Ob in der Kommunikation per E-Mail oder über Videokonferenz, bei der Arbeit mit Kunden- oder Beschäftigtendaten – der berufliche (und private) Alltag ist vom Umgang mit personenbezogenen Daten geprägt. Dass der Datenschutz in Unternehmen und Behörden eine übergeordnete Rolle spielen muss, ist nichts Neues. Wie aber kann Datenschutz gewährleistet werden, wenn die Nutzung der schützenswerten Daten im Zentrum eines Forschungsprojekts steht und dieses ohne die Aussagekraft der Daten nicht durchgeführt werden kann? Bei der Bewältigung dieser Herausforderung spielen Anonymisierung und Pseudonymisierung eine zentrale Rolle. Durch sie wird die (Wieder-)Herstellung des Personenbezugs von Daten erschwert oder sogar ganz unmöglich gemacht. Die besondere Schwierigkeit ist dabei, die Nutzbarkeit der Daten und ihre Aussagekraft bei gleichzeitiger Pseudonymisierung zu erhalten. Wie der vermeintliche Widerspruch zwischen Datenschutz durch Pseudonymisierung und dem Nutzen personenbezogener Daten in der wissenschaftlichen Praxis bearbeitet werden kann, beleuchten wir in diesem Beitrag. Außerdem werfen wir einen Blick auf die besonderen Herausforderungen, denen Akteur:innen des Gesundheitswesens bei diesem Thema begegnen.

Was bedeutet Anonymisierung?

Im Gesetzestext der DSGVO ist die Anonymisierung streng genommen gar nicht zu finden, nur in Erwägungsgrund 26 DSGVO wird sie einmal ausdrücklich genannt. Für eine rechtliche Definition muss daher die Open-Data-Richtlinie 2019/1024 herangezogen werden: „Anonyme Informationen sind Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person oder auf personenbezogene Daten beziehen, die in einer Weise anonymisiert wurden, dass die betroffene Person nicht oder nicht mehr identifizierbar ist.“ Entscheidend ist, dass kein Personenbezug mehr hergestellt werden kann, d. h., dass die konkrete Person, über die die Informationen Aufschluss geben, nicht mehr ermittelt werden kann. Insofern verlagert das Datenschutzrecht seinen Schutz auf den Moment vor, in dem die Identifizierung natürlicher Personen nur potenziell möglich ist, nicht etwa schon stattgefunden hat. Ohne den Personenbezug aber muss die DSGVO nicht mehr angewendet werden, da es keine Person mehr gibt, die datenschutzrechtlich geschützt werden müsste.

Das bedeutet, dass in der Praxis die Identifikation der Person tatsächlich ausgeschlossen sein sollte, um Rechtsverstöße zu vermeiden. Dabei ist eine Person nach Ansicht des Europäischen Gerichtshofs (EuGH, Urteil vom 19.10.2016, C-582-14) schon dann bestimmbar im Sinne der DSGVO, wenn nur indirekt Rückschlüsse auf ihre Identität gezogen werden können. In dem genannten Fall urteilte der EuGH, dass sogar dynamische IP-Adressen, also solche, die keine unmittelbaren Informationen über denjenigen enthalten, der auf die Website zugreift, für einen Webseitenbetreiber ein personenbezogenes Datum sein können. Dabei ist unerheblich, dass die für die Herstellung des Personenbezugs erforderlichen Zusatzinformationen nicht beim Diensteanbieter selbst, sondern beim Internetzugangsanbieter vorliegen – denn Ersterer hat unter gewissen Umständen die Möglichkeit, die Verknüpfung mit den Daten beim Internetzugangsanbieter einzufordern. Genau das ist nach ErwGr 26 DSGVO maßgeblich: „Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die vom Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren.“ Die Anonymisierung setzt folglich nicht voraus, dass die Identifizierung objektiv, für jedermann, unmöglich ist – ausreichend ist vielmehr die sogenannte „faktische Anonymität“. Auch an diese werden jedoch hohe Anforderungen gestellt. Denn laut dem Urteil ist es für eine mögliche Re-Identifizierung eben nicht notwendig, „dass sich alle zur Identifizierung der betreffenden Person erforderlichen Informationen in den Händen einer einzigen Person befinden“. Unternehmen sollten daher keinesfalls vorschnell annehmen, dass Daten anonym seien und das Datenschutzrecht nicht anwendbar sei.

Wie können Daten anonymisiert werden?

Die DSGVO gibt lediglich Rahmenbedingungen für die Anonymisierung vor. Für die Praxis bedeutet das, dass Daten in aller Regel technisch stärker verändert werden müssen, als nur durch Anpassung oder Entfernung des Klarnamens in einem Datensatz. Entwickelt beispielsweise ein Pharmaunternehmen einen Impfstoff gegen einen Virus und führt dazu eine klinische Studie mit einigen hundert Personen durch, entsteht daraus erst einmal ein umfangreicher Datensatz über die Testpersonen. Dazu können Name, Adresse, Alter, Gewicht, Informationen über Vorerkrankungen etc. gehören. Löscht man nun den Namen und die Adresse der Personen, da diese Daten für den Zweck der Studie nicht benötigt werden, kann sich trotzdem herausstellen, dass einzelne Personen immer noch ohne viel Aufwand und nur anhand ihrer Vorerkrankungen und ihres Alters, oder der verabreichten Medikamente etc. ermittelt werden können. Von einer Anonymisierung kann in einem solchen Fall keine Rede sein.

Für die Frage, welche Maßnahmen ergriffen werden müssen, um eine vollständige Anonymisierung zu erreichen, lässt sich zwar keine generelle Regel formulieren, im Ergebnis sollten die Datensätze jedoch so verändert werden, dass jede mögliche Kombination von Daten aus dem Datensatz zu mindestens zwei Treffern führt bzw. auf mindestens zwei verschiedene Personen zurückgeführt werden kann. Je höher die Anzahl der Treffer, desto besser und sicherer ist selbstverständlich das Ergebnis. Je spezifischer die Informationen sind, desto stärker muss der Datensatz verändert werden. In der Umsetzung gibt es dafür neben der Nichtangabe bzw. Löschung von Daten einige weitere Anonymisierungstechniken, auf die Verantwortliche zurückgreifen können.

Mit der Methode der Verallgemeinerung/Vergröberung werden die Maßstäbe der Datensätze vergrößert, um die Zuordnung zu Personen zu verhindern. Beispielsweise können die Testpersonen in Altersgruppen eingeteilt werden, die dann anstelle ihres genauen Alters stehen. Auch hier muss aber darauf geachtet werden, mit einer zu starken Verallgemeinerung nicht die Brauchbarkeit der Daten zu beschädigen. Durch das zufallsbasierte Vertauschen von Spalten einer Tabelle werden Datengruppen anderen Datengruppen neu zugeordnet, während andere Spalten unverändert bleiben. Da hierdurch ggf. statistische Zusammenhänge verloren gehen können, werden die Methoden zum Teil so angepasst, dass nur ähnliche Werte vertauscht werden – damit verändert sich die statistische Aussage nicht, wenn etwa Krankheitsbefunde für Personen gleichen Geschlechts vertauscht werden, die Korrelationen zwischen Geschlecht und Krankheit aber erhalten bleiben.

