folgenden Instrumenten eine besondere Bedeutung zu: Anonymisierung und Pseudonymisierung bzw. Verschlüsselung. Dabei handelt es sich um Maßnahmen bzw. Verfahren des Datenschutzes, die personenbezogene Daten so verändern, dass die Identifizierung einer natürlichen Person verhindert oder zumindest erschwert wird. Damit erhöht sich das Datenschutzniveau und es besteht die Möglichkeit, dass rechtliche Privilegierungen greifen. Die Anonymisierung von Daten führt dazu, dass kein Personenbezug mehr hergestellt, d.h. die konkrete Person, über die die Informationen Aufschluss geben, nicht mehr ermittelt werden kann. Aus diesem Grund finden die Vorschriften der DSGVO und der darin enthaltene Zweckbindungsgrundsatz grds. keine Anwendung, wenn die entsprechenden personenbezogenen Daten vor der Durchführung eines Smart-Data-Verfahren anonymisiert wurden. Weiter kann Art. 6 Abs. 4 DSGVO eine Zweckänderung von Daten, die eigentlich für einen anderen Zweck erhoben wurden, unter bestimmten Voraussetzungen ermöglichen. Mithilfe von Pseudonymisierung hingegen lassen sich Daten so verschlüsseln, dass Identitäts- und Informationsdaten voneinander getrennt werden. Der Personenbezug bleibt allerdings mittelbar erhalten, da die Möglichkeit besteht, die Daten wieder so zusammen zu führen, dass sich der Klarname der jeweils betroffenen Person zuordnen lässt. Aus diesem Grund finden die Regelungen der DSGVO im Rahmen der Pseudonymisierung zwar weiterhin Anwendung, aber die veranlasste Verschlüsselung der Daten kann die Interessenabwägung zwischen Betroffenem und Datenverarbeiter im Sinne der Zulässigkeit der Datenverarbeitung grundsätzlich positiv beeinflussen.

Rechtmäßigkeit von Smart-Data-Verfahren im Finanzsektor

In Hinblick auf die Anwendung von Smart-Data-Verfahren in der Finanzbrache geben die bisherigen Verlautbarungen der Landesbeauftragten für Datenschutz (LfD) Niedersachsen Anlass dazu, besonderes Augenmerk auf die Rechtfertigung der Datenverarbeitung zu legen. Allgemein gilt, dass die Verarbeitung personenbezogener Daten stets einer der in Art. 6 Abs. 1 DSGVO genannten Rechtsgrundlagen bedarf. Da Zahlungsverkehrsdaten Informationen über die wirtschaftliche Lage, das Konsumverhalten, ja sogar Beziehungen zu anderen Menschen und persönliche Vorlieben enthalten, ermöglicht dies vielfältige Rückschlüsse auf das Berufs- und Privatleben der betroffenen Person. Aufgrund dieser besonderen Sensibilität von Zahlungsverkehrsdaten, so die LfD Niedersachsen, seien gerade bei der Profilbildung zu Werbezwecken besondere Anforderungen an die Rechtmäßigkeit solcher Datenverarbeitungen zu stellen.

Fallbeispiel: Datenschutzverletzung im Finanzsektor – Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO

In dem Fall des bereits mit einem hohen Bußgeld belegten Kreditinstituts, hatte das Unternehmen anhand zunächst rechtmäßig verarbeiteter Daten das digitale Nutzungsverhalten aktiver und ehemaliger Kundinnen im Vergleich zur Nutzung des Filialangebots ausgewertet, um so Kundinnen bzw. Kunden mit einer erhöhten Neigung für digitale Medien zu identifizieren und diese über diese Kanäle für vertragsrelevante bzw. werbliche Zwecke anzusprechen. Die Daten wurden zusätzlich mit denen einer Wirtschaftsauskunftei verglichen und angereichert. Für die Anwendung des Smart-Data-Verfahrens hatte die Bank keine Einwilligung der Kundinnen bzw. Kunden eingeholt, sondern stattdessen auf den Rechtfertigungsgrund nach Art. 6 Abs. 1 lit. f DSGVO zurückgegriffen. Danach ist eine Datenverarbeitung rechtmäßig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist, sofern nicht die Grundrechte oder Interessen der betroffenen Personen, die den Schutz personenbezogener Daten erfordern, überwiegen. Der Verantwortliche kann personenbezogene Daten auf dieser Grundlage verarbeiten, wenn die Interessenabwägung zu seinen Gunsten ausfällt.

Die Ablehnung datengetriebener Profilbildung für Werbezwecke durch die LfD Niedersachsen

Die LfD Niedersachsen hat der von Finanzdienstleistern häufig genutzten Berufung auf diese Rechtsgrundlage zur datengetriebenen Profilbildung für Werbezwecke in ihrer Pressemitteilung vom 28.07.2022 eine pauschale Absage erteilt. Zwar liege die werbliche Ansprache (potenzieller) Kundinnen und Kunden im Interesse der Verantwortlichen bzw. Finanzinstitute. Doch der Gesetzgeber stufe dieses Interesse als weniger gewichtig ein. Dafür spreche vor allem, dass er den betroffenen Personen eine erleichterte Widerspruchsmöglichkeit einräumt und dieser Widerspruch nicht begründet werden muss. Zudem überwiege in der Abwägung das Interesse der Kundinnen bzw. Kunden. Denn hierbei seien auch ihre vernünftigen Erwartungen zu berücksichtigen. Diese gingen in der Regel nicht davon aus, dass Finanzinstitute im großen Stil Datenbestände auswerten, um Neigungen zu bestimmten Finanzprodukten oder Kommunikationswegen zu ermitteln. Erst recht müssten Kundinnen und Kunden nicht damit rechnen, dass zusätzlich externe Stellen einbezogen und Daten aus anderen Lebensbereichen verwertet werden. Aus diesem Grund bewertet die LfD Niedersachsen die datengetriebene Kundenansprache unter Berufung auf die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO als unrechtmäßig.

Sie möchten Smart-Data-Lösungen in Ihr Unternehmen implementieren? Wir begleiten Ihren Prozess von A bis Z und stellen die Datenschutzkonformität auf ganzer Linie sicher.

Kontaktieren Sie uns jetzt!

Datenschutz in der Praxis: Anforderungen an Einwilligungen für Smart-Data-Verfahren im Finanzsektor – Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO

Die Verarbeitung großer Datenmengen zur Kundenprofilbildung in der Finanzbranche sei nur dann rechtmäßig, wenn zuvor entsprechende Einwilligungen eingeholt wurden. Doch auch in Hinblick auf diese Einwilligungen ist Sorgfalt gefragt. Zuletzt hatte ein Vorstoß der 89 genossenschaftlichen Banken in Niedersachen, die über eine Pilot-Bank Smart-Data-Verfahren testen lassen, die LfD Niedersachsen im September 2022 erneut auf den Plan gerufen. Die hat sich zu einer Warnung vor der Durchführung solcher Verfahren veranlasst gesehen. Zudem unterstrich sie, dass die hierbei verwendeten Einwilligungsformulare die gesetzlichen Anforderungen nicht erfüllten, weil Kundinnen und Kunden auf Basis der ihnen zur Verfügung gestellten Informationen nicht selbst entscheiden konnten, ob bzw. welche Smart-Data-Verfahren angewendet werden. Wegen der besonderen Sensibilität von Zahlungsverkehrsdaten reiche es nicht aus, dass sie nur allgemein in die Profilbildung für Werbezweck einwilligen ohne Einfluss darauf zu haben, in welchem Umfang dies geschieht.

Smart-Data-Verfahren im Kampf gegen Betrug: Rechtliche Rahmenbedingungen und Ausnahmen

Die Rechtmäßigkeit von Smart-Data Verfahren im Finanzsektor kann sich übrigens anders beurteilen, wenn Smart-Data-Verfahren nicht zu Webezwecken, sondern zur Betrugserkennung und -bekämpfung eingesetzt werden. Hierbei sind mehrere Erlaubnistatbestände denkbar. So kann eine Verarbeitung beispielsweise gem. Art. 6 Abs. 1 lit. b DS-GVO erlaubt sein, wenn sie für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich ist. Voraussetzung für die Rechtmäßigkeit für die Durchführung von Smart-Data-Verfahren ist dann, dass die Analysen zur Betrugserkennung zur Erfüllung des Versicherungsvertrages oder Zahlungsdienstevertrages erforderlich sind. Dies wäre auch der Fall, wenn es sich um eine vertragliche Nebenpflicht handelte. Es ist anzunehmen, dass der Zahlungsdienstenutzer bzw. die -nutzerin regelmäßig ein Interesse an der Überprüfung und der Verhinderung solcher Vorgänge hat. Der erlaubte Umfang der Big-Data-Anwendung, bemisst sich dabei an den Umständen des Einzelfalls. Gleichermaßen kann der Erlaubnistatbestand aus Art. 6 Abs. 1 lit. c DSGVO in Betracht gezogen werden, der eine Verarbeitung erlaubt, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt. Zuletzt ist es denkbar, Big Data Analysen zur Betrugsbekämpfung auch im Rahmen der bereits angesprochenen Interessenabwägung nach Art. Abs. 1 lit. f DSGVO zu rechtfertigen. Den Wertungen von Erwägungsgrund 47 S. 6 DSGVO folgend ist die Verhinderung von Betrug als ein solches berechtigtes Interesse einzuordnen.

Datenschutzanforderungen bei internationalen Datenübermittlungen: Der Fall von Cloud-Diensten in der Finanzbranche

Längst reicht auch die Erbringung von Finanzdienstleistungen über Ländergrenzen hinweg, nicht nur innerhalb der EU, sondern auch in Staaten jenseits der EU-Grenzen. Man denke nur an die Auslagerung von Daten an Cloud-Anbieter wie Snowflake, AWS und Co., die nicht nur im Finanzsektor in den vergangenen Jahren stetig an Relevanz gewonnen hat. Neben branchen- bzw. bereichsspezifischen Regelungen beispielsweise aus dem Kreditwesengesetz (KWG), dem IT-Sicherheitsgesetz und den Mindestanforderungen an das Risikomanagement (MaRisk) sind in Hinblick auf den Schutz personenbezogener Daten die besonderen datenschutzrechtlichen Anforderungen an den Datentransfer in Staaten außerhalb der EU zu beachten. Gemäß Art. 45 DSGVO bedarf es für die Datenübermittlung in ein Drittland eines Angemessenheitsbeschlusses (mit dem die EU-Kommission feststellen kann, dass ein Drittstaat ein der EU vergleichbares Datenschutzniveau bietet) bzw. der Einhaltung der in Art. 46 DSGVO festgelegten Garantien. Mit Blick auf Datenübermittlungen in die USA ist zu beachten, dass die Europäische Kommission erst kürzlich einen neuen Angemessenheitsbeschluss (sog. EU-US Data Privacy Shield) erlassen und damit festgestellt hat, dass die USA ein angemessenes Schutzniveau für aus der EU übermittelte personenbezogene Daten gewährleisten können. Allerdings gilt dies nur für den Fall, dass sich das jeweilige US-Unternehmen, an das Daten übermittelt werden sollen, auch dem Data Privacy Framework abgeschlossen hat.

Vorsichtige Anwendung von Smart-Data-Verfahren in der Finanzbranche: Potenziale, Risiken und Compliance

Der Umgang mit Big Data bietet Unternehmen im Finanzsektor enorme Potenziale. Zugleich mahnen die Entscheidungen des LfD Niedersachsen und anderer Behörden zur Vorsicht. Ihre Wertungen lassen sich auf die gesamte Finanzbranche übertragen. Vor diesem Hintergrund sollten Banken, FinTechs und weitere Finanzunternehmen beim Einsatz von Smart-Data-Verfahren insbesondere zur Kundenprofilbildung mit Bedacht vorgehen. Wollen sie groß angelegte Big-Data-Analysen anwenden, sind hinreichend transparente und konkretisierte Einwilligungen der Kundinnen und Kunden erforderlich. Sie müssen hierbei darüber entscheiden können, ob ihre Daten überhaupt für Smart-Data-Verfahren genutzt werden und wenn ja, welches Verfahren genutzt wird. Datengetriebene Kundenansprache auf der Grundlage von Interessenabwägungen sollten nur nach sorgfältiger Prüfung, genauestens dokumentiert und unter Durchführung einer gesonderten Datenschutz-Folgeabschätzung Anwendung finden. Vernachlässigen Unternehmen der Finanzbranche diese Vorgaben, drohen unter Umständen hohe Bußgelder sowie aufsichtsrechtliche Konsequenzen. Gegebenenfalls müssen erfolgreiche und aufwändig implementierte Geschäftsmodelle auf Geheiß der Datenschutzbehörden eingestellt werden, wenn die datenschutzrechtlichen Anforderungen nicht hinreichend berücksichtigt sind. Unsere Expert:innen unterstützen Sie gerne dabei, Smart-Data-Verfahren rechtskonform und erfolgreich einzusetzen. Sprechen Sie uns an.

Mehr zum Thema

23. April 2024

Informationssicherheit im Gesundheitssektor – neue Regeln für die Cybersecurity

Mit der zunehmenden Vernetzung und der fortschreitenden Digitalisierung des Gesundheitswesens ist der Schutz informationstechnischer Systeme zu einem zentralen Anliegen der Branche geworden. Denn funktionierende IT-Systeme sind eine wesentliche Voraussetzung für die Sicherheit der Versorgung im Allgemeinen und die Patientensicherheit im Besonderen.
Weiterlesen
1. April 2024

Ransomware-Prävention in Zeiten von KI – Wie Unternehmen Attacken vorbeugen können

Ransomware ist nach wie vor eine der größten Bedrohungen für Wirtschaftsunternehmen. Besonders IT-Dienstleister sind in den vergangenen Jahren in den Fokus von Cyberkriminellen gerückt. Durch präventive Maßnahmen der Cybersicherheit werden personenbezogene Daten angemessen und wirksam vor den alltäglichen Gefahren des digitalen Zeitalters geschützt.
Weiterlesen
20. Februar 2024

Die Deadline naht: Machen Sie Ihr Unternehmen noch vor Oktober fit für NIS-2

Mit der nahenden Deadline im Oktober für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS-2) stehen Unternehmen vor der Herausforderung, nicht nur gesetzliche Vorgaben zu erfüllen, sondern auch ihre eigenen Geschäftsprozesse und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern.
Weiterlesen

12. Juli 2023

Die wichtigsten Fragen zu Datenübermittlung an US-Dienste: Was bedeutet der neue EU-US Datenschutzrahmen für Unternehmen?

Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss nach Artikel 45 Abs. 3 der Datenschutz-Grundverordnung (DSGVO) für die USA erlassen: Das „EU-US Data Privacy Framework“ (EU-US-Datenschutzrahmen). Damit stellt die Kommission nach dem vom EuGH im Juli 2020 gekippten Privacy Shield erneut fest, dass die USA ein angemessenes Schutzniveau für aus der EU übermittelte personenbezogene Daten gewährleisten können. Dies gilt jedoch nur für den Fall, dass sich das jeweilige US-Unternehmen, an das Daten übermittelt werden sollen, auch tatsächlich dem EU-US Data Privacy Framework angeschlossen hat. Der Beschluss folgt dem Erlass der Executive Order 14086 und der Umsetzung verbindlicher Garantien durch die USA, um die den Schrems-Urteilen zugrunde liegenden Datenschutzbedenken auszuräumen. Der Beschluss sieht neben neuen Richtlinien und Vorgaben zur Beschränkung der Nutzung von personenbezogenen Daten durch US-Geheimdienste auch einen Rechtsbehelfsmechanismus für Betroffene vor und trat mit der Verkündung am 10. Juli in Kraft. Der neue EU-US-Datenschutzrahmen gewährleiste nach Ansicht der Europäischen Kommission den sicheren Transfer von Daten von Bürgerinnen und Bürgern der EU und die Rechtssicherheit für Unternehmen auf beiden Seiten des Atlantiks.

In diesem Artikel beantworten wir die wichtigsten Fragen zum Angemessenheitsbeschluss für einen sicheren Datenverkehr zwischen der EU und den USA. Darüber hinaus unterstützen Sie unsere Expertinnen und Experten dabei, die notwendigen Maßnahmen zu ergreifen, um den neuen Anforderungen gerecht zu werden. Gemeinsam stellen wir sicher, dass Ihr Datentransfer in die USA den gesetzlichen Anforderungen entspricht.

Der EU-US-Datenschutzrahmen ist ein Regelwerk, das die Übermittlung personenbezogener Daten aus der EU in die USA regelt. Er stellt sicher, dass die USA ein angemessenes Datenschutzniveau bieten, das mit dem der EU vergleichbar ist. Der EU-US-Datenschutzrahmen ermöglicht die sichere Übermittlung von Daten an teilnehmende US-Unternehmen, ohne dass zusätzliche Datenschutzgarantien im Sinne von Art. 46 DSGVO (z.B. Abschluss von Standarddatenschutzklauseln) eingeführt werden müssen.