Mittels des sogenannten „Verrauschens“ werden fiktive Messfehler eingebaut, die Daten also geringfügig manipuliert, ohne dabei die Aussage der Statistik zu verändern. Das lässt sich beispielsweise durch die Veränderung des Geburtsdatums vom 5. auf den 10. April oder auf ähnliche Weise erreichen. Auch können völlig neue, künstliche Daten erstellt werden, die die ursprünglichen Daten ersetzen – der neu generierte Datenbestand basiert auf einem statistischen Modell, das aus den Ursprungsdaten erstellt wurde. Geeignet ist auch die schlichte Verringerung der repräsentierten Personen in einem Datensatz. Hierzu werden einzelne Zeilen ganz weggelassen oder nur stichprobenartig offenbart. Auch hier gilt es, die statistische Aussagekraft so gut wie möglich zu erhalten.

Bei allen vorgenannten Methoden kann das Risiko der Re-Identifizierung nicht völlig ausgeschlossen werden. Verschafft sich ein Angreifer Zugriff auf weitere Daten, die mit den anonymisierten kombiniert werden, ist er unter Umständen in der Lage, den Rückschluss auf die Person wieder herzustellen. Für eine sichere Anonymisierung ist es daher häufig sinnvoll und geboten, mehrere Anonymisierungstechniken miteinander zu kombinieren.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Pseudonymisierung und die Zurechnung von Zusatzwissen

Anders als bei der Anonymisierung ist es für die Pseudonymisierung ausreichend, Identitäts- von Informationsdaten zu trennen (Art. 4 Nr. 5 DSGVO). Die Zuordnung der pseudonymisierten Daten bleibt mithilfe des dazugehörigen Schlüssels also möglich, die Daten bleiben laut EG 26 S. 2 DSGVO weiterhin personenbezogene Daten. Der „Pseudonymisierungsschlüssel“ muss gesondert und unter besonderem Schutz aufbewahrt werden. Damit gehört die Pseudonymisierung selbst zu den geeigneten technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten, die DSGVO ist auf pseudonymisierte Daten weiterhin anwendbar. Denn solange der Personenbezug wieder herstellbar ist, ist der Anwendungsbereich der Verordnung eröffnet. Diese Schlussfolgerung trifft zumindest für den Fall unproblematisch zu, in dem die pseudonymisierten Daten und der dazugehörige Schlüssel (wenn auch getrennt) bei demselben Verantwortlichen aufbewahrt werden.

Anders könnte die Situation zu beurteilen sein, in der die zur Re-Identifizierung erforderlichen Daten nicht beim Verantwortlichen, sondern bei einer dritten Stelle aufbewahrt werden, und Ersterer lediglich über die pseudonymisierten Daten ohne eigene Identifizierungsmöglichkeit verfügt. Ist dieses Zusatzwissen eines Dritten für den Verantwortlichen „nicht erreichbar“, haben also beide Stellen keinerlei Bezug zueinander, könnte sich das wie eine faktische Anonymisierung auswirken. Dies wird zum Teil mit dem Argument vertreten, dass der Personenbezug auch praktisch herstellbar sein müsse, um von personenbezogenen Daten ausgehen zu können. Teilweise wird sogar verlangt, dass zusätzlich zur bloßen praktischen Möglichkeit auch noch die subjektive Absicht des Verantwortlichen hinzutreten müsse, damit der Anwendungsbereich der DSGVO eröffnet sei. Dieser weiten Auslegung der Anonymisierung wird von anderer Seite widersprochen mit dem Argument, ein Personenbezug liege immer dann vor, wenn Zusatzwissen bei einer dritten Stelle verortet sei – ganz gleich, unter welchen Umständen und von wem darauf zugegriffen werden könne. Wie sich der EuGH in diesem Streit positioniert, wurde oben bereits ausgeführt – der Rechtsprechung zufolge ist Zusatzwissen Dritter dann zurechenbar (und die DSGVO anwendbar) wenn der Zugriff auf das Zusatzwissen durch die datenverarbeitende Stelle vernünftigerweise zu erwarten ist. Unklarheiten können auf diesem Feld letztlich nicht ganz ausgeräumt werden.

In der Praxis werden bei der Pseudonymisierung häufig das Hashing-Verfahren eingesetzt, bei dem bestimmte Werte durch Zeichenketten ersetzt werden. Auch Verschlüsselungstechniken werden eingesetzt, die aus einem Klartext mittels eines kryptographischen Algorithmus‘ einen verschlüsselten Wert bilden. Alternativ lassen sich Pseudonyme zufallsgeneriert erstellen und in Tabellen speichern. Während bei der Verschlüsselung der Ursprungswert anhand des Schlüssels problemlos rückberechnet werden kann, ist das Verfahren des Hashings nicht ohne Weiteres umkehrbar. Mit Blick auf die Datenschutzkonformität ist hier außerdem ein umfassendes und technisch zuverlässiges Zugriffs- und Berechtigungskonzept wichtig. Die Pseudonymisierung kann in unterschiedlichen Abstufungen erfolgen, sodass das Ergebnis sowohl eine starke als auch eine schwache Pseudonymisierung sein kann. Eine starke Pseudonymisierung ist vor allem dann erforderlich, wenn besondere Datenkategorien nach Art. 9 DSGVO, etwa Gesundheitsdaten, verarbeitet werden oder die Daten einem erhöhten Risiko ausgesetzt sind.

Haben Sie Fragen zu Anonymisierung und Pseudonymisierung? Wir helfen Ihnen gerne weiter.

Rechtsgrundlage nicht vergessen!

Nach der DSGVO braucht jede Art der Datenverarbeitung eine Rechtsgrundlage, um rechtskonform zu sein. Häufig wird aber übersehen, dass die Anonymisierung und die Pseudonymisierung von Daten selbst auch eine Datenverarbeitung darstellen. Auch wenn sich beide Instrumente auf den ersten Blick ausschließlich positiv auf den Datenschutz auswirken, muss beachtet werden, dass auch der Verlust von Daten in die Rechte und Freiheiten betroffener Personen nachteilig eingreifen kann. Grundsätzlich kommen alle Rechtsgrundlagen des Art. 6 DSGVO in Betracht, vor allem die berechtigten Interessen, die Vertragserfüllung und die Einwilligung. Zudem können spezielle Rechtsgrundlagen, beispielsweise § 27 BDSG für die Verarbeitung für wissenschaftliche Forschung oder statistische Zwecke, herangezogen werden.

Welche Vor- und Nachteile gibt es?

Der Vorteil der Anonymisierung ist offensichtlich: entfällt der Personenbezug von Daten und ist die DSGVO infolgedessen nicht anwendbar, kann sich der Verantwortliche den Aufwand sparen, der mit der Umsetzung der datenschutzrechtlichen Vorgaben verbunden ist. Unternehmen sollten allerdings vorher genau prüfen, ob der Personenbezug definitiv ausgeschlossen werden kann und wieviel Aufwand damit voraussichtlich verbunden ist. Teilweise wird sogar die Meinung vertreten, dass eine „echte“ Anonymisierung praktisch nie möglich ist, da etwa mit Big Data immer die Möglichkeit einer Re-Identifizierung bestehen soll. Nach einer Studie aus dem Jahr 2019, die unter anderem durch das Imperial College London und die belgische Université catholique de Louvain durchgeführt wurde, konnten in sämtlichen geprüften Datensätzen anhand von nur 15 Merkmalen wie Alter oder Wohnort 99,98 % der US-Amerikaner:innen identifiziert werden, in 80 % der Fälle genügten sogar nur die drei Merkmale Geschlecht, Geburtsdatum und Postleitzahl zur Re-Identifikation bei vermeintlich anonymisierten Datensätzen. Auf diese Problematik sollte daher ein besonderer Fokus gelegt werden. Andererseits muss geprüft werden, ob der Datensatz auch nach der Anonymisierung noch brauchbar ist.

Das Verfahren der Pseudonymisierung befreit hingegen nicht von der Erfüllung der DSGVO-Vorgaben. So kann die Pseudonymisierung sich zugunsten der berechtigten Interessen des Verantwortlichen bei der Datenverarbeitung auswirken. Denn je stärker die Pseudonymisierung, desto eher überwiegen die Interessen des Unternehmens bzw. des Verantwortlichen, da die betroffenen Personen datenschutzrechtlich besser geschützt sind. Des Weiteren sinken die Anforderungen an die technisch-organisatorischen Maßnahmen zum Schutz der Datenverarbeitungsprozesse. Angriffe auf die geschützten Daten können dann nur noch durch Herausgreifen, Verknüpfen oder die sogenannte Inferenz erfolgen. Beim Herausgreifen isolieren Angreifer:innen Daten, die sich auf einzelne Personen beziehen, oder versuchen, mehrere Daten zu kombinieren und daraus Rückschlüsse zu ziehen. Bei der Verknüpfung werden mehrere Datensätze zu diesem Zwecke verknüpft, um Korrelationen aufzudecken. Die Inferenz beschreibt das Ermitteln personenbezogener Informationen durch logische Schlussfolgerungen, die sich aus der Kombination bestimmter Datensätze erheben. Sind diese Angriffsrisiken den Verantwortlichen bekannt, ist es leichter, das passende Pseudonymisierungsverfahren auszuwählen und so möglichst viele der Re-Identifizierungsrisiken auszuschließen.

Sonderfall: Anonymisierung und Pseudonymisierung im Gesundheitsbereich

Der Umgang mit Daten und vor allem großen Datenmengen ist im Gesundheitssektor unumgänglich – ob für die Behandlung im Krankenhaus, den Umgang mit Computertomographie-Scans oder mit Röntgenbildern. Immer mehr Menschen nutzen Health-Apps, die Daten über den körperlichen Zustand ihrer Nutzer sammeln. Auch können durch die Erkenntnisse aus klinischen Studien Diagnose- und Therapiemöglichkeiten verbessert werden. In all diesen Fällen geht es dabei um Gesundheitsdaten, die zu den besonders geschützten Datenkategorien nach Art. 9 DSGVO zählen und deren Verarbeitung zusätzlichen Anforderungen unterliegt.

Die Anonymisierung begegnet auch im Gesundheitsbereich besonderen Herausforderungen. Angesichts des großen Potenzials durch die Nutzung von Gesundheitsdaten im Forschungsbereich, das besonders in der Corona-Pandemie noch einmal zu Tage getreten ist, wird unter Forscher:innen oftmals der Vorwurf laut, die datenschutzrechtlichen Vorgaben legten der Wissenschafts- und Forschungsfreiheit Steine in den Weg. Dabei richtet sich der Appell, den Weg für die Forschung mit Gesundheitsdaten frei zu machen, besonders an die nationale Regierung – denn andere EU-Länder wie etwa Finnland machen diese bereits wesentlich unkomplizierter möglich. Um den Personenbezug von Gesundheitsdaten aber tatsächlich auszuschließen, bedarf es wohl besonders fortgeschrittener Anonymisierungsmethoden, die auch an die Vielfalt von Daten angepasst sind – für medizinische Studien werden immerhin nicht nur tabellarisch angeordnete, sondern auch Bilddaten (etwa Röntgenbilder) oder Proben und Stimmen ausgewertet.

Nicht nur aus diesem Grund bietet es sich im Gesundheitsbereich daher an, auf Verfahren der Pseudonymisierung zurückzugreifen. Auch weil der Personenbezug bei pseudonymisierten Daten wahlweise wiederhergestellt werden kann (s.o.), eignet sich dieses Verfahren, um Studienteilnehmer:innen im Nachgang über neue Erkenntnisse zu benachrichtigen. Das kann essentiell sein, damit etwa Betroffene einer genetischen Erkrankung wichtige Vorsorgeuntersuchungen einplanen können oder über neue Behandlungsmöglichkeiten informiert werden. Auch und gerade bei seltenen Erkrankungen ist ein echter Fortschritt kaum denkbar, ohne dass Datenbestände lange in einer Datenbank gespeichert werden – und ggf. später für weitere Zwecke verwertet werden können, die bei Anlegen der Datenbank noch nicht vorhersehbar, den betroffenen Patient:innen aber dienlich sind. Mediziner:innen berichten regelmäßig, dass gerade Betroffene seltener Erkrankungen durchaus noch lange nach einer Studienteilnahme über Fortschritte unterrichtet werden möchten, weil dies oft der einzige Anlass zur Hoffnung auf Heilung ist. Aus dieser komplexen Gemengelage ergibt sich letztlich, dass es immer von Art und Umfang der Nutzung medizinischer Daten abhängt, wie Datenschutzvorgaben umgesetzt werden. Fest steht aber, dass in kaum einem Bereich Innovation und Fortschritt so sehr davon abhängt, dass zeitnah gesetzliche Vorgaben in praxisnahe Anweisungen für Mediziner:innen und Forscher:innen transformiert werden.