Der Angemessenheitsbeschluss wurde am 10. Juli 2023 angenommen und ist am gleichen Tag in Kraft getreten. Es gibt keine zeitliche Befristung, aber die Kommission wird die relevanten Entwicklungen in den Vereinigten Staaten kontinuierlich beobachten und den Angemessenheitsbeschluss regelmäßig überprüfen.

Die erste Überprüfung wird innerhalb eines Jahres nach Inkrafttreten des Angemessenheitsbeschlusses stattfinden, um festzustellen, ob alle relevanten Elemente des EU-US-Datenschutzrahmens in der Praxis wirksam funktionieren. Abhängig von den Ergebnissen dieser ersten Überprüfung wird die Kommission in Absprache mit den EU-Mitgliedstaaten und den Datenschutzbehörden über die Häufigkeit künftiger Überprüfungen entscheiden, die mindestens alle vier Jahre stattfinden sollen.,

Angemessenheitsbeschlüsse können angepasst oder sogar zurückgezogen werden, wenn etwa rechtliche oder politische Entwicklungen das Schutzniveau im Drittland beinträchtigen.

Ein Angemessenheitsbeschluss ist eines der Instrumente, die die DSGVO für die Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum (EWR) in Länder außerhalb des EWR (sogenannte Drittländer) vorsieht, die nach Auffassung der Kommission ein Datenschutzniveau bieten, das mit dem der Europäischen Union vergleichbar ist.

Nach dem Angemessenheitsbeschluss können personenbezogene Daten ohne weitere Bedingungen oder Genehmigungen frei und sicher aus dem EWR, der die 27 EU-Mitgliedstaaten sowie Norwegen, Island und Liechtenstein umfasst, in ein Drittland übermittelt werden. Mit anderen Worten: Datenübermittlungen in ein Drittland aufgrund eines Angemessenheitsbeschlusses können genauso behandelt werden wie Datenübermittlungen innerhalb des EWR.

Der Angemessenheitsbeschluss für den EU-US-Datenschutzrahmen gilt für Datenübermittlungen von jeder öffentlichen oder privaten Stelle im EWR an US-Unternehmen, die am EU-US-Datenschutzrahmen teilnehmen.

Die Angemessenheit setzt nicht voraus, dass das Datenschutzniveau des Drittlands mit dem der EU identisch ist, sondern beruht auf dem Kriterium der „wesentlichen Gleichwertigkeit“. Dies beinhaltet eine umfassende Bewertung der Rechtslage eines Landes, sowohl in Bezug auf den Schutz personenbezogener Daten als auch in Bezug auf die verfügbaren Aufsichts- und Rechtsbehelfsmechanismen.

Die DSGVO sieht in Art. 45 verschiedene Kriterien vor, die bei dieser Bewertung berücksichtigt werden müssen, wie z. B. das Vorhandensein grundlegender Datenschutzprinzipien, individueller Rechte, einer unabhängigen Aufsicht und wirksamer Rechtsbehelfe.

Der EU-US-Datenschutzrahmen enthält neue verbindliche Garantien, um Datenschutzbedenken auszuräumen. Dazu gehört unter anderem die Beschränkung des Zugriffs der US-Geheimdienste auf EU-Daten auf das notwendige und verhältnismäßige Maß. Darüber hinaus wird die Einrichtung eines unabhängigen Datenschutzüberprüfungsgremiums (DPRC) gewährleistet, welches die Einhaltung der Datenschutzvorschriften überprüft und bei Verstößen die erforderlichen Abhilfemaßnahmen (wie bspw. eine Datenlöschung) anordnen kann.

US-Unternehmen können dem EU-US-Datenschutzrahmen beitreten, indem sie sich zur Einhaltung detaillierter Datenschutzverpflichtungen verpflichten. Diese sind für US-Unternehmen in Annex I des EU-US-Datenschutzrahmen geregelt. Dazu gehören unter anderem Verpflichtungen wie die Löschung personenbezogener Daten, wenn sie für den Zweck ihrer Erhebung nicht mehr benötigt werden, und die Gewährleistung des Schutzes von Daten, die an Dritte weitergegeben werden. Ferner müssen sie die Grundsätze der Datenverarbeitung, wie sie auch in Art. 5 DSGVO enthalten sind, einhalten und mit den europäischen Datenschutzaufsichtsbehörden kooperieren.

Auch Datenübermittlungen an US-Unternehmen, die sich nicht dem EU-US-Datenschutzrahmen unterworfen haben, den Datentransfer aber mittels einer geeigneten Garantie aus Art. 46 DSGVO absichern, profitieren von dem Angemessenheitsbeschluss. Denn alle Maßnahmen (inkl. der Rechtsbehelfe) der Executive Order 14086, welche die US-innerstaatliche Grundlage für die Umsetzung der Verpflichtungen darstellt, gelten auch für alle Transfermechanismen im Sinne des Art. 46 DSGVO. Hierbei ist jedoch zu beachten, dass eine Abwägung weiterhin erforderlich ist, bei dieser die die neuen verbindlichen Garantien jedoch in positiver Weise berücksichtigt werden können.

Konkret bedeutet dies, dass US-Unternehmen, die sich nicht dem neuen EU-US-Datenschutzrahmen unterwerfen, z.B. weiterhin die bekannten Standarddatenschutzklauseln als Übermittlungsinstrument für Datentransfers außerhalb des EWR-Raums abschließen und die dort vorgesehenen Transfer Impact Assessments durchführen müssen. Aufgrund des neuen Datenschutzrahmens werden diese Einzelfallprüfungen jedoch wesentlich einfacher und weniger komplex sein als bisher.

EU-Bürger:innen stehen verschiedene Rechtsmittel zur Verfügung. Dazu gehören kostenlose unabhängige Streitbeilegungsverfahren und eine Schiedsstelle. Darüber hinaus haben EU-Bürger:innen auch die Möglichkeit, eine Beschwerde bei den nationalen Datenschutzaufsichtsbehörden einzulegen. Außerdem haben sie Zugang zum DPRC, um Beschwerden einzureichen und mögliche Verstöße gegen den Datenschutz zu klären.

Um gegen eine Datenverarbeitung durch US-Geheimdienste vorzugehen, steht den EU-Bürger:innen ein zweistufiges Abhilfeverfahren zur Verfügung. Im ersten Schritt können die EU-Bürger:innen bei der für sie zuständigen nationalen Datenschutzbehörde eine Beschwerde einreichen, die dann durch den Europäischen Datenschutzausschuss übermittelt wird. Dort wird die Beschwerde von dem „Civil Liberties Protection Officer“ (CLPO) untersucht. Wenn in diesem Verfahren der Beschwerde keine Abhilfe geschaffen wird, besteht die Möglichkeit, die Entscheidung durch den DPRC zu überprüfen.

Die Funktionsweise des Datenschutzrahmens soll regelmäßig von der Europäischen Kommission und Vertretern der europäischen Datenschutzbehörden sowie der zuständigen US-Behörden überprüft werden. Die erste Überprüfung soll ein Jahr nach Inkrafttreten des Beschlusses stattfinden.

Nach der Aufhebung des vorherigen Privacy Shield nahmen die Europäische Kommission und die US-Regierung Gespräche auf, um einen neuen EU-US-Datenschutzrahmen zu entwickeln, der den vom Europäischen Gerichtshof geäußerten Bedenken Rechnung trägt.

Für die Durchsetzung und Überprüfung der Einhaltung des EU-US Datenschutzrahmens sind verschiedene Stellen verantwortlich. Das US-Handelsministerium (Department of Commerce) ist für die Verwaltung des EU-US-Datenschutzrahmens verantwortlich und bearbeitet die Anträge der US-Unternehmen auf Aufnahme und Zertifizierung. Daneben beobachtet und beurteilt das Department of Commerce die Einhaltung der Anforderungen. Die Federal Trade Commission ist für die Durchsetzung der Verpflichtungen des EU-US-Datenschutzrahmen verantwortlich.

Sie möchten sicherstellen, dass Ihr Datenverkehr mit den USA geschützt ist oder benötigen Unterstützung bei der Einhaltung der Datenschutzbestimmungen?

Kontaktieren Sie uns jetzt!

Mehr zum Thema

23. April 2024

Informationssicherheit im Gesundheitssektor – neue Regeln für die Cybersecurity

Mit der zunehmenden Vernetzung und der fortschreitenden Digitalisierung des Gesundheitswesens ist der Schutz informationstechnischer Systeme zu einem zentralen Anliegen der Branche geworden. Denn funktionierende IT-Systeme sind eine wesentliche Voraussetzung für die Sicherheit der Versorgung im Allgemeinen und die Patientensicherheit im Besonderen.
Weiterlesen
1. April 2024

Ransomware-Prävention in Zeiten von KI – Wie Unternehmen Attacken vorbeugen können

Ransomware ist nach wie vor eine der größten Bedrohungen für Wirtschaftsunternehmen. Besonders IT-Dienstleister sind in den vergangenen Jahren in den Fokus von Cyberkriminellen gerückt. Durch präventive Maßnahmen der Cybersicherheit werden personenbezogene Daten angemessen und wirksam vor den alltäglichen Gefahren des digitalen Zeitalters geschützt.
Weiterlesen
20. Februar 2024

Die Deadline naht: Machen Sie Ihr Unternehmen noch vor Oktober fit für NIS-2

Mit der nahenden Deadline im Oktober für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS-2) stehen Unternehmen vor der Herausforderung, nicht nur gesetzliche Vorgaben zu erfüllen, sondern auch ihre eigenen Geschäftsprozesse und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern.
Weiterlesen

4. Juli 2023

§ 26 TTDSG in der praktischen Umsetzung: Zukunft der Einholung und Verwaltung von Einwilligungen im Internet?

Schon seit Jahren wird immer wieder über die Entwicklung von sogenannten PIMS (Personal Information Management Systems) gesprochen. Diese sollen Nutzer:innen bei der Interaktion mit insbesondere Websites beim Management ihrer Einwilligungsentscheidungen unterstützen. § 26 TTDSG soll hier einen gesetzgeberischen Anreiz zur Etablierung solcher Systeme setzen, die sich bislang in der Praxis noch nicht durchgesetzt haben. Der deutsche Gesetzgeber erhofft sich hier insbesondere eine Abkehr vom teils als „Consent Fatigue“ betitelten Phänomen, dass Nutzer:innen die eigentlich der besseren Kontrolle über die eigenen Daten dienenden Einwilligungsbanner lediglich Wegklicken, ohne tatsächlich eine bewusste Entscheidung über die damit zusammenhängende Datenverarbeitung zu treffen.

Welche Rolle spielt § 26 TTDSG bei der Etablierung von PIMS?

Lange herrschte im Gesetzgebungsverfahren zum Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) Uneinigkeit darüber, wie und ob überhaupt auf nationaler Ebene eine Regelung zu PIMS getroffen werden sollte. Die grundsätzliche Idee einer entsprechenden nationalstaatlichen Regelung brachte bereits 2019 die sogenannte Datenethikkommission der Bundesregierung auf, der Europäische Datenschutzbeauftragte (EDSB) beschäftigte sich sogar schon im Jahr 2016 mit PIMS und ihrem Potential für die Wahrnehmung von Betroffenenrechten.

Die Regelungen des § 26 TTDSG für anerkannte Dienste der Einwilligungsverwaltung

§ 26 TTDSG reguliert die sogenannten „anerkannten Dienste“ der Einwilligungsverwaltung und in diesem Zuge insbesondere die hierfür zu erfüllenden Anforderungen. Es gibt allerdings keine Pflicht der Anbieter, sich nach § 26 TTDSG anerkennen zu lassen, vielmehr ist eine entsprechende Anerkennung eher wie eine Zertifizierung zu verstehen. Sie kann vielmehr die Position am Markt und insbesondere das Vertrauen von Endnutzer:innen in das eigene Angebot stärken.

Anforderungen und Zertifizierungsmöglichkeiten für PIMS-Anbieter:innen

Zunächst macht bereits Abs. 1 deutlich, dass die anerkannten Dienste der Einwilligungsverwaltung nach § 26 TTDSG solche sind, die Einwilligungen nach § 25 TTDSG verwalten. Es kann wohl zumindest davon ausgegangen werden, dass solche Einwilligungen, die sowohl Einwilligungen nach § 25 TTDSG als auch solche nach der DSGVO sind, ebenfalls in den Anwendungsbereich des § 26 TTDSG fallen. Das gilt selbstverständlich nicht für nachgelagerte Verarbeitungen personenbezogener Daten, die gerade keine Verarbeitungen im Kontext des § 25 TTDSG mehr sind. Absatz 1 bestimmt zudem bereits erste Anforderungen an die PIMS, wie etwa nutzerfreundliche und wettbewerbskonforme Verfahren, ein fehlendes wirtschaftliches Eigeninteresse an der eigentlichen Einwilligungserteilung, eine strenge Zweckbindung auf die Verarbeitung zur Einwilligungsverwaltung sowie das zwingende Vorlegen eines Sicherheitskonzeptes.

Die Ausgestaltung der Anforderungen und das Anerkennungsverfahren

Die nähere Ausgestaltung der konkreten Anforderungen sowie nähere Vorgaben für das tatsächliche Anerkennungsverfahren vor der später zuständigen Behörde werden gemäß § 26 Abs. 2 TTDSG durch Rechtsverordnung, d.h. durch die Bundesregierung, erfolgen. Das genaue Regelungskonstrukt bleibt bis zu diesem Punkt an vielen Stellen offen. Wann genau mit der Verordnung gerechnet werden kann, ist bislang ebenso unklar. Eine Verabschiedung noch im Jahr 2023 scheint allerdings eher unwahrscheinlich. Zudem schließt sich der eigentlichen Verabschiedung der Rechtsverordnung noch ein Notifizierungsverfahren auf Unionsebene an, da es sich bei der geplanten Rechtsverordnung um eine „technische Vorschrift“ im Sinne der Richtlinie (EU) 2015/1535 handelt. Das Bundesministerium für Digitales und Verkehr (BMDV) veröffentlichte am 01.06.2023 seinen Entwurf der Einwilligungsverwaltungsverordnung, der bereits erste Erkenntnisse zur Ausgestaltung liefern kann und nun in das Konsultationsverfahren geht (siehe unten zum Update).

Die entsprechende Verordnung soll nach § 26 Abs. 3 TTDSG zudem zwei Jahre nach Inkrafttreten durch die Bundesregierung hinsichtlich ihrer Wirksamkeit evaluiert werden. Über die entsprechende Selbstevaluierung soll ein Bericht an Bundestag und Bundesrat vorgelegt werden.

Sie haben tiefergehende Fragen? Wir unterstützen Sie und Ihr Unternehmen gern bei der Umsetzung des § 26 TTDSG.

Kontaktieren Sie uns jetzt!

Die Herausforderungen bei der funktionalen und rechtskonformen Ausgestaltung von PIMS im Rahmen von § 26 TTDSG

Aber wie kann ein PIMS eigentlich funktional und rechtskonform ausgestaltet werden? Grundsätzlich kann hier vorangestellt werden, dass sich die Ausgestaltung einer Plattform zur Einwilligungsverwaltung stets im Konfliktfeld zwischen einer möglichst datenschutzfreundlichen bzw. -sparsamen Umsetzung und wirksamen Einwilligungserteilung auf der einen Seite sowie einer mehrwertschaffenden Lösung für Endnutzer:innen gegenüber den aktuell vorherrschenden Einwilligungsbannern auf der anderen Seite bewegt.

Technische Ansätze für PIMS: Endeinrichtungs- oder cloudbasierte Umsetzung

Aus technischer Sicht kommen zunächst zwei Ansätze bei Konzeption eines PIMS in Betracht: Zum einen können PIMS so aufgebaut werden, dass sie nur auf der Endeinrichtung der Endnutzer:innen ausgeführt werden. Zum anderen könnten PIMS zumindest teilweise cloudbasiert betrieben werden, was insbesondere die geräteübergreifende Nutzung massiv erleichtert. Datenschutzfreundlicher ist hierbei das Betreiben des PIMS auf der Endeinrichtung der Endnutzer:innen, in der Regel direkt im Browser. Bei minimalistischer Herangehensweise genügt hier die Angabe der Einwilligungspräferenzen im PIMS mit reiner Endgeräteauthentifizierung. Wird nun eine Webseite aufgerufen, könnten die Einwilligungseinstellungen direkt von der Endeinrichtung beziehungsweise aus dem dortigen Browser abgerufen werden. Dies würde die größtmögliche Kontrolle der Endnutzer:innen über ihre Einwilligungsentscheidungen bedeuten, da die Einwilligungsdaten im PIMS nur bei Einwilligungsabfragen überhaupt die jeweilige Endeinrichtung verlassen. Allerdings müssten, bei Verwendung mehrerer Browser und / oder Endeinrichtungen, die Einstellungen im PIMS auch entsprechend mehrfach hinterlegt werden. Würde ein PIMS cloudbasiert umgesetzt, liefe die Synchronisierung endgeräteübergreifend über ein Userprofil oder -konto. Hierbei könnten die Daten entweder weiterhin auf der Endeinrichtung gespeichert und lediglich über die Cloud bei etwaigen Veränderungen untereinander synchronisiert werden oder aber die Speicherung der Einwilligungsdaten auf den Servern des PIMS-Anbieters (sei es auch nur als Back-up).