Fazit

Anonymisierung und Pseudonymisierung sind mit vielen praktischen und rechtlichen Herausforderungen verbunden. Dabei ist die Pseudonymisierung deutlich praxistauglicher als die Anonymisierung, bei der häufig auch nicht endgültig geklärt werden kann, ob der Personenbezug absolut und unwiderruflich entfernt wurde, zumal anonyme Daten für die Forschung häufig nicht gleichermaßen wertvoll wie personenbezogene Daten sind. Dennoch eignen sich beide Instrumente, um den Ausgleich zwischen der informationellen Selbstbestimmung der betroffenen Person und der Wissenschafts- und Forschungsfreiheit herzustellen. Denn dass personenbezogene Daten für Forschung und Wissenschaft nutzbar gemacht werden müssen und es hierfür praxisnahe Lösungen geben muss, liegt ebenfalls nahe. Anschaulich verdeutlicht das die von der Kommission entworfene Verordnung zum European Health Data Space, der einen grenzüberschreitenden Austausch von Gesundheitsdaten innerhalb der EU vorsieht.

Es bietet sich also an, zwischen den beiden Verfahren nach dem Zweck zu entscheiden, den die Daten nach Entfernung bzw. Verwässerung des Personenbezugs noch erfüllen sollen. In manchen Fällen wird ohnehin der Rückgriff auf die Pseudonymisierung geboten sein, da die Wiederherstellung des Personenbezugs gesetzlich vorgeschrieben ist – so etwa im Falle der Dokumentationspflicht für ärztliche Behandlungen gem. § 630f BGB. In anderen Fällen kann sie schlichtweg erwünscht oder im Sinne einer etwaigen medizinischen Studie sein, bei der der datenschutzrechtliche Zweckbindungsgrundsatz auf ein langfristiges Erkenntnisinteresse stößt. Da sich außerdem die absolute Anonymisierung als nur sehr schwer realisierbar erweist, ist es ratsam, im Zweifel von der Anwendbarkeit der DSGVO auszugehen. Die Pseudonymisierung ist, wenngleich so Datenschutzmaßnahmen nicht völlig ausgeklammert werden können, noch immer ein gutes Hilfsmittel, um den mit den Schutzmaßnahmen verbundenen Aufwand zumindest zu reduzieren. Sie kann damit die Verwertung personenbezogener Daten zu Forschungs- und anderen innovativen Zwecken zumindest erleichtern. Es bleibt zu hoffen, dass auf absehbare Zeit eine einheitliche Übereinkunft darüber getroffen wird, welche konkreten Anforderungen an die Anonymisierung gestellt werden – und ob in der Praxis gegebenenfalls auch eine relative Anonymisierung ausreichen kann. Wir beraten Sie gern zu Anonymisierung und Pseudonymisierung!

Mehr zum Thema

  • Die wichtigsten Fragen zu Datenübermittlung an US-Dienste: Was bedeutet der neue EU-US Datenschutzrahmen für Unternehmen?

    Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss nach Artikel 45 Abs. 3 der DSGVO für die USA erlassen: Das „EU-US Data Privacy Framework“ (EU-US-Datenschutzrahmen). Damit stellt die Kommission nach dem vom EuGH im Juli 2020 gekippten Privacy Shield erneut fest, dass die USA ein angemessenes Schutzniveau für aus der EU übermittelte personenbezogene Daten gewährleisten können.

    Weiterlesen

  • Joint Controller Agreement: Vorteile und Herausforderungen der gemeinsamen Verantwortlichkeit

    Die Vereinbarung über die gemeinsame Verantwortlichkeit („Joint Controller Agreement“ oder auch kurz „JCA“ genannt) erscheint vielen Verantwortlichen in der Praxis noch immer als kompliziert und umständlich. Doch zu Unrecht: Mit der sorgfältigen Ausgestaltung des Agreements können verantwortliche Unternehmen von vielen Vorteilen profitieren, Effizienzgewinne durch vorausschauende Prozessgestaltung erzielen und ein entsprechendes effektives Risikomanagement betreiben.

    Weiterlesen

  • Anonymisierung Pseudonymisierung

    Anonymisierung und Pseudonymisierung in der Praxis

    Wie der vermeintliche Widerspruch zwischen Datenschutz durch Pseudonymisierung und dem Nutzen personenbezogener Daten in der wissenschaftlichen Praxis bearbeitet werden kann, beleuchten wir in diesem Beitrag. Außerdem werfen wir einen Blick auf die besonderen Herausforderungen, denen Akteur:innen des Gesundheitswesens bei diesem Thema begegnen.

    Weiterlesen

Die gestrige Entscheidung des EuGH zum Auskunftsersuchen nach Art. 15 DSGVO (Urteil des EuGH v. 12.1.2022, Rechtssache C-154/21) hat erhebliche Auswirkungen für Unternehmen und schafft teilweise Klarheit in Bezug auf den notwendigen Umfang von datenschutzrechtlichen Beauskunftungen.

Im Rahmen eines Vorabentscheidungsersuchens hatte der Oberste Gerichtshof in Österreich dem EuGH die Frage vorgelegt, wie genau Art. 15 Abs. 1 lit. c DSGVO auszulegen sei. Die Norm gibt der betroffenen Person das Recht auf Auskunft über die „Empfänger oder Kategorien von Empfängern“ der sie betreffenden personenbezogenen Daten. Die Regelung ist konsequent von Art. 13, 14 DSGVO abzugrenzen. Die hier verankerten Informationspflichten regeln lediglich, dass die betroffene Person über die beim Betroffenen oder bei Dritten erhobenen Daten zu informieren ist, garantieren aber im Gegensatz zu Art. 15 DSGVO kein tatsächliches Auskunftsrecht.

Der Oberste Gerichtshof fragte den EuGH sinngemäß, ob die betroffene Person damit auch das Recht habe, die konkrete Identität der Empfänger zu erfahren, oder ob der Verantwortliche sich wahlweise auch auf die Empfängerkategorien beschränken könne. 

Im Ausgangsverfahren hatte ein österreichischer Bürger die Österreichische Post gebeten, ihm die Empfänger zu nennen, denen die ihn betreffenden personenbezogenen Daten offengelegt worden waren. Die Post teilte ihm lediglich mit, sie mache die Daten, die sie in ihrer Funktion als Herausgeberin von Telefonbüchern verarbeite, Geschäftskunden zu Marketingzwecken zugänglich. Auch im gerichtlichen Verfahren wurde die Antwort auf die Anfrage nicht wesentlich konkreter – die Post offenbarte nur, welchen Unternehmens- und Organisationsarten sie die Daten angeboten hatte. Der Oberste Gerichtshof stand nun vor der entscheidungserheblichen Frage, ob der Bürger ein Recht auf Auskunft über die konkrete Empfänger-Identität hat – oder eben nicht. Zur Klärung dieser Frage setzte er das Ausgangsverfahren aus und legte die entscheidungserhebliche Frage dem EuGH vor.

Die Expertinnen und Experten der ISiCO unterstützen Sie gern bei Auskunftsersuchen nach Art. 15 DSGVO.