Die Bestimmtheit von Einwilligungserklärungen und ihre Inhalte

Woran sich eine potenzielle Einwilligungserklärung inhaltlich messen lassen muss, bestimmt sich auch bei Einwilligungen im Rahmen des § 25 Abs. 1 TTDSG aufgrund eines entsprechenden Verweises nach der Legaldefinition der datenschutzrechtlichen Einwilligung in Art. 4 Nr. 11 DSGVO. Insbesondere die Bestimmtheit einer Einwilligung kann hier problematisch werden bei einem Konzept, dass an Mehrwert für Nutzer:innen vor allem durch tendenziell abstraktere Einwilligungserklärungen gewinnt.

Modelle für den Umfang der Einwilligungs- und PIMS-Einstellungen

Wieder sind vor allem zwei Modelle hinsichtlich des genauen Umfangs der Einwilligungs- beziehungsweise PIMS-Einstellungen denkbar. Zum einen könnte bei jeder PIMS-Einstellung der konkrete Zweck samt konkretem Verantwortlichen angegeben werden. Dies könnte neben der schlicht manuellen Einstellung durch die Endnutzer:innen auch durch ein „Whitelisting“ konkreter Verantwortlicher samt der durch sie vorgesehenen Verarbeitungszwecke oder auch durch Übernahme von „Einwilligungslisten“ Dritter umgesetzt werden. Um die Einwilligung auch „informiert“ abzugeben und die entsprechenden Pflichten aus Art. 12 ff. DSGVO zu erfüllen, müsste Betroffenen bei Vornahme der entsprechenden Einstellungen zumindest die Kenntnisnahme der entsprechenden Datenschutzhinweise ermöglicht werden. Eine so granulare Einstellung für jede Verarbeitung hinsichtlich Verantwortlichen sowie dazugehörigen Zwecken würde allerdings auch bei jeder Veränderung auch nur einer konkreten Kombination in den PIMS-Einstellungen die Notwendigkeit einer Anpassung der PIMS-Einstellungen nach sich ziehen.

Pragmatischer Ansatz für PIMS-Einstellungen: Einwilligung für Kategorien statt einzelner Verantwortlicher und Zwecke

Ein wesentlich pragmatischerer Ansatz könnte bedeuten, dass sich die PIMS-Einstellungen nicht stets auf konkrete Verantwortliche und Zwecke beziehen müssen. Denkbar wäre, dass Einwilligungseinstellungen nur für konkrete Zwecke, nicht allerdings stets für einen konkreten Verantwortlichen, sondern etwa für gewisse Kategorien abgegeben werden. Ein Beispiel könnte hier die Einstellung der Einwilligungserteilung für alle Tages- und Wochenzeitschriften für Verarbeitungen zu Marketingzwecken sein. Die weniger granulare Ausgestaltung der Einwilligungseinstellung dürfte dazu führen, dass sich diese gröberen Konstellationen weniger öfter grundsätzlich verändern und damit auch weniger oft eine Notwendigkeit für Anpassungen der Einstellungen besteht. Aus datenschutzrechtlicher Sicht scheint hier allerdings sowohl eine ausreichende Bestimmtheit für den konkreten Fall als auch das tatsächliche Erfüllen der Informationspflichten problematisch. Insbesondere die Anforderungen des Europäischen Datenschutzausschusses (EDSA) an die Einwilligungserteilung im Einwilligungsbanner dürfte dies nicht erfüllen, ähnliche Maßstäbe müssten hier aber gesetzt werden. Aber auch praktische Überlegungen sprechen gegen den hiesigen Ansatz: soll sich die Einwilligungsentscheidung auch anbieterübergreifend auf einen konkreten Zweck beziehen, müssten sich ebendiese auch auf eine übergreifende Beschreibung von fest definierten Zwecken einigen. Denkbar wäre hier wiederum ein System wie das „GDPR Transparency and Consent Framework“ (TCF).

Die tatsächliche Erteilung der Einwilligung würde wohl bei Abgabe der Einwilligungseinstellungen nur für ganz konkrete Zwecke samt konkreter Verantwortlicher durch den PIMS als eine Art „Bote“ zu verstehen sein. Wird die mögliche Abgabe der Einwilligungsentscheidungen aber abstrakter, bedeutet dies auch mehr Spielraum des PIMS bzw. des PIMS-Anbieters bei der Einwilligungserteilung: hier wäre eher eine Art „Stellvertretung“ anzunehmen.

Offene Fragen und sich abzeichnende Veränderungen: Der aktuelle Stand des § 26 TTDSG und seine Auswirkungen auf PIMS

Im Kontext des § 26 TTDSG bleibt weiterhin vieles offen. So herrscht Uneinigkeit darüber, ob § 26 Abs. 2 Nr. 3 TTDSG eine Berücksichtigungs- oder Befolgungspflicht für PIMS-Einstellungen für Browser- sowie Telemedienanbieter normiert. Auch überschneidet sich der persönliche Anwendungsbereich des § 26 TTDSG teilweise mit dem jüngst verabschiedeten Data Governance Act, der sogenannten „Datenvermittlungsdiensten“ wiederum eigene Pflichten auferlegt. Auch der Abschluss der Trilog-Verhandlungen und die Verabschiedung der ePrivacy-Verordnung steht weiterhin stets im Raum. Auch sie würde die Rahmenbedingungen, in denen PIMS ihre Dienste erbringen würden, nochmal bedeutend verändern.

Leak des Verordnungsentwurfs von 2022 und möglicher Rückschlag in der Ressortabstimmung

Im August 2022 wurde ein erster Entwurf einer potenziellen Verordnung aus dem Bundesministerium für Digitales und Verkehr geleakt. Insbesondere sah der Entwurf etwa vor, dass der Dienst zur Einwilligungsverwaltung sicherzustellen habe, dass Endnutzer:innen bei Einwilligungserteilung oder -ablehnung Kenntnis von den zur Erfüllung der Informationspflichten aus der DSGVO erforderlichen Angaben haben. Auch sollte es zur Vermeidung von Gatekeeping eine Kooperationspflicht für Dienste zur Einwilligungsverwaltung, Anbieter von Browsersoftware sowie für Telemedienanbieter geben. Neben konkretisierten Anforderungen an den Antrag auf Anerkennung fand sich zudem eine bemerkenswerte Regelung, die sich so liest, als sei bei getroffenen PIMS-Einstellungen das Ausspielen zusätzlicher Einwilligungen grundsätzlich untersagt.

Schenkt man allerdings einem Schreiben des BfDI in einer Anfrage nach dem IFG bei Frag den Staat vom 30.09.2022 Glauben, sei das Vorhaben bereits in der Ressortabstimmung gescheitert. Damit wird die hoffentlich aufschlussreichere Rechtsverordnung der Bundesregierung also noch etwas länger auf sich warten lassen.

Der aktuelle Stand der Rechtsverordnung und die geplante Finalisierung bis 2024

Am 01.06.2023 hat das BMDV einen (in einigen Teilen neuen) Entwurf für die Einwilligungsverwaltungsverordnung (EinwV-E) veröffentlicht. Der Veröffentlichung schließt sich das Konsultationsverfahren zur Beteiligung von Ländern, kommunalen Spitzenverbänden, Fachkreisen und Verbänden an. Zum aktuellen Zeitpunkt hat die Bundesregierung den in Frage stehenden Entwurf der Rechtsverordnung noch nicht beschlossen. Nach eigener Aussage ist eine Finalisierung bis 2024 geplant.

Der offizielle EinwV-E lässt nun erste Schlüsse darauf zu, mit welchem eigentlichen Inhalt der § 26 TTDSG gefüllt werden soll. So sieht der EinwV-E in § 3 Abs. 2 vor, dass der Dienst zur Einwilligungsverwaltung sicherzustellen habe, dass er nur solche Einwilligungen nach § 25 Abs. 1 TTDSG verwaltet, bei denen Endnutzer:innen Kenntnis von etwa den verantwortlichen Telemedienanbieter:innen, der Dauer der Datenspeicherung sowie auch der Widerruflichkeit der Einwilligung erhalte. Um dem zu entsprechen, könnte das PIMS unter Umständen auch selbst über die nach § 3 Abs. 3 EinwV-E notwendigen Angaben zu den konkreten Telemedienanbieter:innen informieren. Dies hätte überdies die Folge, dass PIMS-Anbieter:innen kein eigener Entscheidungsspielraum zukäme, um etwa die Möglichkeit der Einwilligungserteilung in noch nicht konkret definierte, sondern ganze Kategorien von Verantwortlichen vorzusehen. Dies hatte noch der Wortlaut des § 3 Abs. 4 des geleakten Rechtsverordnungsentwurfs mit Stand 08.07.2022 nahegelegt.

§ 6 Abs. 1 EinwV-E sieht eine Kooperationspflicht für Dienste zur Einwilligungsverwaltung vor, um Gatekeeping vorzubeugen. Der geleakte Entwurf aus dem August 2022 sah eine entsprechende Kooperationspflicht auch noch für Telemedien- und Browseranbieter:innen vor. Dass sich diese Regelung so im offiziellen EinwV-E nun nicht mehr wiederfindet, wird mutmaßlich zu einer deutlich geringeren Verbreitung und auch zu einem weniger intensiven Zusammenwirken der einzelnen Beteiligten führen.

§ 15 EinwV-E ist ebenso bemerkenswert. Nach Abs. 2 hätten Telemedienanbieter:innen, die eine Einwilligung nach § 25 Abs. 1 TTDSG bei einem anerkannten Einwilligungsmanagementdienst einholen, keine weiteren Einwilligungsanfragen an Endnutzer:innen zu richten. Eine Verpflichtung zur Abfrage der Einwilligung bei PIMS-Anbieter:innen bestehe jedoch nicht, wie § 15 Abs. 1 EinwV-E indirekt andeutet. Wie in Absatz 3 ausgeführt, sollten sie die Endnutzer:innen auf die Möglichkeit der Anpassung ihrer Einstellungen beim PIMS hinweisen, sofern sie auch nach einer Abfrage beim PIMS keine Einwilligung erhalten haben. Die Durchführung aller vorstehenden Maßnahmen sei nach Absatz 4 allerdings freiwillig. In der geleakten Fassung der Rechtsverordnung vom 8. Juli 2022 schien § 10 Absatz 1 Nummer 4 die Anzeige zusätzlicher Einwilligungsbanner noch vollständig zu verbieten, wenn die Einwilligung über PIMS-Anbieter:innen eingeholt wird. Damit wäre Artikel 4 Absatz 2aa des Vorschlags für die E-Privacy-Verordnung, der die Behandlung von Willenserklärungen im Einzelfall gegen in Software eingebettete Entscheidungen vorsieht, nicht ausreichend Rechnung getragen worden. Dieser Konflikt kann jedoch durch die Anpassung hinsichtlich der Freiwilligkeit der Maßnahmen im offiziell veröffentlichten Entwurf umgangen werden. Nach der Gesetzesbegründung solle eine frühere ausdrückliche Verweigerung der Einwilligung von Telemedienanbieter:innen bei einer erneuten Aufforderung zur Einwilligung aber zumindest berücksichtigt werden.

Sollte die Rechtsverordnung in der aktuellen Entwurfsfassung so auch tatsächlich von der Bundesregierung verabschiedet werden, scheint es in der Praxis insbesondere wegen der lediglich freiwilligen Nutzung und Integration für Telemedien- und Browseranbieter:innen eher unwahrscheinlich, dass sich das auf § 26 TTDSG basierende Konzept der PIMS tatsächlich durchsetzen wird. Schließlich räumte das BMDV sogar selbst ein, dass ihm bislang kein Dienst bekannt sei, der alle von § 26 TTDSG und der korrespondierenden EinwV-E Voraussetzungen erfülle.

Nutzen Sie unser Know-how und unsere Erfahrung, um Ihr Unternehmen datenschutzrechtlich auf den neuesten Stand zu bringen! Seit Jahren wird über die Entwicklung von PIMS diskutiert, aber nicht alle Unternehmen haben die Ressourcen, um solche Systeme datenschutzkonform zu implementieren. Wir helfen ihnen dabei. Kontaktieren Sie uns noch heute, um zu erfahren, wie Sie die Anforderungen des TTDSG erfüllen.

Mehr zum Thema

18. September 2023

Alternativen zum klassischen Cookie-Banner – Paywalls, PUR-Modelle und PIMS

Das Werbetracking bietet Telemedienanbieterinnen und -anbietern die Möglichkeit, den Nutzerinnen und Nutzern personalisierte Werbung auszuspielen und damit die Darstellung ihrer Inhalte zu finanzieren. Der folgende Beitrag untersucht die rechtlichen Herausforderungen personalisierter Werbung und zeigt praktische Lösungsansätze auf.
Weiterlesen
24. April 2023

Digitales Marketing und Datenschutz – Handlungsempfehlungen für E-Commerce-Unternehmen

Gerade aufgrund des riesigen Online-Angebots für sämtliche Produkte und Dienstleistungen sowie der in der Vergangenheit aufgetretenen Datenschutzvorfälle bei großen Online-Händlern, kann effektiver und gut umgesetzter Datenschutz für E-Commerce-Unternehmen bei der Ansprache von Kund:innen ein unersetzliches Asset darstellen. Wir geben einen Überblick!
Weiterlesen
7. Dezember 2022

Google Fonts und Google Analytics – Können die Tools noch datenschutzkonform genutzt werden?

Die Nutzung von Google Fonts und Google Analytics bringen datenschutzrechtliche Risiken mit sich, insbesondere nachdem europäische Gerichte und Datenschutzbehörden ihre Verwendung immer kritischer sehen. Wir geben daher einen Überblick.
Weiterlesen

23. Juni 2023

TOP CONSULTANT 2023: ISiCO erhält begehrte Auszeichnung

ISiCO wird als einer der besten Mittelstandsberater Deutschlands ausgezeichnet und erhält das begehrte Gütesiegel TOP CONSULTANT 2023. Die Preisverleihung fand heute, den 23.06.2023 im Rahmen des Deutschen Mittelstands-Summits in Augsburg statt, bei dem Herr Christian Wulff als Mentor des Berater:innen-Wettbewerbs fungierte. Die Wissenschaftliche Gesellschaft für Management und Beratung (WGMB) hat zuvor im Auftrag von compamedia untersucht, wie gut die Teilnehmer:innen mittelständische Kund:innen beraten haben.

Die wissenschaftliche Kund:innenbefragung: Unsere exzellente Beratungsqualität als einer der Top Consultants 2023

Im Zentrum von TOP CONSULTANT steht eine wissenschaftliche Kund:innenbefragung. Die WGMB befragte mittelständische Unternehmen, mit denen wir bereits zusammengearbeitet haben. Die von unserem Unternehmen genannten Referenzkund:innen äußerten sich zur Zufriedenheit mit der Beratungsleistung und zur unbedingten Weiterempfehlung. Von den 151 teilnehmenden Beratungsunternehmen konnten in diesem Jahr 124 das Gütesiegel TOP CONSULTANT erlangen – wir wurden aufgrund unserer exzellenten Beratungsqualität als einer der Top Consultants 2023 ausgezeichnet.

Expert:innen im Bereich Datenschutz: Erfolgreiche Beratung für den Mittelstand seit 2011

Seit der Gründung im Jahr 2011 hat unser Berater:innen-Team durch seine Expertise im Bereich Datenschutz einen hervorragenden Ruf erworben. Unsere rund 30 Berater:innen – davon über 70 Prozent Frauen – kennen sich in allen rechtlichen Fragen des Datenschutzes aus und haben sich auf einige Branchen spezialisiert, in denen besondere Anforderungen an den Datenschutz gestellt werden: Gesundheitswesen, Energiewirtschaft, Finanz– und Versicherungswirtschaft. Ein besonderer Fokus liegt auf mittelständischen Unternehmen. „Diese haben oft spannende Produkte und eignen sich aufgrund ihrer Größe und Flexibilität besonders für innovative Lösungen. Da wir digital und technologiegetrieben sind, harmoniert die Zusammenarbeit besonders gut“, so Rosenthal. Die Herausforderungen und Erfolge im Mittelstand machen die Arbeit für unser Berater:innenteam spannend und bereichernd.

Unser ausführliches Unternehmensportrait zur Auszeichnung finden Sie hier.

Über TOP CONSULTANT – Der Berater:innenvergleich

Das Qualitätssiegel TOP CONSULTANT wird an Berater:innen verliehen, die eine kund:innengerechte und mittelstandsorientierte Leistung erbringen. Der Wettbewerb, der seit 2010 von compamedia organisiert wird, besteht größtenteils aus Management-, IT- und Personalberater:innen. Die wissenschaftliche Leitung des Wettbewerbs liegt in den Händen von Prof. Dr. Dietmar Fink, Professor für Unternehmensberatung an der Hochschule Bonn-Rhein-Sieg, und Bianka Knoblach von der Wissenschaftlichen Gesellschaft für Management und Beratung (WGMB) in Bonn. Mentor von TOP CONSULTANT ist Bundespräsident a.D. Christian Wulff, Medienpartner ist das manager magazin.

Mehr zum Thema

23. April 2024

Informationssicherheit im Gesundheitssektor – neue Regeln für die Cybersecurity

Mit der zunehmenden Vernetzung und der fortschreitenden Digitalisierung des Gesundheitswesens ist der Schutz informationstechnischer Systeme zu einem zentralen Anliegen der Branche geworden. Denn funktionierende IT-Systeme sind eine wesentliche Voraussetzung für die Sicherheit der Versorgung im Allgemeinen und die Patientensicherheit im Besonderen.
Weiterlesen
1. April 2024

Ransomware-Prävention in Zeiten von KI – Wie Unternehmen Attacken vorbeugen können

Ransomware ist nach wie vor eine der größten Bedrohungen für Wirtschaftsunternehmen. Besonders IT-Dienstleister sind in den vergangenen Jahren in den Fokus von Cyberkriminellen gerückt. Durch präventive Maßnahmen der Cybersicherheit werden personenbezogene Daten angemessen und wirksam vor den alltäglichen Gefahren des digitalen Zeitalters geschützt.
Weiterlesen
20. Februar 2024

Die Deadline naht: Machen Sie Ihr Unternehmen noch vor Oktober fit für NIS-2

Mit der nahenden Deadline im Oktober für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS-2) stehen Unternehmen vor der Herausforderung, nicht nur gesetzliche Vorgaben zu erfüllen, sondern auch ihre eigenen Geschäftsprozesse und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern.
Weiterlesen

6. Juni 2023

Meldung eines Datenschutzvorfalls – ein Leitfaden

In den Artikeln zur Datenschutz-Grundverordnung (DSGVO) scheint in jedem zweiten Satz das Wort „Bußgeld“ aufzutauchen, unabhängig davon, worum es in den jeweiligen Artikeln inhaltlich geht. Stellt ein Unternehmen dann fest, dass es zu einer Datenschutzpanne gekommen ist, fürchten Mitarbeiter und Geschäftsführung in der Aufregung meist zuerst die Verhängung eines Bußgeldes. An dieser Stelle möchten wir Sie beruhigen und darauf hinweisen, dass ein Datenschutzvorfall nicht zwangsläufig die Verhängung eines Bußgeldes nach sich ziehen muss.

Sollte es jedoch zu einem Datenschutzvorfall kommen, ist ein schnelles und strukturiertes Vorgehen erforderlich. Im Idealfall sollten Sie sich daher bereits vor Eintritt eines Datenschutzvorfalles mit den erforderlichen Maßnahmen und dem richtigen Verhalten vertraut machen. Dazu gehören insbesondere die sorgfältige Aufklärung und Dokumentation des Datenschutzvorfalles sowie die Beachtung der Meldepflicht des Datenschutzvorfalles gegenüber der zuständigen Behörde und gegebenenfalls gegenüber den Betroffenen.

Welche Maßnahmen sollten im Falle eines Datenschutzvorfalls ergriffen werden? Erfahren Sie, wie Sie sich optimal auf einen Datenschutzvorfall vorbereiten und die erforderlichen Schritte einleiten. Im Folgenden zeigen wir Ihnen, wie Sie am besten vorgehen und wann Sie einen Vorfall überhaupt melden müssen.

Vorab schon einmal der wichtigste Hinweis:
Nachdem ein Datenschutzvorfall bekannt wird, haben Sie noch 72 Stunden Zeit für die Meldung!

Was sind Beispiele für Datenschutzvorfälle und wie entstehen sie?

Grundvoraussetzung für die Meldung ist natürlich das Vorliegen eines Datenschutzvorfalles. Ein Datenschutzvorfall ist abstrakt jedes Ereignis, bei dem die Vertraulichkeit personenbezogener Daten verletzt wurde. Er kann durch absichtliche oder unabsichtliche Handlungen interner oder externer Personen verursacht werden. Im Allgemeinen umfasst er den unbefugten Zugang, die unbefugte Nutzung, die unbefugte Offenlegung, den unbefugten Verlust oder die unbefugte Vernichtung personenbezogener Daten. Dabei ist es unerheblich, ob ein Dritter von den Daten Kenntnis erlangt hat und ob ein Verschulden vorliegt. Zum besseren Verständnis sind im Folgenden einige Beispiele für Datenschutzvorfälle aufgeführt:

Unrechtmäßige Übermittlung (z. B. Versand einer E-Mail an den falschen Adressaten),
Verlust oder Diebstahl von Speichermedien oder Dokumenten mit personenbezogenen Daten,
Datenpannen / Datenlecks (z.B. Softwarefehler, Angriffe auf das IT-System durch Hacker),
versehentliche Veränderung oder unbeabsichtigte Löschung personenbezogener Daten.

Sie haben einen Datenschutzvorfall in Ihrem Unternehmen?

Dann kontaktieren Sie uns am besten noch heute!

Wie läuft der Meldungsprozess bei einem Datenschutzvorfall ab und wer sind die beteiligten Akteure?

Wie bereits erwähnt, muss ein Datenschutzvorfall innerhalb von 72 Stunden nach Kenntniserlangung der zuständigen Aufsichtsbehörde gemeldet werden. Kenntnis vom Datenschutzvorfall erlangt der Verantwortliche beispielsweise durch die Meldung eines Mitarbeiters oder eines Auftragsverarbeiters. Kann nach einer Vorprüfung nicht von vornherein ausgeschlossen werden, dass personenbezogene Daten betroffen sind, müssen die Geschäftsführung, der Datenschutzbeauftragte und die interne IT-Abteilung informiert werden. Folgender (grober) Ablauf ist daher immer einzuhalten:

Sammlung aller wichtigen Eckdaten zum Vorfall (Was ist passiert? Wann ist es passiert? Welche Abteilung ist involviert? Sind personenbezogene Daten betroffen? Wer ist betroffen? Etc.)
Meldung des Datenschutzvorfalles an den Datenschutzkoordinator
Datenschutzkoordinator: Notiert Zeitpunkt des Datenschutzvorfalles und informiert umgehend IT-Abteilung, Geschäftsführung und ggf. Datenschutzbeauftragten
IT-Abteilung: leitet schnellstmöglich Sicherheitsmaßnahmen ein (angemessene Maßnahmen zur Abwehr/Sicherung der Daten)
Datenschutzbeauftragter: prüft den Vorfall aus datenschutzrechtlicher Sicht und beurteilt, ob der Vorfall meldepflichtig ist.
Geschäftsführung: trifft abschließende Entscheidung, ob Vorfall gemeldet werden soll
Meldung des Vorfalls an die zuständige Datenschutzbehörde und die betroffene(n) Person(en)

Welche Rollen haben die Beteiligten bei einem Datenschutzvorfall und welche Aufgaben obliegen ihnen?

Dem Datenschutzkoordinator kommt bei diesem Prozess die Aufgabe der Koordinierung und Information der Beteiligten zu. Die rechtliche Prüfung des Vorfalls sowie die Anweisung konkreter Handlungen obliegt dagegen dem Datenschutzbeauftragten, ggf. in Absprache mit der Rechtsabteilung. Die Geschäftsführung leitet den Krisenstab, unterstützt bei der Aufklärung, begleitet die datenschutzrechtliche Prüfung und trifft letztendlich die Entscheidung, ob eine Meldung erfolgt. Die schnelle Überprüfung der technischen Systeme sowie ggf. die Sicherstellung von Backups der betroffenen Systeme übernimmt die IT-Abteilung.

Wann muss ein Datenschutzvorfall an die Aufsichtsbehörde gemeldet werden (Art. 33 DS-GVO) und welche Informationen müssen enthalten sein?

Sind alle Informationen zum Vorfall gesammelt, muss eine Meldung an die zuständige Aufsichtsbehörde erfolgen, wenn ein Risiko für die persönlichen Rechte und Freiheiten von natürlichen Personen droht. Dies ist immer dann anzunehmen, wenn ein physischer, materieller oder immaterieller Schaden bei der betroffenen Person zu erwarten ist. Typische Beispiel für einen solchen Schaden sind der Verlust der Kontrolle über die personenbezogenen Daten, Identitätsdiebstahl oder -betrug oder der Verlust der Vertraulichkeit von Daten, die dem Berufsgeheimnis unterliegen. Dabei muss es sich nicht um eine schwerwiegende Beeinträchtigung handeln. Ob ein Risiko besteht, wird anhand einer Risikoabwägung festgestellt. Innerhalb der Risikoabwägung müssen u.a. folgende Gesichtspunkte untersucht werden:

Art der betroffenen Daten: bei sensiblen Daten (z.B. Gesundheitsdaten) ist von einem hohen Risiko auszugehen,
Grad der Vertraulichkeit der Daten,
Art des Angriffs auf die Daten,
Missbrauchspotential,
Möglichkeiten der Schadensbegrenzung.

Welche Mindestanforderungen müssen bei der Meldung eines Datenschutzvorfalls an die Aufsichtsbehörde erfüllt werden?

Liegt ein Risiko vor und muss eine Meldung an die Aufsichtsbehörde erfolgen, so werden an die Meldung einige Mindestanforderungen gestellt (vgl. § 33 Abs. 3 DS-GVO). Sie muss Name und Kontaktdaten des Datenschutzbeauftragten, die Art der Verletzung sowie Angaben zur Kategorie der Daten und der ungefähren Anzahl der betroffenen Datensätze und Personen, eine Beschreibung der wahrscheinlichen Folgen der Verletzung sowie die von dem Unternehmen ergriffenen und vorgeschlagenen Maßnahmen zur Behebung der Verletzung enthalten.

Was tun bei Unsicherheit, ob ein Datenschutzvorfall gemeldet werden muss?

Auch Im Zweifelsfall, also wenn Sie bei der Beurteilung, ob ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht, unsicher sind oder Sie nicht in der Lage sind, eine umfassende Risikoabwägung vorzunehmen, sollte der Vorfall der zuständigen Aufsichtsbehörde sicherheitshalber gemeldet werden.

Wie richtig dokumentieren, wenn kein Risiko bei einem Datenschutzvorfall besteht?

Ergibt die Abwägung, dass kein Risiko besteht, so wird eine Meldung in der Regel unterbleiben können. Unbedingt notwendig ist aber auch in diesem Fall die Dokumentation der hierfür relevanten Tatsachen und der daraus folgenden Beurteilung des Sachverhalts (§ 33 Abs. 5 DS-GVO). Denn es besteht auf Seiten des Verantwortlichen eine Nachweispflicht darüber, dass er in Bezug auf die Meldepflicht eine ordnungsgemäße Entscheidung getroffen hat.

Muss die betroffene Person bei einem Datenschutzvorfall informiert werden (Art. 34 DS-GVO) und welche Fälle erfordern eine Benachrichtigung?

Zudem muss geprüft werden, ob die betroffene Person informiert werden muss. Die betroffene Person ist diejenige, deren Daten beispielsweise unrechtmäßig durch Diebstahl oder Hacking an eine dritte Person gelangt sind. Eine Meldung muss jedoch nicht immer erfolgen. Im Vergleich zu den Anforderungen an die Meldung an die Aufsichtsbehörde sind die Anforderungen höher anzusetzen: Sie ist nur dann vorgeschrieben, wenn voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Person besteht. Ob ein derartiges hohes Risiko besteht, wird ebenfalls anhand einer Risikoabwägung festgestellt.

Welche Datenschutzvorfälle erfordern eine Meldung?

Rufschädigung,
Identitätsdiebstahl und -betrug,
finanzielle Schäden,
Diskriminierung.

Diese Beispiele stellen ein hohes Risiko dar, sodass von einer Meldepflicht auszugehen ist. Muss eine Meldung erfolgen, dann ist sie auch für einen Laien möglichst verständlich zu formulieren und muss – ähnlich wie bei der Meldung an die Aufsichtsbehörde – einige Mindestinformationen enthalten, u.a. Name und Kontaktdaten des Datenschutzbeauftragten, sowie eine Beschreibung der Art der Verletzung, den wahrscheinlichen Folgen einer Verletzung und den vom Verantwortlichen ergriffenen und vorgeschlagenen Maßnahmen.

Wann liegt keine Meldepflicht für einen Datenschutzvorfall vor?

Wenn geeignete technische und organisatorische Maßnahmen getroffen wurden, sodass Nachteile für betroffene Personen ausgeschlossen werden können,
die Meldung mit unverhältnismäßigem Aufwand verbunden wäre. In diesem Fall ist jedoch stattdessen eine öffentliche Bekanntmachung oder eine vergleichbare Maßnahme erforderlich,
durch die Meldung Informationen offenbart würden, die wegen überwiegenden Interesses eines Dritten geheim gehalten werden müssten.

Was sind die wichtigsten Schritte bei der Meldung eines Datenschutzvorfalls und wie können externe Datenschutzexperten helfen?

Gehen Sie sorgfältig mit einem Datenschutzvorfall um und richten Sie Ihr Vorgehen nach den gesetzlichen Regeln aus. So können Sie sowohl der Aufsichtsbehörde als auch den betroffenen Personen zeigen, dass Sie verantwortungsbewusst und gewissenhaft mit der Situation umgehen. Sie sollten keine Zeit verstreichen lassen und die formalen und inhaltlichen Anforderungen an die Meldung beachten. Auch wenn der Datenschutzvorfall durch die Missachtung gesetzlicher Anforderungen oder technischer Standards provoziert wurde, ist es nun taktisch klug, sich genaustens an die Regeln zu halten, und den Datenschutzvorfall sorgfältig aufzuklären und zu dokumentieren.

Wie sollten Datenschutzvorfälle gemeldet werden? Die wichtigsten Schritte und Fristen im Überblick:

Sorgfältige interne Aufklärung des Vorfalles
Koordinierte und strukturierte Arbeitsteilung zwischen Legal, Datenschutzbeauftragter (DSB), IT und Geschäftsführung – jeder muss seine Rolle kennen!
Risiko abwägen: einfaches Risiko: nur Aufsichtsbehörde verständigen | hohes Risiko: betroffene Person und Aufsichtsbehörde verständigen
Formale Anforderungen an die Meldungen einhalten!
72 Stunden der Meldung gegenüber der Behörde dürfen nicht überschritten werden! Sollten diese Frist dennoch überschritten werden, müssen Sie die Fristüberschreitung begründen
Dokumentation aller Datenschutzvorfälle und der Risikoabwägung. Auch wenn keine Meldung gegenüber der Behörde erfolgt!

Wie kann ein externer Datenschutzbeauftragter bei Datenschutzvorfällen unterstützen?

Insbesondere der Datenschutzbeauftragte spielt eine wichtige Rolle, wenn es zu einem Datenschutzvorfall gekommen ist. Ihm obliegt u.a. die wichtige Aufgabe der datenschutzrechtlichen Prüfung des Vorfalls. Die ISiCO Datenschutz GmbH kann für Ihr Unternehmen den externen Datenschutzbeauftragten stellen und durch die gezielte Implementierung der DSGVO-Vorgaben bei der Bearbeitung von Datenschutzvorfällen unterstützen oder sogar bereits deren Entstehung verhindern! Unsere Rechts- und IT-Experten können zudem Ihre internen Datenschutzbeauftragten in DSB-Schulungen auf Ihre Aufgaben vorbereiten oder Ihre Mitarbeiter im Umgang mit Datenschutzvorfällen schulen. Vertrauen Sie auf uns und unsere Expertise im Datenschutz!