Dieser schließt sich nun der betroffenenfreundlichen Auslegung grundsätzlich an und bejaht die Pflicht zur Offenbarung der konkreten Empfängeridentität. Ein Rückgriff auf die bloße Kategorie von Empfängern sei nur in Ausnahmefällen zulässig. Etwa, wenn der/die Empfänger (noch) nicht identifiziert werden können, oder aber der Antrag der betroffenen Person unbegründet oder exzessiv ist. Exzessiv sind Anträge insbesondere im Fall häufiger Wiederholung – an dieses Merkmal wird allerdings ein strenger Maßstab angelegt.

Begründet hat der EuGH seine betroffenenfreundliche Auslegung damit, dass ein weitreichendes Auskunftsrecht grundlegend sei, um die weiteren, von der DSGVO garantierten Betroffenenrechte effektiv durchsetzen zu können. Dazu gehören neben dem Recht auf Berichtigung und Löschung auch das Recht auf Einschränkung der Verarbeitung, Widerspruch gegen diese sowie auf einen Rechtsbehelf nach eingetretenen Schäden. 

Die Entscheidung des EuGH beseitigt damit weitere Unklarheiten bei der Auslegung der DSGVO. Zum einen betont der EuGH damit, dass er der Kontrolle betroffener Personen in Bezug auf ihre persönlichen Daten und den ihnen zustehenden Rechten einen hohen Stellenwert einräumt. Zum anderen bietet sie Unternehmen, die ihre Pflichten DSGVO-konform umsetzen wollen, ein gutes Stück der nötigen Orientierung – wenngleich mit der Reaktion auf Auskunftsansprüche nun in vielen Fällen ein erheblicher Mehraufwand einhergehen dürfte.

Im Umgang mit den neuen (und alten) Anforderungen an die DSGVO-konforme Reaktion auf Auskunftsansprüche beraten wir Sie gern. Darüber hinaus stehen wir Ihnen in allen Fragen des Datenschutz- und IT-Rechts mit unserer Expertise beratend zur Seite. Sprechen Sie uns an.

Aktuelle Beiträge

  • NIS 2 Richtlinie

    Die Deadline naht: Machen Sie Ihr Unternehmen noch vor Oktober fit für NIS-2

    Mit der nahenden Deadline im Oktober für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS-2) stehen Unternehmen vor der Herausforderung, nicht nur gesetzliche Vorgaben zu erfüllen, sondern auch ihre eigenen Geschäftsprozesse und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern.

    Weiterlesen

  • Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

    In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.

    Weiterlesen

  • Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download

    Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.

    Weiterlesen

Google Fonts und Google Analytics gehören mittlerweile zu den Standardtools von Webseitenbetreiber:innen. Beide Google-Werkzeuge können zahlreiche Vorteile mit sich bringen, um eine Website modern und zielgruppenorientiert zu entwerfen. Doch die Nutzung der Systeme bringt auch datenschutzrechtliche Risiken mit sich, insbesondere nachdem europäische Gerichte und Datenschutzbehörden ihre Verwendung immer kritischer sehen. Der folgende Beitrag soll einen Überblick über die Rechtslage zu beiden Tools geben, sodass die Unsicherheiten in Bezug auf ihren Einsatz besser eingeschätzt werden können.

Was sind Google Analytics und Google Fonts?

1. Google Fonts

Sollen beispielsweise Websites, Apps oder E-Books mit Inhalten gefüllt werden oder möchte ein Unternehmen ein Logo entwerfen, bedarf es dafür einer Schriftart. Meistens bietet es sich dabei an, auf bereits bewährte Fonts zurückzugreifen, über die die meisten Endgeräte standardmäßig ohnehin verfügen. Viele Anbieter:innen möchten jedoch darüber hinaus spezielle Schriftarten mit besonderem Design aus der Datenbank Google Fonts nutzen. Diese ist ein interaktives Verzeichnis mit mehr als 1400 Schriftarten, die Google zur freien Verwendung bereitstellt. Durch die Nutzung von Google Fonts wird sichergestellt, dass die gewünschten Schriftarten auf jedem Gerät verfügbar sind und Texte auf Websites automatisiert in der jeweiligen Schrift dargestellt werden können. Mit der größte Vorteil ist wohl das Lizenzierungsmodell von Google: Alle Schriften können kostenfrei und auch für kommerzielle Zwecke verwendet werden. Die Bibliothek kann entweder auf dem eigenen Server lokal gespeichert oder remote genutzt werden. In letzterem Fall werden die Schriftarten beim Aufrufen etwa einer Website von den Google-Servern geladen.

2. Google Analytics

Google Analytics ist ein Trackingtool des Unternehmens. Es dient Webseitenbetreiber:innen zur Datenverkehrsanalyse. Durch die Sammlung von Webseiten- und App-Daten kann das Verhalten von Nutzenden nachvollzogen werden. Informationen, die beispielsweise ausgewertet werden können, sind die Anzahl der Besucher auf einer Website, welche Inhalte am häufigsten abgerufen werden und die Verweildauer eines jeden Besuchers bei einzelnen Produkten. Andere wichtige Informationen sind demografische Merkmale wie Sprache und Standort, oder der zum Aufruf genutzte Browser.
Ziel der Anwendung von Google Analytics ist es, durch die erfassten Daten Informationen über die eigene Website zu erlangen. Die neuste Version des Marketingtools „Google Analytics 4“ (GA 4) nutzt dazu im Gegensatz zur Vorgängerversion „Universal Analytics“ (UA) künstliche Intelligenz und maschinelles Lernen. So werden Algorithmen für die Messung und Auswertung der Nutzungsdaten verwendet. Diese messen automatisch anhand von Ereignisdaten (sog. Events), und nicht wie zuvor bei UA anhand von sitzungsbasierten Daten (sog. Hits), das Nutzungsverhalten des individuellen Websitebesuchers. Unter solche Events fallen zum Beispiel Scrolls bis zum Seitenende, Klicks auf externe Links, Downloads oder Seitenaufrufe.
Durch die Anwendung des Analysewerkzeuges können größere Zielgruppen erreicht und Werbekampagnen individualisiert und effektiver gestaltet werden.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter für weitere Entwicklungen bezüglich Google Fonts und Google Analytics!

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Welche rechtlichen Probleme entstehen durch die Anwendung dieser Systeme?

1. Welche Daten werden durch die Services erhoben?

Hinsichtlich der durch die Anwendung von Google Fonts und Google Analytics erhobenen Daten muss zwischen den beiden Services unterschieden werden.

Im Rahmen der Anwendung von Google Fonts werden Daten nur dann an Google übermittelt, wenn die Schriftarten nicht lokal, sondern auf den Google-Servern gespeichert werden. Es wird dabei automatisch die IP-Adresse der jeweiligen Website-Besucher, ein personenbezogenes Datum, an Google gesendet und laut Google temporär für die Auslieferung der Schriftart verwendet.