Mehr zum Thema

23. April 2024

Informationssicherheit im Gesundheitssektor – neue Regeln für die Cybersecurity

Mit der zunehmenden Vernetzung und der fortschreitenden Digitalisierung des Gesundheitswesens ist der Schutz informationstechnischer Systeme zu einem zentralen Anliegen der Branche geworden. Denn funktionierende IT-Systeme sind eine wesentliche Voraussetzung für die Sicherheit der Versorgung im Allgemeinen und die Patientensicherheit im Besonderen.
Weiterlesen
1. April 2024

Ransomware-Prävention in Zeiten von KI – Wie Unternehmen Attacken vorbeugen können

Ransomware ist nach wie vor eine der größten Bedrohungen für Wirtschaftsunternehmen. Besonders IT-Dienstleister sind in den vergangenen Jahren in den Fokus von Cyberkriminellen gerückt. Durch präventive Maßnahmen der Cybersicherheit werden personenbezogene Daten angemessen und wirksam vor den alltäglichen Gefahren des digitalen Zeitalters geschützt.
Weiterlesen
20. Februar 2024

Die Deadline naht: Machen Sie Ihr Unternehmen noch vor Oktober fit für NIS-2

Mit der nahenden Deadline im Oktober für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS-2) stehen Unternehmen vor der Herausforderung, nicht nur gesetzliche Vorgaben zu erfüllen, sondern auch ihre eigenen Geschäftsprozesse und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern.
Weiterlesen

23. Mai 2023

Die Bedeutung von IT-Sicherheit für Unternehmen und wie sie sich schützen können

Cyber-Angriffe sind der Albtraum eines jeden Unternehmens. Je stärker die Geschäftsprozesse digitalisiert und Systeme vernetzt werden, desto größer wird auch das Risiko von Cyber-Angriffen. Die Folgen solcher Angriffe können verheerend sein und reichen von Systemausfällen und Datenverlusten bis hin zu finanziellen und Image-Einbußen sowie rechtlichen Konsequenzen. Die Realität ist eindeutig: Die Bedrohung der IT-Sicherheit ist allgegenwärtig und betrifft Unternehmen jeder Größe und Branche. Es ist daher von entscheidender Bedeutung, dass Unternehmen die notwendigen Vorkehrungen treffen, um ihre IT-Systeme zu schützen und sensible Daten vor unbefugtem Zugriff zu bewahren. Wir werfen einen genaueren Blick auf die Folgen von IT-Angriffen und warum Unternehmen nicht länger zögern sollten, Maßnahmen zur Verbesserung ihrer IT-Sicherheit zu ergreifen.

Die wachsenden Risiken von IT-Angriffen in der digitalisierten Geschäftswelt

In unserer zunehmend digitalisierten Welt sind Unternehmen mehr denn je auf die Vorteile der Informationstechnologie angewiesen. Mit der fortschreitenden technologischen Entwicklung und der zunehmenden Vernetzung der Geschäftswelt steigt jedoch auch das Risiko von Cyber-Angriffen, bei denen sich Angreifer unerlaubt Zugang zu IT-Systemen verschaffen, um Schaden anzurichten, Daten zu entwenden, Systeme lahmzulegen und Lösegelder für die Wiederherstellung verschlüsselter und/oder Nicht-Veröffentlichung entwendeter Daten zu erpressen. Die Bedrohungslandschaft entwickelt sich ständig weiter und permanent entstehen neue Angriffsmethoden. Unternehmen sollten daher eine umfassende und proaktive Sicherheitsstrategie verfolgen, um sich vor diesen Risiken zu schützen.

Arten von Cyber-Angriffen im Überblick

Ransomware-Angriffe: Schadsoftware, die Computer und Netzwerke verschlüsselt und von Unternehmen Lösegeld für die Wiederherstellung des Zugangs fordert.
Phishing-Angriffe: Täuschend echte E-Mails, Websites oder Kurznachrichten, die darauf abzielen, vertrauliche Informationen wie Benutzernamen, Passwörter oder Kreditkartendaten von Mitarbeiter:innen zu stehlen.
Business-E-Mail Compromise (BEC): Angriffe, bei denen sich ein Angreifer:innen als leitende Führungspersönlichkeit eines Unternehmens ausgibt, um Mitarbeiter:innen dazu zu bringen, Geld zu überweisen oder vertrauliche Informationen preiszugeben.
Advanced Persistent Threats (APTs): Hochentwickelte und gezielte Angriffe, die langfristig unentdeckt bleiben und darauf abzielen, sensible Daten zu stehlen, geistiges Eigentum zu extrahieren oder die Netzwerkinfrastruktur eines Unternehmens zu kompromittieren.Zero-Day-Exploits: Angriffe, die Schwachstellen in Software oder Betriebssystemen ausnutzen, für die noch keine Sicherheitsupdates oder Patches verfügbar sind.
Insider-Bedrohungen: Angriffe, bei denen interne Mitarbeiter:innen böswillig sensible Daten stehlen, Systeme sabotieren oder vertrauliche Informationen preisgeben.
Denial-of-Service-Angriffe (DoS): Versuche, ein Netzwerk oder eine Website durch Überlastung oder Manipulation von Ressourcen unzugänglich zu machen.
Social Engineering: Angriffe, bei denen menschliche Schwächen ausgenutzt werden, um Mitarbeiter:innen dazu zu bringen, vertrauliche Informationen preiszugeben oder schädliche Handlungen auszuführen.
Advanced Malware: Hochentwickelte und schwer erkennbare Malware, die dazu verwendet wird, Daten zu stehlen, Systeme zu übernehmen oder andere schädliche Aktionen durchzuführen.
Supply Chain Attacks: Angriffe, bei denen Angreifer:innen Schwachstellen in der Lieferkette eines Unternehmens ausnutzen, um Schadcode oder Malware einzuschleusen und so Zugang zu den Systemen des Zielunternehmens zu erlangen.

Die schwerwiegenden Folgen von erfolgreichen IT-Angriffen für Unternehmen

IT beschränkt sich heute nicht ausschließlich auf das Unternehmensnetzwerk, bestehend aus Servern und Arbeitsplatzrechnern. Immer häufiger werden auch (teils private) mobile Geräte wie Notebooks, Tablets und Smartphones in die Unternehmens-IT eingebunden. Diese sind ständig mit dem Internet verbunden und enthalten sensible, auch geschäftsrelevante Daten. Auch werden vielfältig Cloud-Dienstleister eingesetzt, bei denen sensible personen- und geschäftsbezogene Daten vorliegen. Die Risiken von IT-Angriffen sind daher beträchtlich. Ein erfolgreicher Angriff kann für ein Unternehmen schwerwiegende Folgen haben. Zum einen kann es zu einem Systemausfall kommen, bei dem wichtige IT-Systeme nicht mehr verfügbar sind und der Geschäftsbetrieb zum Erliegen kommt. Dies führt zu Produktionsausfällen, Umsatzeinbußen und einem möglichen Vertrauensverlust bei den Kunden. Darüber hinaus können IT-Angriffe zum Verlust oder Diebstahl von Daten führen. Sensible Unternehmensdaten, Kunden- und Mitarbeiterinformationen oder geistiges Eigentum können entwendet und zweckentfremdet werden. Dies kann zu rechtlichen Konsequenzen, Reputationsschäden und finanziellen Verlusten durch Bußgeldzahlungen, Regressansprüche und Wiederherstellungskosten führen.

Effektive Maßnahmen zur Abwehr von IT-Angriffen und Stärkung der Unternehmenssicherheit

Angesichts der zunehmenden Bedrohungen und des wachsenden Ausmaßes von Cyber-Angriffen ist es für Unternehmen unerlässlich, Vorkehrungen gegen solche Angriffe zu treffen. Investitionen in die Informations- und IT-Sicherheit sollten Priorität haben, da Unternehmen ihre Systeme und Daten vor potenziellen Bedrohungen schützen und ihre geschäftskritischen Abläufe sicherstellen müssen. Unternehmen können das Risiko von IT-Angriffen verringern, indem sie geeignete Sicherheitsmaßnahmen und -richtlinien einführen. Dazu gehören u.a. die sichere Konfiguration des Unternehmensnetzwerks, die sachgerechte Pseudonymisierung/Anonymisierung und Verschlüsselung von Daten bei Transport und Speicherung (wo möglich auch während der Verarbeitung), die Implementierung von Firewalls, Antivirensoftware, ein starkes Patch- und Updatemanagement, engmaschige Systemlogs, ein verlässliches hochverfügbares Backupkonzept und Mitarbeiterschulungen, um das Bewusstsein für Sicherheitsbedrohungen und Best Practices zu schärfen. Es sollte sichergestellt werden, dass alle Aspekte der Informations- und IT-Sicherheit abgedeckt und die spezifischen Anforderungen des Unternehmens berücksichtigt werden.

Ihr Unternehmen benötigt Unterstützung und Expertise beim Ausbau Ihrer Informations- und IT-Sicherheit?

Erfahren Sie jetzt mehr!

Informations- und IT-Sicherheit stärken: Effektive Strategien und Maßnahmen zur Risikominimierung

Die Sicherheit von IT-Systemen, Daten und weiteren Assets ist heute für Unternehmen jeder Größe und Branche von entscheidender Bedeutung. Angesichts der ständig wachsenden Bedrohung durch Cyber-Angriffe und der zunehmenden Abhängigkeit von digitalen Technologien ist es unerlässlich, proaktiv zu handeln und geeignete Sicherheitsvorkehrungen zu treffen: Eine effektive Sicherheitsstrategie basiert auf einer fundierten Risikoanalyse, in der die Sicherheitsrisiken in der eigenen und zugekauften IT umfassend untersucht und bewertet werden. Durch eine gründliche Analyse der IT-Strukturen können potenzielle Schwachstellen identifiziert werden. Die Analyse der sicherheitsrelevanten Prozesse auf IT- und Fachbereichsebene ermöglicht die Überprüfung und Optimierung der Sicherheitsmaßnahmen. Ein weiterer wesentlicher Schritt ist die Ermittlung des Schutzbedarfs sensibler Unternehmensdaten. Auf Basis der Analyseergebnisse können maßgeschneiderte Sicherheitskonzepte entwickelt werden, die geeignete Maßnahmen zur Risikominimierung beinhalten. Ein Notfall- und Business Continuity-Management stellt sicher, dass auf unvorhergesehene Ereignisse angemessen reagiert und der Geschäftsbetrieb aufrechterhalten werden kann. Regelmäßige Sicherheitsaudits decken potenzielle Schwachstellen auf und liefern in Managementberichten eine detaillierte Bewertung der Sicherheitslage mit Handlungsempfehlungen.

Stärken Sie Ihre Informations- und IT-Sicherheit mit professioneller Beratung: Expert:innen unterstützen Sie bei der Entwicklung einer robusten Sicherheitsstrategie

Die Zusammenarbeit mit erfahrenen IT-Sicherheitsberatern bietet Unternehmen die Möglichkeit, ihre IT-Sicherheit auf ein neues Niveau zu heben. Risikoanalyse, Analyse der IT-Strukturen, Prozessanalyse, Schutzbedarfsfeststellung, Entwicklung von Sicherheitskonzepten, Implementierung von Notfallmanagement und Durchführung von Sicherheitsaudits sind entscheidende Schritte auf dem Weg zu einer robusten und effektiven Sicherheitsstrategie – hier können wir Ihnen helfen! Mit gezielten Maßnahmen schützen wir gemeinsam Ihre Daten und Systeme und wappnen Sie gegen die vielfältigen Bedrohungen der digitalen Welt. Verlassen Sie sich nicht auf Glück und Zufall – handeln Sie proaktiv, bevor es zu spät ist! Kontaktieren Sie uns noch heute für eine Beratung zum Schutz Ihres Unternehmens vor IT-Angriffen.

Mehr zum Thema

23. April 2024

Informationssicherheit im Gesundheitssektor – neue Regeln für die Cybersecurity

Mit der zunehmenden Vernetzung und der fortschreitenden Digitalisierung des Gesundheitswesens ist der Schutz informationstechnischer Systeme zu einem zentralen Anliegen der Branche geworden. Denn funktionierende IT-Systeme sind eine wesentliche Voraussetzung für die Sicherheit der Versorgung im Allgemeinen und die Patientensicherheit im Besonderen.
Weiterlesen
1. April 2024

Ransomware-Prävention in Zeiten von KI – Wie Unternehmen Attacken vorbeugen können

Ransomware ist nach wie vor eine der größten Bedrohungen für Wirtschaftsunternehmen. Besonders IT-Dienstleister sind in den vergangenen Jahren in den Fokus von Cyberkriminellen gerückt. Durch präventive Maßnahmen der Cybersicherheit werden personenbezogene Daten angemessen und wirksam vor den alltäglichen Gefahren des digitalen Zeitalters geschützt.
Weiterlesen
20. Februar 2024

Die Deadline naht: Machen Sie Ihr Unternehmen noch vor Oktober fit für NIS-2

Mit der nahenden Deadline im Oktober für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS-2) stehen Unternehmen vor der Herausforderung, nicht nur gesetzliche Vorgaben zu erfüllen, sondern auch ihre eigenen Geschäftsprozesse und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern.
Weiterlesen

12. Mai 2023

KI in der Logistik: Chancen, Herausforderungen und Datenschutzstrategien

Die Logistikbranche in Deutschland hat die Chancen und Möglichkeiten der Künstlichen Intelligenz (KI) erkannt und ist vielen anderen Wirtschaftszweigen bereits weit voraus. Laut einer aktuellen Umfrage von Bitkom Research setzen bereits 22 Prozent der Logistikunternehmen in Deutschland KI zur Prozessoptimierung ein, weitere 26 Prozent denken über einen zukünftigen Einsatz nach. Doch obwohl KI als Schlüsseltechnologie gilt, wird sie in der deutschen Wirtschaft bislang nur selten eingesetzt. Inflationsängste, steigende Energiepreise, die Auswirkungen der Pandemie und der Ukraine-Konflikt sind nur einige Gründe dafür. Darüber hinaus spielen insbesondere auf Kundenseite Bedenken hinsichtlich Datenschutzstandards und Compliance-Risiken eine wichtige Rolle. Um diesen Herausforderungen zu begegnen, ist eine geeignete Datenstrategie unerlässlich. Dieser Blogbeitrag zeigt auf, welche konkreten Einsatzmöglichkeiten KI in der Logistik bietet und wie Datenschutzanforderungen bei der Implementierung von KI-Lösungen erfüllt werden können.

Beginnend mit einem Überblick über die vielfältigen Einsatzmöglichkeiten von KI in der Logistikbranche, werden im weiteren Verlauf des Beitrags auch rechtliche Aspekte und Datenschutzbestimmungen beleuchtet. Durch eine fundierte Datenstrategie und die Einhaltung geltender Vorschriften können Unternehmen die Vorteile von KI nutzen und gleichzeitig die Bedenken ihrer Kunden hinsichtlich Datenschutz und Compliance-Risiken ausräumen.

KI-Anwendungen in der Logistik: Effizienzsteigerung, Kosteneinsparungen und Nachhaltigkeitsoptimierung

KI kann in verschiedenen Bereichen der Logistik eingesetzt werden. Die wichtigsten Anwendungsfelder liegen in den Bereichen Bedarfsprognose und Absatzplanung sowie Transport- und Produktionsoptimierung. Dabei bietet KI den Unternehmen zahlreiche Möglichkeiten, verschiedene Datenströme entlang der Supply Chain in einem Modell zusammenzuführen und zu analysieren. Auf Basis der gewonnenen Erkenntnisse können dann Kosten reduziert und Entscheidungsprozesse optimiert werden. In der Praxis ermöglicht beispielsweise der Picking-Algorithmus von Amazon durch verbesserte Kommissionierung und Bestückung in der Lagerlogistik Einsparungen von potenziell einer halben Milliarde US-Dollar. Doch auch kleinere Logistikunternehmen können von sogenannten „Learning Warehouses“ profitieren und ungenutzte Optimierungspotenziale entdecken. So lassen sich beispielsweise durch die Bündelung mehrerer Aufträge der Kund:innen oder die Reduzierung der Fahrwege in einem Lager Ressourcen und Transportkosten einsparen. Neben Fragen der Kosteneffizienz besteht so auch die Chance, die Nachhaltigkeit eines Unternehmens zu erhöhen.

KI in der Logistik: Effektive Prognosen und maßgeschneiderte Entscheidungen mit maschinellem Lernen

Prognosen und Entscheidungen mittels KI basieren auf Algorithmen, die mittels maschinellen Lernens (ML) darauf trainiert wurden, bestimmte Muster und Zusammenhänge zu erkennen. Für logistische Prozesse bieten einige Anbieter bereits vorgefertigte Optimierungstools an. Neben den auf dem Markt verfügbaren fertigen Anwendungen stellt die Entwicklung eigener, maßgeschneiderter Tools mittels ML eine interessante Möglichkeit dar. ML kann im Wesentlichen auf drei Modellen basieren, dem überwachten, dem unüberwachten und dem bestärkenden Lernen. Welches ML-Modell zum Einsatz kommt, hängt stark von der geplanten Aufgabenstellung ab. So kann z.B. die Analyse einer Anlagenperformance mit Daten aus unterschiedlichen Quellen – z.B. Sensordaten der Anlagen, Produktstammdaten und Qualitätssicherungsdaten der produzierten Produkte – mit allen drei ML-Ansätzen durchgeführt werden.