Im Gegensatz dazu werden bei der Anwendung von Google Analytics eine Fülle an Daten verarbeitet. Mit dem Ziel, Besucherstatistiken zu erstellen und Unternehmen Aufschluss über die Nutzung ihrer Websites zu geben, werden personenbezogene Besucherdaten gesammelt. Diese Daten werden auf den Google-Servern in den Vereinigten Staaten gespeichert.


Das könnte Sie auch interessieren:


2. Welche Probleme entstehen durch die Datenerhebung?

Dass bei Verwendung der beiden Google Dienste personenbezogene Daten in die USA, unter Datenschutzgesichtspunkten ein unsicheres Drittland, übermittelt werden, ist freilich nicht unproblematisch. Google Fonts und Google Analytics waren deshalb schon häufiger Gegenstand von Verfahren vor europäischen Gerichten oder bei europäischen Datenschutzbehörden.

Google Fonts
Mit Google Fonts beschäftigte sich erst jüngst das LG München. In seinem Urteil vom 20. Januar 2022 entschied das Gericht, dass ein Webseiten-Betreiber, der Google Fonts remote nutzte, es unterlassen solle, die IP-Adresse des Klägers an Google weiterzugeben. Zudem sprach es dem Kläger einen Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO zu. Dies begründeten die Münchner Richter damit, dass die dynamische IP-Adresse ein personenbezogenes Datum sei. Ihre Weitergabe ohne vorherige Einwilligung stelle einen unzulässigen Eingriff in das allgemeine Persönlichkeitsrecht in Form des Rechts auf informelle Selbstbestimmung dar. Insbesondere könne sich die Beklagte auch nicht auf ein berechtigtes Interesse nach Art. 6 Abs. 1 f) DSGVO berufen, da Google Fonts mittels einer Speicherung der Schriftarten auf einem lokalen Server auch genutzt werden könne, ohne dass dabei personenbezogene Daten in die Vereinigten Staaten übermittelt werden müssten.

Als Folge des Urteils häufen sich die Stimmen, die der Meinung sind, dass sich Google Fonts nicht mehr ohne Weiteres datenschutzkonform in digitale Produkte einbinden lässt, zumindest wenn die Schriften remote von den Google-Servern nachgeladen werden müssen. Zu erwähnen ist jedoch, dass es sich bei der Entscheidung des LG München um ein erstinstanzliches Urteil handelt. Das letzte Wort ist also noch nicht gesprochen. Vertretbar wäre es durchaus, anzunehmen, dass hinsichtlich der reinen Datenverarbeitung eine Interessenabwägung nach Art. 6 Abs. 1 f) zugunsten von Google ausfallen würde. Dafür spricht, dass der Umfang der Datenverarbeitung recht gering ist. Schließlich wird die IP-Adresse nach der Auslieferung der Schriftart nicht gespeichert oder analysiert. Zudem ergreift Google nach eigenen Aussagen umfangreiche Schutzmaßnahmen und verwendet die durch Google Fonts erfassten Informationen nicht, um Nutzerprofile zu erstellen. Dennoch ist die remote Verwendung von Google Fonts mit Risiken verbunden, da die Übermittlung der IP-Adresse in die USA eine datenschutzrechtliche Grundlage benötigt, Betroffene die Unternehmen mit Schadensersatzforderungen konfrontieren und andere Gerichte in Zukunft ähnlich wie das LG München entscheiden könnten.

Google Analytics
Was die Verwendung von Google Analytics betrifft, häufen sich die Entscheidungen europäischer Datenschutzbehörden. Die erste Entscheidung bezüglich des Einsatzes des Tools traf im Januar 2022 die österreichische Datenschutzbehörde. Vorausgegangen war eine Beschwerde des europäischen Zentrums für digitale Rechte (NOYB). Die Organisation beanstandete die Übermittlung von Daten in die Vereinigten Staaten über Google Analytics und den Dienst Facebook Connect: Nachdem der EuGH in seinem „Schrems-II-Urteil“ entschied, dass US-Überwachungsgesetze im Widerspruch zu EU-Grundrechten stünden und damit das EU-US Privacy Shield für ungültig erklärte, sei in der weiteren Übermittlung von Daten in die USA ein Verstoß gegen die DSGVO zu sehen. Die österreichische Datenschutzbehörde stimmte dem zu und sah darin insbesondere einen Verstoß gegen Art. 44 DSGVO, die allgemeinen Grundsätze der Datenübermittlung.

Andere nationale Datenschutzbehörden positionierten sich ähnlich. So sahen die niederländischen, die französischen und die italienischen Behörden den Einsatz von Google Analytics ebenfalls als datenschutzrechtswidrig an. Von der deutschen Bundesdatenschutzbehörde, dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, steht eine Entscheidung noch aus. Es ist jedoch eine Entscheidung ähnlich denen anderer europäischer Datenschutzbehörden zu erwarten. Vornehmlich, da sich im Jahr 2019 bereits 14 der 16 Landesdatenschutzbeauftragten kritisch zum Einsatz von Google Analytics äußerten.
Es ist dabei zu beachten, dass sich die bisherigen Entscheidungen der Datenschutzbehörden auf die Verwendung von Google Analytics ohne Einwilligung und mitunter aufgrund der alten Standardvertragsklauseln beziehen.

Benötigen Sie tiefergehende Beratung zum datenschutzkonformen Einsatz von Google Analytics oder Google Fonts?

Welche „Gefahren“ entstehen durch das Urteil des LG München und die der Datenschutzbehörden?

Die Entscheidungen hinsichtlich der Google-Tools blieben nicht folgenlos. Naturgemäß formten sie die Rechtsauffassung in der EU und damit die Nutzung von Google Fonts und Google Analytics.