Unüberwachtes Lernen vs. überwachtes Lernen in der Logistik: Automatisierung und Risikovermeidung bei der Mustererkennung

Unüberwachtes Lernen bietet mit der automatischen Mustererkennung einen hohen Automatisierungsgrad, birgt jedoch gleichzeitig ein erhöhtes Risiko für die Erkennung sogenannter Schein-Muster. Beispielsweise könnte ein ML-System für einen bestimmten Zeitraum bestimmte Produktionsfehler erkennen und diese fälschlicherweise einem in diesem Zeitraum produzierten Artikel zuordnen. Tatsächlich könnte es sich aber um eine Vielzahl anderer Ursachen handeln, z. B. um das Anfahren einer Maschine. Solche Risiken können durch überwachtes Lernen vermieden werden. Für die Implementierung dieses ML-Modells werden zunächst die Trainingsdaten gezielt ausgewählt und die Lernleistung des Systems durch menschliche Trainer überwacht. Bezogen auf den genannten Anwendungsfall wäre zudem auch der Einsatz sogenannten bestärkenden Lernens denkbar. Bei dieser Form des maschinellen Lernens wird jede vom ML-System vorgeschlagene Fehlerursache pro Trainingsphase von einer externen Instanz, z.B. einer QS-Abteilung, bewertet. Da der potenzielle Erfolg eines ML-Systems stark von Detailfragen abhängt, sollte bereits dessen Auswahl durch Expert:innen begleitet werden.

KI-Implementierung in Unternehmen: Technische Voraussetzungen, Datenanalyse und Expertenwissen für maßgeschneiderte Lösungen

Die Ausgangsfrage jeder Implementierung von KI-gestützten Prozessen ist, ob die Problemstellung grundsätzlich durch entsprechende Modelle adressiert werden kann und – wenn ja – welches Verfahren besonders geeignet ist. Um eine unternehmensspezifische KI überhaupt entwickeln zu können, bedarf es zunächst entsprechender Hard- und Softwarekomponenten. Für Unternehmen kann der technische Einstieg in das Thema beispielsweise als „Machine Learning as a Service“ (MLaaS) über cloudbasierte externe Lösungen erfolgen. Die zweite Säule einer maßgeschneiderten KI-Entwicklung sind geeignete Trainings- und Kontrolldatensätze. Einer der ersten Schritte ist daher in der Regel das Sammeln von Daten, um eine geeignete Lernumgebung zu schaffen. Um das spätere System möglichst genau an die Bedürfnisse des Unternehmens anzupassen, sollten zunächst die vorhandenen Daten analysiert und kategorisiert werden. Die Anzahl und Qualität der benötigten Daten ist dabei in Relation zum Anwendungsfall und der angestrebten Lösung zu sehen. Für die meisten Unternehmen ist es dabei besonders fruchtbar, die eigene Expertise mit einschlägigem Wissen aus externer Rechts- und IT-Beratung zu koppeln. Insbesondere aus Sicht der IT-Sicherheit und des Datenschutzrechts sind zahlreiche Besonderheiten zu beachten.

Sie sind ein Unternehmen aus der Logistikbranche und benötigen tiefergehende juristische Beratung bei der Implementierung einer Künstlichen Intelligenz?

Dann kontaktieren Sie uns gern noch heute!

KI-Implementierung und Datensicherheit: Der AIC4 des BSI als Grundlage für sichere KI-Systeme in der Cloud

Bei der Implementierung von KI-Anwendungen spielt die Umsetzung geeigneter Datensicherheitsstandards eine wichtige Rolle. Etablierte IT-Sicherheitsstandards sind im Hinblick auf die spezifischen Sicherheitsrisiken von KI-Systemen oft lückenhaft. Mit dem Kriterienkatalog für KI-basierte Cloud-Dienste (Artificial Intelligence Cloud Services Compliance Criteria Catalogue, AIC4) hat das BSI 2021 eine Grundlage für die Bewertung der Sicherheit von KI-Systemen geschaffen. Der AIC4 des BSI definiert ein grundlegendes Sicherheitsniveau für KI-basierte Dienste, die in Cloud-Infrastrukturen entwickelt und betrieben werden. Der AIC4 enthält KI-spezifische Kriterien, die eine unabhängige Bewertung der Sicherheit eines KI-Dienstes über den gesamten Lebenszyklus ermöglichen. Diese Kriterien sind in verschiedene Kategorien unterteilt, die die Sicherheitsaspekte von KI-basierten Cloud-Diensten abdecken. Dazu gehören Kriterien wie „Datenschutz und Datenverarbeitung“, „Risikomanagement“, „IT-Sicherheitsmanagement“ sowie „Kommunikation und Transparenz“. Diese Kriterien sind wichtig, um die Einhaltung von Sicherheitsstandards zu gewährleisten und mögliche Schwachstellen bei der Entwicklung und Implementierung von KI-Systemen zu minimieren. Unternehmen sollten die Kriterien des AIC4 bei der Implementierung von KI-Anwendungen berücksichtigen, um ein hohes Maß an Datensicherheit und Datenschutz zu gewährleisten.

Datenschutzanforderungen für KI-Systeme: Rechtmäßigkeit, Datensparsamkeit und Informationspflichten gemäß DSGVO

Soweit ein KI-System personenbezogene Daten verarbeitet, knüpft die Datenschutz-Grundverordnung den Einsatz des Systems zudem an eine Reihe von datenschutzrechtlichen Voraussetzungen.

Rechtmäßigkeit und Datensparsamkeit bei der Datenverarbeitung in KI-Systemen gemäß DSGVO

Zunächst muss die Datenverarbeitung im Rahmen des KI-Systems rechtmäßig sein. Die Rechtmäßigkeit der Verarbeitung ist ein Grundprinzip des Datenschutzrechts und muss nach Art. 6 DSGVO für jeden Verarbeitungsakt gesondert geprüft werden. Dies bedeutet, dass eine Verarbeitung nur dann zulässig ist, wenn eine der in Art. 6 genannten Rechtsgrundlagen vorliegt, wie z.B. die Einwilligung der betroffenen Person, die Erfüllung eines Vertrages oder die Wahrung berechtigter Interessen. Darüber hinaus ist zu beachten, dass auch bei der Verarbeitung personenbezogener Daten im Rahmen von KI-Anwendungen der Grundsatz der Datensparsamkeit eine wichtige Rolle spielt. Dies bedeutet, dass nur die Daten erhoben und verarbeitet werden dürfen, die für den konkreten Verarbeitungszweck erforderlich sind. Wichtig ist hierbei eine umfassende Prüfung, welche Daten für den vorgesehenen Zweck tatsächlich erforderlich sind und welche nicht.

Dokumentationspflichten nach DSGVO: Rechtssichere Nachweise für die Verarbeitung personenbezogener Daten

Von Bedeutung sind auch die datenschutzrechtlichen Dokumentationspflichten. Diese sind in Art. 30 DSGVO geregelt und betreffen Unternehmen, die personenbezogene Daten verarbeiten. Nach Art. 30 Abs. 1 DSGVO müssen Unternehmen ein Verzeichnis von Verarbeitungstätigkeiten führen, das die wichtigsten Informationen über die Verarbeitungstätigkeiten enthält. Diese Dokumentation ist insbesondere wichtig, um im Falle einer Prüfung durch die Datenschutzbehörde nachweisen zu können, dass die Datenverarbeitung rechtmäßig und transparent erfolgt.

Informationspflichten gemäß DSGVO: Transparenz bei der Verarbeitung personenbezogener Daten in KI-Systemen

Von erheblicher Bedeutung sind schließlich die Informationspflichten nach Art. 13 und 14 DSGVO. Sie betreffen die betroffenen Personen, also diejenigen, deren Daten verarbeitet werden. Unternehmen müssen diese Personen darüber informieren, welche personenbezogenen Daten verarbeitet werden, zu welchem Zweck dies geschieht und welche Rechte die betroffenen Personen haben. Insbesondere im Hinblick auf die in KI-Systemen involvierte Logik ist es wichtig, dass Unternehmen transparent darlegen, welche Daten verwendet werden, wie diese verarbeitet werden und welche Schlussfolgerungen das System auf Basis dieser Daten zieht.

Datenschutz beim Training von KI: Die Rolle synthetischer und anonymisierter Daten sowie verteilten maschinellen Lernens

Im Rahmen der Implementierung von KI stellt das Training einer KI aus datenschutzrechtlicher Sicht einen Sonderfall dar. Wurden die personenbezogenen Daten, die für das Training der KI verwendet werden sollen, beispielsweise ursprünglich auf Grundlage einer Einwilligung nach Art. 6 Abs. 1 lit. f DSGVO erhoben, kann dies aus datenschutzrechtlicher Sicht zu komplexen Folgefragen führen. Hintergrund ist insbesondere, dass die erteilte Einwilligung gem. Art. 7 Abs. 3 S. 1 DSGVO vom Betroffenen jederzeit widerrufen werden kann bzw. der Betroffene gem. Art. 17 DSGVO die Löschung der Daten verlangen kann. Inwieweit in einem solchen Fall die betroffenen Daten wieder aus dem KI-Training – und ggf. dem Trainingsergebnis – „herausgefiltert“ werden können, ist im Einzelnen unklar. Der Umsetzung eines datenschutzrechtlichen Verlangens eines Betroffenen hat der Verantwortliche jedoch grundsätzlich nachzukommen.

Datenschutz und Auskunftsersuchen: Die Vorteile der Verwendung synthetischer Daten in KI-Training

Insofern bietet die Verwendung synthetischer Daten eine Lösung für das Problem des Umgangs mit Auskunftsersuchen von Betroffenen. Denn synthetische Daten können so erzeugt werden, dass sie keine personenbezogenen Informationen mehr enthalten und somit nicht unter die Bestimmungen der DSGVO fallen. Dadurch wird vermieden, dass personenbezogene Daten im Nachhinein aus dem KI-Training „herausgefiltert“ werden müssen. Gleichzeitig bietet die Verwendung synthetischer Daten eine praktikable Alternative, um mögliche Konflikte mit Datenschutzbestimmungen zu vermeiden.

Datenschutzfreundliche KI-Entwicklung: Anonymisierte Daten und verteiltes maschinelles Lernen als Lösungsansätze

Um aus den eingegebenen Daten zu lernen, benötigen Algorithmen regelmäßig auch keine Informationen über die konkret betroffene Person. Dementsprechend bietet auch das Training mit anonymisierten Daten datenschutzkonforme und sichere Möglichkeiten zur Entwicklung von KI. Anonymisierte Daten sind – in Abgrenzung zu synthetischen Daten – Daten, die so aufbereitet wurden, dass sie keiner bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Dies geschieht beispielsweise durch das Entfernen oder Unkenntlichmachen personenbezogener Informationen. Je nach Umfang und Spezifität der personenbezogenen Daten sind der datenschutzkonformen Anonymisierung jedoch Grenzen gesetzt. Ein Beispiel für die Grenzen der Anonymisierung personenbezogener Daten ist die Identifizierung von Personen durch so genannte „Kombinationsangriffe“, bei denen verschiedene Datensätze miteinander verknüpft werden, um Personen zu identifizieren. Um das verbleibende Restrisiko bestmöglich zu mindern, bietet die Methode des sogenannten verteilten maschinellen Lernens eine technische Lösung, um datenschutzfreundliche KI-Anwendungen zu schaffen. Statt zentral auf einem Server werden maschinelle Lernmodelle dezentral auf vielen Endgeräten trainiert. Dadurch bleiben die personenbezogenen Daten in der Hand der Nutzerinnen und Nutzer. Ein populärer technischer Ansatz des verteilten Lernens ist beispielsweise das Federated Learning.

Federated Learning: Dezentrales Training ohne Verarbeitung personenbezogener Daten

Beim Federated Learning werden die Daten nicht auf einer zentralen Plattform gesammelt und algorithmisch ausgewertet. Stattdessen werden die notwendigen Trainingsalgorithmen ausschließlich auf den lokalen Endgeräten des entwickelnden Unternehmens installiert. Dort werden die einzelnen KI-Modelle trainiert und anschließend zu einem globalen Modell aggregiert, das auf Basis der vielen lokalen Einheiten remote weiterentwickelt wird. Das globale Modell wird im Austausch auf die vielen lokalen Einheiten „zurückaggregiert“ und bildet so die Basis für weitere lokale Trainings. Die Verarbeitung personenbezogener Daten und das Training erfolgen somit immer ausschließlich auf den lokalen Einheiten. Durch die Übertragung und Weiterverarbeitung des trainierten Algorithmus werden somit keine personenbezogenen Daten verarbeitet, sodass die DSGVO keine Anwendung findet. Der größte Nachteil des föderierten Lernens liegt vor allem in den hohen Kommunikationskosten. Die Übertragung eines großen Machine-Learning-Modells von Server zu Server erfordert die Übertragung großer Datenmengen. Außerdem stimmen die statistischen Muster der von den Nutzern gesammelten und analysierten Daten nicht unbedingt überein, was die Leistung des KI-Systems beeinträchtigen kann.

Effizientes maschinelles Lernen mit FedLTN: Datenschutzvorteile und optimierte Übertragungszeiten

Um die genannten Schwächen auszugleichen, haben Forscher des MIT eine neue Technik entwickelt, das FedLTN (LTN steht für „Lottery Ticket Network“). Sie basiert auf einer Idee des maschinellen Lernens, die als Lotterie-Ticket-Hypothese bekannt ist. Sie besagt, dass es innerhalb sehr großer neuronaler Netzwerkmodelle kleinere Subnetzwerke gibt, die jedoch die Leistungsfähigkeit der größeren erreichen können. Das Auffinden dieser Subnetzwerke kommt einem Lottogewinn gleich, ist aber mit großem Rechenaufwand möglich. FedLTN setzt hier an, um die Genauigkeit des kombinierten maschinellen Lernmodells zu erhöhen und gleichzeitig seine Größe zu reduzieren. Dadurch wird die Kommunikation zwischen Benutzer und zentralem Server beschleunigt und das Modell gleichzeitig besser an die Umgebung des Benutzers angepasst. Das System wird dadurch effizienter. Testsimulationen der Entwickler zeigten eine deutlich verbesserte Performance bei gleichzeitig reduzierten Kommunikationskosten. So entsprach ein mit FedLTN erzeugtes Modell von fünf Megabyte Größe der Genauigkeit eines mit konventionellem föderiertem Lernen erzeugten Modells von 45 Megabyte Größe. FedLTN bietet somit eine Möglichkeit, die Datenschutzvorteile des föderierten Lernens zu nutzen und gleichzeitig die Übertragungszeiten und -kosten zu reduzieren.

Rechtssicherheit für KI in der Logistik: Mit Expertise zu Ihrer KI-Lösung

Künstliche Intelligenz wird in der Logistik bereits von vielen Unternehmen eingesetzt. Jede KI-Lösung birgt jedoch unterschiedliche rechtliche Herausforderungen, insbesondere im Bereich des Datenschutzes. Eine umfassende rechtliche Bewertung der KI-Lösung sowie die Identifikation rechtlicher Risiken sind daher notwendig, um einen rechtssicheren Einsatz zu ermöglichen. Dabei sind insbesondere eine rechtssichere Implementierung, eine sorgfältige Dokumentation sowie umfassende Informationspflichten zu berücksichtigen. Um die Vorteile KI-gestützter Prozesse optimal nutzen zu können, sollte die Entwicklung und Implementierung von Experten begleitet werden. Profitieren Sie von unserer Expertise und lassen Sie Ihre KI-Lösung von Experten begleiten. Vereinbaren Sie noch heute einen Beratungstermin!

Mehr zum Thema

12. Juli 2023

Die wichtigsten Fragen zu Datenübermittlung an US-Dienste: Was bedeutet der neue EU-US Datenschutzrahmen für Unternehmen?

Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss nach Artikel 45 Abs. 3 der DSGVO für die USA erlassen: Das „EU-US Data Privacy Framework“ (EU-US-Datenschutzrahmen). Damit stellt die Kommission nach dem vom EuGH im Juli 2020 gekippten Privacy Shield erneut fest, dass die USA ein angemessenes Schutzniveau für aus der EU übermittelte personenbezogene Daten gewährleisten können.
Weiterlesen
11. April 2023

KI im Recruiting: Chancen und Datenschutz-Risiken für Unternehmen

Künstliche Intelligenz ist in aller Munde und wird längst auch in HR-Prozessen eingesetzt. Vor allem in der Personaladministration sind KI-Tools statistisch gesehen beliebt. Im folgenden Beitrag wollen wir die populärsten KI-Potenziale im Recruiting vorstellen und einen Überblick über deren Chancen, Risiken und Herausforderungen geben.
Weiterlesen
4. Oktober 2021

Datenschutz und KI-Systeme: Wie Unternehmen die Vorteile der DSFA nutzen

Eine Vorgabe ist im Rahmen von KI häufig die Durchführung einer Datenschutz-Folgenabschätzung (DSFA). Wir zeigen auf, wie Unternehmen die Vorteile einer DSFA nutzen.
Weiterlesen

24. April 2023

Digitales Marketing und Datenschutz – Handlungsempfehlungen für E-Commerce-Unternehmen

Die Branche der E-Commerce-Unternehmen wächst stetig, immer mehr Geschäfte werden durch Kund:innen online getätigt. Insbesondere der Online-Handel gewinnt als Geschäftsfeld jährlich an Bedeutung. E-Commerce Unternehmen agieren allerdings nicht lediglich als Vertragspartner:innen im klassischen Sinne und müssen im Umgang mit Kund:innendaten datenschutzrechtliche Vorgaben einhalten, wie dies etwa auch bei einem Abschluss eines Kaufvertrages in einem physischen Geschäft der Fall ist. Sie betreiben daneben ebenfalls Websites und regelmäßig auch Apps, weshalb auch diese durch E-Commerce-Unternehmen datenschutzkonform ausgestaltet und betrieben werden müssen.

Gerade aufgrund des riesigen Online-Angebots für sämtliche Produkte und Dienstleistungen sowie der in der Vergangenheit aufgetretenen Datenschutzvorfälle bei großen Online-Händlern, kann effektiver und gut umgesetzter Datenschutz für E-Commerce-Unternehmen bei der Ansprache von Kund:innen ein unersetzliches Asset darstellen. Im Folgenden werden die wichtigsten, insbesondere für E-Commerce-Unternehmen relevanten, Aspekte im Umgang mit personenbezogenen Daten datenschutzrechtlich eingeordnet und mit konkreten Handlungsempfehlungen versehen.

Werbung und Kundenakquise

Schon aufgrund der großen Konkurrenz im Onlinegeschäft mit Produkten und Dienstleistungen besteht in der Branche oftmals ein großer Bedarf danach, sich von anderen Unternehmen im Wettbewerb abzusetzen und Kund:innen gerade für sich zu gewinnen. Zielgerichtete und effektive Werbung scheint hier oftmals nur durch die Verarbeitung von personenbezogenen Daten möglich.

Zentral ist im Kontext der Werbung § 7 Abs. 1 UWG, der eine Unzulässigkeit geschäftlicher Handlungen vorsieht, durch die andere Marktteilnehmer in einer unzumutbaren Weise belästigt werden. In welchen Fällen die Unzumutbarkeit von geschäftlichen Handlungen unwiderleglich vermutet wird, findet sich in § 7 Abs. 2 UWG.

Direktansprache per Telefon

Für telefonisches Marketing gilt grundsätzlich, dass Kaltakquise gegenüber Verbraucher:innen gem. § 7 Abs. 2 Nr. 1 UWG unzulässig ist. Dies gilt nur nicht, wenn die betroffene Person vorherig ihre ausdrückliche Einwilligung erteilt hat. Die Einwilligung muss sich dabei gesondert auf die Telefonwerbung beziehen. Zudem sind auch vorformulierte Einwilligungen außerhalb des jeweiligen Vertragszwecks unzulässig und benachteiligen die angerufenen Verbraucher:innen in einer unangemessenen Weise. § 7a UWG fordert zudem, dass die durch den Verantwortlichen zuvor eingeholte, ausdrückliche Einwilligung in angemessener Weise dokumentiert und ab Erteilung für fünf Jahre aufbewahrt wird. Mit jedem Gebrauch der Einwilligung verlängert sich diese Frist erneut um 5 Jahre. Verstöße gegen das Verbot der unlauteren Telefonwerbung sowie gegen die entsprechende Dokumentations- und Aufbewahrungspflicht sind gem. § 20 UWG mit Geldbußen bis zu 300.000 beziehungsweise 50.000 € bedroht.

Weniger streng sind die Regeln gegenüber sonstigen Marktteilnehmern, bei denen für die Zulässigkeit der Telefonwerbung gem. § 7 Abs. 2 Nr. 1 UWG auch eine mutmaßliche Einwilligung ausreichend ist. Ein allgemeiner Sachbezug der angebotenen Ware oder Dienstleistung zu dem Profil des angerufenen Unternehmens reicht hier allerdings nicht aus, auch muss die mutmaßliche Einwilligung auch schon vor der eigentlichen Telefonwerbung zu bejahen sein. Eine mutmaßliche Einwilligung kann angenommen werden, wenn auf Grund konkreter tatsächlicher Umstände ein sachliches Interesse an der Telefonwerbung vermutet werden kann.

Bei jeder Art der Telefonwerbung ist zudem grundsätzlich anzumerken, dass die Rufnummer der Anrufenden nicht unterdrückt werden darf, § 15 Abs. 2 TTDSG. Auch hier ist ein Verstoß gem. § 28 Abs. 1 Nr. 9, Abs. 2 TTDSG mit bis zu 300.000 € bußgeldbewehrt.

Einwilligungsbasierte Newsletter

Neben der Schaltung von (personalisierter) Werbung über Tools wie Google Ads oder Facebook Ads ist bei E-Commerce-Anbietern besonders in Wachstumsphasen die immer noch stark verbreitete Werbung per E-Mail, insbesondere per Newsletter, weit verbreitet. Nach § 7 Abs. 2 Nr. 2 UWG ist die Werbung per E-Mail („elektronischer Post“) grundsätzlich unlauter und damit unzulässig, sofern keine vorherige ausdrückliche Einwilligung des Adressaten vorliegt. Soll Newsletter-Marketing auf der Basis einer Einwilligung ausgespielt werden, sollte hier bei der Umsetzung dem Merkmal der „Ausdrücklichkeit“ ausreichende Bedeutung zugemessen werden. Es fehlt insbesondere dann an der wirksamen Einwilligung von Verbraucher:innen, wenn der Versand des E-Mail-Newsletter lediglich standardmäßig in den AGB eines Unternehmens vorgesehen ist. Auch reicht die immer noch verbreitete Ausgestaltung der Einwilligungserklärung als Opt-Out etwa bei Finalisierung eines Kaufvorganges durch ein vorangekreuztes Kästchen nicht aus, um eine wirksame Einwilligung einzuholen.

Ausnahme nach § 7 Abs. 3 UWG

Eine generelle Ausnahme vom Einwilligungserfordernis in die Werbung nach § 7 Abs. 2 Nr. 2 UWG per elektronischer Post sieht § 7 Abs. 3 UWG vor. Die hier normierte Ausnahme greift nur unter bestimmten Voraussetzungen, deren Vorliegen stets mit ausreichender Sorgfalt geprüft werden sollte. Um sich im konkreten Fall auf § 7 Abs. 3 UWG berufen zu können, muss im Verhältnis zu den jeweiligen Verbraucher:innen Folgendes zu bejahen sein:

Die E-Mail-Adresse ist dem Unternehmen durch den vorherigen Verkauf von Waren oder Dienstleistungen bekannt
Die Adresse wird nur zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet
Es liegt kein Widerspruch der Verbraucher:in gegen Werbung vor
Es braucht einen Hinweis auf die Widerspruchsmöglichkeit sowohl bei Erhebung der Daten sowie auch bei jeder Verwendung der elektronischen Postadresse

So kann ein Unternehmer etwa bei Verkauf eines T-Shirts in seinem Online-Shop bei entsprechenden oben skizzierten Hinweisen auf die Widerspruchsmöglichkeit der Verbraucher:in eine Werbe-Mail an die beim Verkauf erlangte E-Mail-Adresse schicken, sofern sich die Marketingmaßnahmen ebenso auf im Online-Shop erwerblichen T-Shirts oder vergleichbare/ähnliche Waren bezieht. Da ein Verstoß gegen das grundsätzlich geltende Verbot der E-Mail-Marketing ohne ausdrückliche Einwilligung allerdings nach § 20 UWG bußgeldbewehrt ist, ist bei Berufung auf die hiesige Ausnahme entsprechende Vorsicht geboten.

Auch eine grundsätzlich kostenlos angebotene Dienstleistung kann aber unter die Vorschrift des § 7 Abs. 3 UWG fallen. Dies hatte das OLG München (Urt. v. 15.02.2018, Az. 29 U 2799/17) im Falle eines Dating-Portals entschieden, dass ihren Kund:innen auch ohne Zahlung einer Mitgliedschaftsgebühr, allerdings unter Angabe ihrer persönlichen Daten, die eingeschränkte Nutzung der Seite ermöglichte. Das Gericht sah darin den „Verkauf“ einer Dienstleistung im Sinne von § 7 Abs. 3 Nr. 1 UWG. Die mit einer kostenpflichtigen Mitgliedschaft verbundenen weiteren Nutzungsmöglichkeiten seien zudem ähnliche Dienstleistungen im Sinne von § 7 Abs. 3 Nr. 2 UWG. Das Gericht knüpfte dies daran an, dass die beiden Angebote dem gleichen Bedarf dienen, über das Portal potenzielle Partner:innen zu finden. Im Ergebnis kann also wohl auch E-Mail-Marketing für eine kostenpflichtige Dienstleistung auf § 7 Abs. 3 UWG gestützt werden, sofern die Empfänger:in die entsprechenden Daten zuvor zur Inanspruchnahme einer kostenlosen Version des dem gleichen Bedarf dienenden Produkts herausgegeben hatte.

Newsletter-Tracking

Neben dem Versand von „regulären“ Newslettern wird es seit Jahren immer gängigere Praxis, in Werbenachrichten Tracking-Tools wie Zählpixel einzubauen. So wird Werbenden etwa möglich zu erfahren, ob, wie oft und von welcher IP-Adresse aus eine E-Mail abgerufen wurde. Auch werden mitunter Tracking-Links in den Newslettern eingebaut, die den Klick auf diesen registrieren und ggf. den Empfänger:innen des Newsletters zuordnen. Je nach Ausgestaltung des konkreten Tools erfolgt das Tracking personalisiert (sprich durch Verknüpfung etwa mit der E-Mail-Adresse von Betroffenen) oder lediglich aggregiert, also als anonymisierte Statistik.

Inwiefern die für Newsletter-Tracking eingesetzten Technologien dabei Informationen in der Endeinrichtung des Endnutzers speichern oder auf diese zugreifen, und dann der in § 25 Abs. 1 TTDSG grundsätzlich normierte Einwilligungsvorbehalt zu beachten ist, muss im Einzelfall bewertet werden. Für die Anwendbarkeit des Einwilligungserfordernisses des § 25 Abs. 1 TTDSG kommt es dabei nicht darauf an, ob das Newsletter-Tracking aggregiert oder personalisiert erfolgt. Vielmehr muss die Erfüllung der Anforderungen an einen Zugriff im Einzelfall anhand der konkreten technischen Ausgestaltung beurteilt werden. Daneben ist auch unter DSGVO-Gesichtspunkten eine Bewertung dahingehend notwendig, inwiefern das Tracking bereits einer Einwilligung bedarf oder ob es so ausgestaltet ist, dass es noch auf berechtigte Interessen des E-Commerce-Unternehmen gestützt werden kann. Ist bereits zuvor eine Einwilligung in einen tracking-freien Newsletter erfolgt, kann diese Einwilligung nicht als Grundlage für die Verarbeitung im Rahmen des Newsletter-Trackings herangezogen werden. Grund ist, dass das Tracking bereits bei Einwilligungserteilung transparent ersichtlich und Teil der Einwilligungserklärung gewesen sein muss. Dafür braucht es zwingend eine explizite, darauf ausgerichtete Einwilligung der Betroffenen. Bei einem auf Grundlage der Ausnahme nach § 7 Abs. 3 UWG versandten Newsletters muss stets eine genaue Prüfung nach § 25 TTDSG und der DSGVO erfolgen, inwiefern in diesem Fall auch ein Tracking ohne Einwilligung erfolgen darf.

Werden externe Dienstleister eingesetzt, ist zudem stets ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abzuschließen; im Falle einer Drittlandübermittlungen hat diese zudem entsprechend der Art. 44 ff. DSGVO zu erfolgen, (z.B. unter Abschluss von Standardvertragsklauseln).

Dokumentation und Löschung von Kundendaten

Auch E-Commerce-Unternehmen werden als Verantwortliche im Sinne der DSGVO zur Einhaltung der dort niedergelegten Datenschutzstandards verpflichtet. Im Rahmen des Vertragsschlusses werden oft personenbezogene Daten von Vertragspartner:innen gesammelt. Hierbei handelt es sich in der Regel primär um Daten, die zur Erfüllung des abgeschlossenen Vertrages erforderlich sind. Dazu gehören etwa der Name, die Anschrift und eventuelle Zahlungsdaten der betroffenen Person. Ein Grundsatz der DSGVO ist allerdings der in Art. 5 Abs. 1 lit. b DSGVO festgesetzte Zweckbindungsgrundsatz sowie die in Art. 5 lit. c DSGVO vorgesehene Datenminimierung. Werden also Daten zum Zwecke der Vertragserfüllung erhoben, dürfen sie nicht etwa einfach für spätere Werbezwecke aufbewahrt und zu einem späteren Zeitpunkt wieder verwendet werden.

Um zu gewährleisten, dass Daten nur zu den Zwecken verarbeitet werden, zu denen sie auch erhoben wurden und insbesondere um zu gewährleisten, dass sie mit Zweckfortfall gelöscht werden, sollte ein Löschkonzept erstellt werden. Dieses erlaubt nicht nur eine Übersicht über die erhobenen und verarbeiteten personenbezogenen Daten und Verarbeitungszwecke, es berücksichtigt auch etwaige gesetzliche Aufbewahrungs- und Dokumentationspflichten, die der Löschung von Daten im Einzelfall entgegenstehen können. Von Relevanz sind gerade im Bereich E-Commerce regelmäßig die steuerrechtlichen Aufbewahrungsfristen der § 147 Abgabenordnung, § 257 Handelsgesetzbuch.

Werden Datenbestände von Kund:innen nicht systematisch angelegt und vor allem auch kontinuierlich auf eine etwaige Löschpflicht hin überprüft, riskieren Unternehmen hohe Bußgelder. So wurde etwa die Deutsche Wohnen 2019 von der Berliner Beauftragten für Datenschutz und Informationsfreiheit mit einem Bußgeld von 14,5 Millionen Euro belegt, da das Unternehmen jahrelang Kopien von Personalausweisen und Kontoauszügen ihrer Mieter:innen trotz einer längst eingetretenen Löschpflicht aufbewahrte. Das Bußgeld wurde allerdings später aufgrund Unklarheit darüber, ob auch Unternehmen unmittelbar von einem Bußgeldverfahren betroffen sein könnten, vom LG Berlin aufgehoben; aktuell ist das Verfahren zur Klärung dieser unionsrechtlichen Frage am EuGH anhängig.

Sie haben als E-Commerce-Unternehmen tiefergehenden juristischen Beratungsbedarf im Umgang mit personenbezogenen Daten?

Dann zögern Sie nicht uns zu kontaktieren!

Erfüllung von Informationspflichten

Verantwortliche nach der DSGVO treffen ganz besonders auch Informationspflichten gegenüber den Betroffenen, deren personenbezogene Daten sie verarbeiten. Nach den Art. 13, 14 DSGVO hat der Verantwortliche Betroffene etwa über die Verarbeitungszwecke, Empfänger und Kategorien der verarbeiteten personenbezogenen Daten zu informieren. Sowohl im Rahmen der Bereitstellung des E-Commerce-Services auf einer Website als auch in einer App bietet es sich an, etwaige Informationspflichten im Rahmen der Website- oder App-Datenschutzerklärung zu erfüllen.

Für E-Commerce-Unternehmen erstrecken sich die Informationspflichten zum einen auf die Verarbeitungstätigkeiten, die das Unternehmen schlicht als Betreiber der Website sowie eventueller Apps vornimmt. Dazu gehören dann insbesondere die technisch eingebundenen Tools und APIs, die personenbezogene Daten erfassen, verarbeiten und eventuell weiterleiten. Zum anderen muss auf der Website oder auch in einer App natürlich über die Verarbeitungen personenbezogener Daten informiert werden, die im Rahmen des Vertragsschlusses auf der Website und dessen -erfüllung verarbeitet werden. Dies umfasst dann insbesondere – und wie auch bereits oben angesprochen – den Namen, die Anschrift, sonstige Kontaktdaten oder auch Zahlungsdaten der betroffenen Person.