Google Fonts
Seitdem das LG München urteilte, dass die Remote-Einbindung von Google Fonts DSGVO-widrig sei, häuft sich die Anzahl von privaten Personen und Anwaltskanzleien, die in großen Umfang Abmahnschreiben oder zumindest abmahnartige Schadensersatzforderungen versenden. Meist werden die Adressaten darin dazu aufgefordert, Schadensersatz in Höhe von 100 Euro oder mehr zu zahlen. Im Gegenzug wollen die Verfassenden auf weitere rechtliche Schritte verzichten. Derartige Zahlungsaufforderungen sind mit einiger Skepsis zu betrachten. Zwar ist es richtig, dass die Remote-Einbindung von Google Fonts nicht zu empfehlen ist, ob in Fällen von Massenabmahnungen tatsächlich Schadensersatzansprüche bestehen ist jedoch stark zu bezweifeln. Den Verfassern der Schreiben scheint es nicht auf Unterlassungs- oder Auskunftsansprüche anzukommen (welche tatsächlich bestehen können), sondern schlicht auf Geldforderungen. Die Schreiben werden scheinbar wahllos an dutzende Webseitenbetreiber versandt und es besteht der begründete Verdacht, dass Webseiten automatisiert ausgewertet und Massenschreiben verschickt werden. Es liegt daher der Schluss nahe, dass es sich dabei um rechtsmissbräuchliches Verhalten handelt, die geltend gemachten Ansprüche also nicht bestehen. Am 11.10. erließ das LG Baden-Baden eine einstweilige Verfügung gegen den Abmahner Martin Ismael, in der es diesem untersagt wurde, weitere Abmahnschreiben gegen Partnerbetriebe im Franchise-System der Antragstellerin zu versenden. Noch ist der Beschluss jedoch nicht rechtskräftig und der Rechtsstreit nicht endgültig geklärt. Die Rechtslage ist daher nach wie vor unsicher und insbesondere, wenn es sich nicht um Massenabmahnungen handelt, ist durchaus denkbar, dass geltend gemachte Ansprüche von Gerichten zugesprochen werden. Die Nutzung von Google Fonts als Remote-Einbindung ist daher nach wie vor mit Risiken verbunden.

Google Analytics
Die DSGVO-konforme Nutzung von Google Analytics steht auf einem anderen Blatt. Infolge der Entscheidungen der verschiedenen europäischen Datenschutzbehörden häufen sich die Stimmen, die den Einsatz des Analyse-Tools ohne Einwilligung als rechtswidrig einschätzen und von dessen Verwendung abraten. Zwar ist von deutschen Behörden noch keine Entscheidung zu der Thematik ergangen und die Entscheidungen anderer europäischer Datenschutzbehörden sind hierzulande nicht bindend, dennoch sollte Google Analytics auch in Deutschland, nur noch mit Einwilligung genutzt werden. Vor allem auch, da NOYB auch bei hiesigen Behörden Beschwerde eingelegt hat, eine Entscheidung also aussteht.

Google hat mittlerweile jedoch etliche Maßnahmen ergriffen, um den datenschutzrechtlichen Anforderungen in der EU gerecht zu werden. Darunter etwa der Einsatz neuer Standardvertragsklauseln, die die EU-Kommission im Juni 2021 veröffentlichte, die Anonymisierung von IP-Adressen, die Erstellung und Veröffentlichung von Transparenzberichten, die Verschlüsselung ruhender und transportierter Daten sowie zahlreiche Konfigurationsmöglichkeiten im Admincenter von Google Analytics, um die Datenverarbeitung insgesamt zu minimieren.

Was sind rechtliche Umsetzungsmöglichkeiten in der Praxis? Was müssen Unternehmen bei der Verwendung der Systeme beachten?

Die genannten Risiken und Unsicherheiten bedeuten auch nicht zwangsläufig, dass die Verwendung der Google-Tools aus datenschutzrechtlicher Sicht gänzlich ausgeschlossen ist. Unter Verwendung bestimmter Maßnahmen ist eine rechtssichere Nutzung durchaus möglich.

Google Fonts
Im Falle von Google Fonts gestaltet sich die risikofreie Nutzung recht einfach. In Zukunft sollten Webseitenbetreiber schlicht darauf verzichten, die Schriften remote von Google Servern nachzuladen. Vielmehr können die Schriftarten lokal auf dem eigenen Server gespeichert werden. Der Nutzungsumfang bleibt dabei derselbe, es werden jedoch keine Daten an die US-Server von Google übermittelt. Sollen die Schriftarten hingegen remote von den Google-Servern geladen werden, empfiehlt es sich, eine Einwilligung von den Webseiten-Besuchenden einzuholen.

Google Analytics
Die DSGVO-konforme Einbindung von Google Analytics ist hingegen umstrittener. Es ist zumindest derzeit unvermeidlich, dass das Werkzeug unter Umständen Nutzerdaten an Server sendet, auf denen sie dem potenziellen Zugriff amerikanischer Geheimdienste ausgesetzt sind. Ohne dass die Betroffenen dagegen effektive Möglichkeiten des Rechtsschutzes haben. Zuletzt nahm die dänische Datenschutzbehörde Stellung zu der Thematik. Sie erkannte zwar an, dass Google Schritte unternimmt, um die Verwendung von Google Analytics datenschutzfreundlicher zu gestalten. Sie stellte aber auch fest, dass trotz Nutzung von Google Analytics 4 und neuer Standardvertragsklauseln, nicht ausgeschlossen werden könne, dass Daten nicht-anonymisiert an Server in die USA gesandt würden.

Es zeichnet sich jedoch eine Änderung der Rechtslage ab, die dazu führen könnte, dass selbst die Übermittlung von personenbezogenen Daten in die USA ohne Einwilligung in Einklang mit der DSGVO wäre. So unterzeichnete der amerikanische Präsident Joe Biden im Oktober 2022 die Executive Order 14086, die die Betroffenenrechte stärken soll. Dadurch werden insbesondere neue Prozesse und Regulierungen zur Erhebung und zum Umgang mit Daten durch Geheimdienste sowie ein Rechtsbehelfsmechanismus für EU-Bürger eingeführt. Basierend darauf könnte ein neuer Angemessenheitsbeschluss zwischen der EU und den USA entstehen.

Ferner ist schon jetzt die Verwendung des Analyse-Tools und damit eine Datenübermittlung in die USA mit einer ausdrücklichen Einwilligung nach Art. 49 Abs. 1 S. 1 lit. a DSGVO möglich. Ob eine solche als Ausnahmetatbestand vor Gerichten standhalten kann, wird jedoch teilweise angezweifelt. So wird insbesondere von der Konferenz der Datenschutzaufsichtsbehörden in ihrer Orientierungshilfe Telemedien von 2021 mit Blick auf Art. 49 DSGVO und dem Erwägungsgrund 111 zur DSGVO vertreten, dass eine regelmäßige Datenübermittlung durch eine Einwilligung dem Charakter des Ausnahmetatbestands aus Art. 49 DSGVO widerspreche. Dem ist jedoch entgegenzuhalten, dass die Erwägungsgründe zur DSGVO selbst kein Gesetzeswortlaut sind. Vielmehr stellen sie eine Hilfe für die Auslegung des Gesetzes dar. Art. 49 Abs. 1 S. 1 lit. a DSGVO ist selbst in keiner Weise zu entnehmen, dass eine Datenübermittlung mit Einwilligung nur gelegentlich erfolgen darf. Auch der Erwägungsgrund 111 ist bei genauerer Betrachtung eher so zu verstehen, dass eine Übermittlung nur gelegentlich erfolgen solle, wenn sie im Rahmen eines Vertrags oder zur Geltendmachung von Rechtsansprüchen erfolgt. Auch in Anbetracht der informationellen Selbstbestimmung des Einzelnen ist es überzeugender, eine Datenübermittlung in die USA mit Einwilligung der Betroffenen als datenschutzkonform anzusehen. Wird eine solche eingeholt und erfüllt die Kriterien des Art. 49 Abs. 1 S. 1 lit. a DSGVO, ist die DSGVO-konforme Nutzung von Google Analytics daher nach wie vor möglich.