Kunden- und Gastaccounts

Wie auch die Datenschutzkonferenz (DSK, bestehend aus den Datenschutzaufsichtsbehörden des Landes und dem Bundesbeauftragen für den Datenschutz und die Informationsfreiheit) feststellte, gilt der Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO auch im Onlinehandel. Aus dieser im Beschluss der DSK zu Gast-Zugängen im Online-Handel zentralen Norm leitete die Konferenz ab, dass sich die zulässige Verarbeitung der personenbezogenen Daten von Kund:innen im Einzelfall daran bemesse, ob diese lediglich einmalig einen Vertrag mit dem E-Commerce-Unternehmen schließen oder eine auf Dauer angelegte Geschäftsbeziehung eingehen wollen.

Kund:innen müssten nach Ansicht der DSK hier die Möglichkeit einer tatsächlich freien Entscheidung zwischen der lediglich einmaligen Bereitstellung ihrer Daten als temporärer Gast oder der Eingehung einer dauerhaften Geschäftsbeziehung haben. Die DSK folgerte daraus die Pflicht für Personen, die als Verantwortliche Dienstleistungen oder Waren im Onlinehandel anbieten, dass diese ganz unabhängig von der Möglichkeit der Erstellung eines registrierten Nutzungszugangs einen Gastzugang für etwaige Bestellungen zur Verfügung stellen müssten. Auch wenn fortlaufende Konten in der Branche weitestgehend Praxisstandard sind, der etwa vereinfachte Wiederbestellmöglichkeiten oder auch die Möglichkeit der Auswertung der Bestellhistorie für Werbe- und Profilbildungszwecke ermöglicht, brauche es hierfür nach der DSK eine bewusste dahingehende Willenserklärung der Kund:innen. Der nach der DSK stets bereitzustellende Gastzugang müsse auf Registrierungs- bzw. Zugangsdaten verzichten und dürfe lediglich mit den zur Erfüllung des Vertrages sowie zur Einhaltung gesetzlicher Pflichten erforderlichen Daten verknüpft werden.

Zur Erfüllung von spezialgesetzlichen Aufbewahrungspflichten (z.B. § 257 HGB, 147 AO) aufbewahrte personenbezogene Daten müssten mittels TOM vom operativen Zugriff getrennt werden (sogenannte „Datensperrung“). Die DSK sieht hier vor, dass auch Kund:innen auf diese Daten nicht mehr zugreifen können sollten. Im Umkehrschluss bedeute dies, dass Kund:innen bei einmaliger Auswahl eines Gastzugangs die dort angegebenen Daten nicht etwa in einen fortlaufenden Zugang umwandeln könnten, indem der Verantwortliche weitere Daten ergänzt: ein entsprechender Account müsse stets separat angelegt werden.

Eine Ausnahme von den obengenannten Grundsätzen sieht die DSK nur dann, wenn ein fortlaufendes Konto etwa für Fachhändler:innen von bestimmten Berufsgruppen für die Erfüllung des Vertrages auch als tatsächlich erforderlich angesehen werden könne, Art. 6 Abs. 1 lit. b DSGVO. Weitere Beispiele nennt die DSK hier nicht, sodass stets eine Einzelfallbewertung geschehen muss.

Die Ansicht der DSK ist überaus kritisch zu betrachten. Sie beschränkt den im Bereich des Online-Handels maßgeblichen Verarbeitungszweck wenig nachvollziehbar und pauschalisierend auf die „Abwicklung eines einzelnen Geschäfts“ beziehungsweise eines Vertrages. Die DSK geht hier unzutreffend davon aus, dass der Grundsatz der Datenminimierung die Festlegung der Verarbeitungszwecke beschränke. Vielmehr aber setzt die Anwendung des Datenminimierungsgebots nach Art. 5 Abs. 1 lit. c DSGVO die vorherige Festlegung der Zwecke durch den Verantwortlichen und damit auch die Entscheidung, ob ein Benutzerkonto verlangt werden kann, voraus. Maßgeblich ist dann, dass die Verarbeitungen im Hinblick auf den festgelegten Verarbeitungszweck auch erforderlich sind. Zudem liegt es nach der DSGVO allein in der Hoheit des Verantwortlichen, die Verarbeitungszwecke festzulegen. Es fehlt der DSK insbesondere an einer rechtlichen Grundlage, um auf die Zweckfestlegung entsprechenden Einfluss zu nehmen.

Zudem berücksichtigt die DSK mit ihrem Beschluss nicht, dass es auch dann keiner Einwilligung in die Datenverarbeitung bedarf, wenn Verarbeitungen zur Erfüllung eines Kontonutzungsvertrages erforderlich waren (Art. 6 Abs. 1 lit. b DSGVO). Indem die DSK stets eine Einwilligung verlangt, lässt sie dieses dogmatisch gesondert zu betrachtende Vertragsverhältnis außer Acht, das sich eben explizit auf die Kontonutzung bezieht. Auch würde eine Pflicht zur Einrichtung eines Gastzugangs durch Online-Händler auch gegen die in Art. 16 GRCh niedergelegte unternehmerische Freiheit verstoßen. Insbesondere verbürgt dies die Freiheit, sich Vertragspartner:innen frei aussuchen zu können und damit gewisse Produkte auch nur an solche Kund:innen zu verkaufen, die über ein Benutzerkonto verfügen. Die Verpflichtung zur Einrichtung eines Gastaccounts würde die unternehmerische Freiheit unverhältnismäßig einschränken, es bestünde darüber hinaus schon gar keine konkrete gesetzliche Grundlage dafür.

Eindeutig wird die DSK bei der aus ihrer Sicht eintretenden Folge der fehlenden Bereitstellung eines Gastzugangs: es fehle dann an der Freiwilligkeit der Einwilligung zur Einrichtung eines fortlaufenden Kund:innenkontos und der damit verbundenen Verarbeitung personenbezogener Daten. Zudem müsse über den Gastzugang ein gleichwertiger Zugang zu den gleichen Angeboten und Bestellaufwand bereitgestellt werden. Problematisch ist hier insbesondere, dass somit etwa der in Deutschland bei vielen Kund:innen immer noch beliebte Kauf auf Rechnung sowohl für fortlaufende als auch für Gastzugänge unter den gleichen Bedingungen angeboten werden müsste. Das Risiko für Unternehmen ist allerdings bei Gastzugängen ungleich größer, da im Falle einer Nichtzahlung in der Regel weniger personenbezogene Daten etwa zur tatsächlichen Ausfindigmachung der Betroffenen vorliegen. Auch wird für Plattformen die allgemeine Missbrauchs- und Betrugsprävention erschwert, da Webseitenbetreiber bei Gastkonten gerade nicht über gewisse essenzielle Informationen verfügen, um etwa im Falle eines Identitätsdiebstahl adäquat reagieren zu können.

Beachtlich ist auch, dass die DSK für im Zusammenhang mit einem Kauf in einem Online-Shop erhobene personenbezogene Daten für die Verarbeitung zu Werbezwecken ohne weitere Differenzierung auch bei fortlaufenden Kund:innenkonten eine Einwilligung für erforderlich hält. Dies steht im Widerspruch zu dem bereits oben angesprochenen § 7 Abs. 3 UWG, der bei Vorliegen der entsprechenden Voraussetzungen eine Einwilligung zumindest im wettbewerbsrechtlichen Sinne für nicht erforderlich hält. Hier konnte die entsprechende Verarbeitung im datenschutzrechtlichen Sinne regelmäßig auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden, sprich auf die berechtigten Interessen des Verantwortlichen. Inwieweit dies im konkreten Einzelfall so immer noch erfolgen kann, sollte im Zweifel gemeinsam mit Datenschutzexpert:innen diskutiert und entschieden werden. Wir unterstützen Sie hierbei gerne.

Fazit und Handlungsempfehlungen

Die Pflichten und Herausforderungen für E-Commerce-Unternehmen sind, wie oben zumindest ausschnittsweise dargestellt, divers aufgestellt und nicht zu unterschätzen. Konkret sollten insbesondere folgende Aspekte berücksichtigt und befolgt werden:

Newsletter-Versand grundsätzlich nur nach Opt-In-Einwilligung durch Betroffene, außer es ist nachsorgfältiger rechtlicher Prüfung die Ausnahme des § 7 Abs. 3 UWG einschlägig
Eingehende Prüfung einer möglichen Einwilligungspflicht für Newsletter-Tracking nach § 25 TTDSG und der DSGVO – hier kommt es auf die konkrete Ausgestaltung an
Konzeption und Einhaltung eines detaillierten Löschkonzepts
Aktuelle Datenschutzerklärung, die alle Verarbeitungstätigkeiten sowohl als Händler bzw. Dienstleister sowie auch als Website- und App-Betreiber abdeckt
gegebenenfalls Bereitstellung von Gast-Accounts mit gleichwertigem Zugang zu den gleichen Angeboten und Bestellaufwand wie mit Kunden-Account

Wir beraten Sie gerne jederzeit zu Ihrer individuellen Situation, identifizieren etwaigen Handlungsbedarf und unterstützen Sie mit unserer fachlichen Expertise bei notwendigen Anpassungen. Sprechen Sie uns gern an!

Mehr zum Thema

17. Oktober 2023

Sicheres Webhosting zum Schutz von Unternehmensdaten

Die rasante Entwicklung des WWW ermöglicht es heute jedem Unternehmen eigene Inhalte online zu teilen. Dabei eröffnen sich zahlreiche Chancen, jedoch wirft das damit verbundene Webhosting wichtige Fragen zur Sicherheit auf. Wir beleuchten die relevantesten Sicherheitsrisiken und geben Tipps, wie Sie Webhosting sicher und gewinnbringend für Ihr Unternehmen nutzen können.
Weiterlesen
18. September 2023

Alternativen zum klassischen Cookie-Banner – Paywalls, PUR-Modelle und PIMS

Das Werbetracking bietet Telemedienanbieterinnen und -anbietern die Möglichkeit, den Nutzerinnen und Nutzern personalisierte Werbung auszuspielen und damit die Darstellung ihrer Inhalte zu finanzieren. Der folgende Beitrag untersucht die rechtlichen Herausforderungen personalisierter Werbung und zeigt praktische Lösungsansätze auf.
Weiterlesen
12. Juli 2023

Die wichtigsten Fragen zu Datenübermittlung an US-Dienste: Was bedeutet der neue EU-US Datenschutzrahmen für Unternehmen?

Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss nach Artikel 45 Abs. 3 der DSGVO für die USA erlassen: Das „EU-US Data Privacy Framework“ (EU-US-Datenschutzrahmen). Damit stellt die Kommission nach dem vom EuGH im Juli 2020 gekippten Privacy Shield erneut fest, dass die USA ein angemessenes Schutzniveau für aus der EU übermittelte personenbezogene Daten gewährleisten können.
Weiterlesen

Warum sind Cookie-Walls problematisch?

Profitieren Sie von unserer umfassenden Expertise zu Cookies und Webtracking.

Alternative zu klassischen Cookie-Walls: PUR-Modelle

Newsletter

Stets notwendig: transparente und verständliche Informationen

Bezahlvariante als gleichwertige Alternative zur Einwilligung

Das könnte Sie auch interessieren:

Ohne zusätzliche Einwilligung: nur unbedingt erforderliche Dienste möglich

Keine pauschale Gesamteinwilligung

PUR-Modelle – lohnt sich die Umsetzung?

Wir unterstützen Sie bei der Erfüllung von datenschutzrechtlichen Anforderungen

Wir unterstützen Sie bei der Durchführung von Audits und überprüfen die Wirksamkeit Ihrer Datenschutzmaßnahmen.

Was ist ein Datenschutzaudit genau?

Checkliste – Wann muss ein Datenschutzaudit durchgeführt werden?

Wer führt ein Datenschutzaudit durch?

Newsletter

Wie läuft ein Datenschutzaudit ab?

Ist-Analyse

Analyse und Bewertung

Analysebericht mit Maßnahmenkatalog und Implementierung

Dokumentation und Prüfschleifen

Das könnte Sie auch interessieren:

Für welche Unternehmen sind Audits notwendig?

Welchen Umfang hat ein Datenschutzaudit?

Beim Datenschutzaudit auf Expertise setzen

Mehr zum Thema

Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download

Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling

Das könnte Sie auch interessieren:

Wir helfen Ihnen, die datenschutzrechtlichen Fragen zu EU-Datenschutzregulierung zu klären und zu verstehen.

EU-Datenregulierungen im Fokus

Was macht der externe Datenschutzbeauftragte?

Was sind die wesentlichen Aufgaben des externen Datenschutzbeauftragten?

Sie benötigen die Unterstützung eines externen DSB? Dann kontaktieren Sie uns jetzt und vereinbaren Sie ein unverbindliches Erstgespräch!

Was sind die Aufgaben des externen DSB im Detail?

Newsletter

Was kann der externe DSB für ein Unternehmen tun?

Das könnte Sie auch interessieren:

Was ist der Unterschied zwischen einem internen und einem externen Datenschutzbeauftragten?

Mehr zum Thema

Informationssicherheit im Gesundheitssektor – neue Regeln für die Cybersecurity

Ransomware-Prävention in Zeiten von KI – Wie Unternehmen Attacken vorbeugen können

Die Deadline naht: Machen Sie Ihr Unternehmen noch vor Oktober fit für NIS-2

Was sind Smart-Data-Verfahren?

Welches Potenzial hat Smart Data für den Finanzsektor?

Newsletter

Big Data und Smart Data: Kund:innenprofilierung im Finanzsektor

Smart Data im Finanzsektor: Datenschutz und rechtliche Anforderungen

Big Data und DSGVO: Ein Spannungsverhältnis zwischen Datenschutz und Datenauswertung

Anonymisierung und Pseudonymisierung: Datenschutzinstrumente im Zeitalter von Big Data

Das könnte Sie auch interessieren:

Rechtmäßigkeit von Smart-Data-Verfahren im Finanzsektor

Fallbeispiel: Datenschutzverletzung im Finanzsektor – Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO

Die Ablehnung datengetriebener Profilbildung für Werbezwecke durch die LfD Niedersachsen

Sie möchten Smart-Data-Lösungen in Ihr Unternehmen implementieren? Wir begleiten Ihren Prozess von A bis Z und stellen die Datenschutzkonformität auf ganzer Linie sicher.

Datenschutz in der Praxis: Anforderungen an Einwilligungen für Smart-Data-Verfahren im Finanzsektor – Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO

Smart-Data-Verfahren im Kampf gegen Betrug: Rechtliche Rahmenbedingungen und Ausnahmen

Datenschutzanforderungen bei internationalen Datenübermittlungen: Der Fall von Cloud-Diensten in der Finanzbranche

Vorsichtige Anwendung von Smart-Data-Verfahren in der Finanzbranche: Potenziale, Risiken und Compliance

Mehr zum Thema

Informationssicherheit im Gesundheitssektor – neue Regeln für die Cybersecurity

Ransomware-Prävention in Zeiten von KI – Wie Unternehmen Attacken vorbeugen können

Die Deadline naht: Machen Sie Ihr Unternehmen noch vor Oktober fit für NIS-2

Newsletter

Sie möchten sicherstellen, dass Ihr Datenverkehr mit den USA geschützt ist oder benötigen Unterstützung bei der Einhaltung der Datenschutzbestimmungen?

Mehr zum Thema

Informationssicherheit im Gesundheitssektor – neue Regeln für die Cybersecurity

Ransomware-Prävention in Zeiten von KI – Wie Unternehmen Attacken vorbeugen können

Die Deadline naht: Machen Sie Ihr Unternehmen noch vor Oktober fit für NIS-2

Welche Rolle spielt § 26 TTDSG bei der Etablierung von PIMS?

Die Regelungen des § 26 TTDSG für anerkannte Dienste der Einwilligungsverwaltung

Newsletter

Anforderungen und Zertifizierungsmöglichkeiten für PIMS-Anbieter:innen

Die Ausgestaltung der Anforderungen und das Anerkennungsverfahren

Sie haben tiefergehende Fragen? Wir unterstützen Sie und Ihr Unternehmen gern bei der Umsetzung des § 26 TTDSG.

Die Herausforderungen bei der funktionalen und rechtskonformen Ausgestaltung von PIMS im Rahmen von § 26 TTDSG

Technische Ansätze für PIMS: Endeinrichtungs- oder cloudbasierte Umsetzung

Die Bestimmtheit von Einwilligungserklärungen und ihre Inhalte

Modelle für den Umfang der Einwilligungs- und PIMS-Einstellungen

Sie benötigen die Unterstützung eines externen DSB?
Dann kontaktieren Sie uns jetzt und vereinbaren Sie ein unverbindliches Erstgespräch!