Fazit

Was die Verwendung von Google-Tools in Deutschland betrifft, besteht teilweise noch Unsicherheit. Während Google Fonts durch lokale Einbindung weitestgehend ohne Bedenken genutzt werden kann, ist im Umgang mit Google Analytics auf eine Einwilligung der Betroffenen und die Konfiguration der Datenschutzeinstellungen zu setzen. Zugleich sollte die sich ändernde Rechtslage in den Vereinigten Staaten, die Behördenäußerungen und mögliche Gerichtsurteile beobachtet werden, die in Zukunft möglicherweise die Einschätzung zur Nutzung von Google-Diensten ändern können.

Unsere erfahrenen Expertinnen und Experten stehen Ihnen bei Fragen zum Datenschutz zur Seite. Kontaktieren Sie uns gerne!

Mehr zum Thema

  • NIS 2 Richtlinie

    Die Deadline naht: Machen Sie Ihr Unternehmen noch vor Oktober fit für NIS-2

    Mit der nahenden Deadline im Oktober für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS-2) stehen Unternehmen vor der Herausforderung, nicht nur gesetzliche Vorgaben zu erfüllen, sondern auch ihre eigenen Geschäftsprozesse und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern.

    Weiterlesen

  • Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

    In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.

    Weiterlesen

  • Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download

    Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.

    Weiterlesen

Leitbild des europäischen Datenschutzrechts ist der Schutz personenbezogener Daten. Die Datenschutz-Grundverordnung (DSGVO) stellt aus diesem Grund hohe Anforderungen an Datenschutzprozesse, die diesem Ziel dienlich sind. So stehen den betroffenen Personen zum Beispiel Betroffenenrechte zu, deren Bearbeitung durch entsprechende Prozesse zu gewährleisten sind.

Eines der Betroffenenrechte ist das Recht auf Löschung nach Art. 17 DSGVO. Hiernach hat die betroffene Person das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden. In Art. 17 Abs. 2 DSGVO findet sich das Recht auf Vergessenwerden. Plastisch spricht man in diesem Fall vom sog. „digitalen Radiergummi“. Art. 17 Abs. 3 DSGVO regelt einen Ausschlusstatbestand.

Mit dem Recht auf Löschung aus Art. 17 DSGVO geht eine Löschpflicht einher, welche ein Löschkonzept erfordert. Dies lässt sich dem Art. 5 Abs. 2 DSGVO entnehmen, der den Grundsatz der Rechenschaftspflicht regelt. So muss der Verantwortliche auch die Einhaltung der Vorgaben des Art. 17 DSGVO nachweisen. Dies hat durch ein adäquates Löschkonzept zu erfolgen. Das Löschkonzept ist damit eine Dokumentation, die ein Verantwortlicher erstellen muss, um personenbezogene Daten datenschutzkonform zu löschen.

Das Löschkonzept ist folglich integraler Bestandteil eines Datenschutzmanagementsystems (DSMS) und darf in keinem Unternehmen, das regelmäßig mit Datenbeständen arbeitet, fehlen.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Die datenschutzkonforme Löschung personenbezogener Daten (Art. 4 Nr. 1 DSGVO) wird in der Praxis nämlich bisweilen vernachlässigt, was zur Verhängung von Millionenbußgeldern führen kann. Dies zeigt der Fall einer Immobiliengesellschaft, die personenbezogene Daten ihrer Mieterinnen und Mieter in einem Archivsystem speicherte, welches keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu löschen. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat wegen des Datenschutzverstoßes einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro erlassen.

Nachfolgend erklären wir Ihnen anhand eines konzisen Leitfadens, was es bei der Konzeption eines Löschkonzepts grundsätzlich zu beachten gilt.

Recht auf Löschung

Eine Löschung der personenbezogenen Daten der betroffenen Personen hat nach Art. 17 Abs. 1 lit. a) – f) DSGVO zu erfolgen, sofern

  • die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf
  • sonstige Weise verarbeitet wurden, nicht mehr notwendig sind (Art. 17 Abs. 1 lit. a DSGVO),
  • die Einwilligung in die Datenverarbeitung widerrufen wurde und es an einer anderen Rechtsgrundlage zur Verarbeitung fehlt (Art. 17 Abs. 1 lit. b DSGVO),
  • die betroffene Person Widerspruch gegen die Verarbeitung eingelegt hat (Art. 17 Abs. 1 lit. c DSGVO),
  • die Verarbeitung unrechtmäßig war (Art. 17 Abs. 1 lit. d DSGVO),
  • die Löschung der personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung nach Unionsrecht oder Recht des Mitgliedstaats erforderlich ist (Art. 17 Abs. 1 lit. e DSGVO), oder
  • die personenbezogenen Daten in Bezug auf angebotene Dienste einer Informationsgesellschaft gem. Art. 8 Abs. 1 DSGVO erhoben wurden (Art. 17 Abs. 1 lit. f DSGVO).

Beispiel: Ein Kunde erteilt einem Unternehmen die Einwilligung, seine E-Mail-Adresse zum Versenden von Newslettern zu nutzen. Er hat allerdings jederzeit das Recht, diese Einwilligung mit Wirkung für die Zukunft zu widerrufen. Im Falle eines Widerrufs entfällt die Rechtsgrundlage für die Verarbeitung und Speicherung der personenbezogenen Daten (Art. 17 Abs. 1 lit. b DSGVO). Das Unternehmen wäre dann verpflichtet, die E-Mail-Adresse zu löschen. Entsprechendes gilt, wenn von vornherein keine Einwilligung zum Newsletterversand vorlag (Art. 17 Abs. 1 lit. d DSGVO).

Gesetzliche Aufbewahrungspflichten

Der Ausschlusstatbestand in Art. 17 Abs. 3 DSGVO zählt einige Fallgestaltungen auf, die eine Löschung verwehren. Dazu gehören z. B. Gründe des öffentlichen Interesses im Bereich der öffentlichen Gesundheit oder Fälle, in denen es um die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen geht.

Ferner können sich Aufbewahrungspflichten auch aus Spezialgesetzen außerhalb der DSGVO ergeben. Es existieren insbesondere steuerrechtliche Aufbewahrungspflichten, die Pflicht zur Aufbewahrung bestimmter Unterlagen aus der Geldwäscheprüfung bei Banken, spezielle Aufbewahrungspflichten für Notare und Rechtsanwälte und die Pflicht zur Aufzeichnung und Speicherung von Kundentelefonaten von Unternehmen, die unter das Wertpapierhandelsgesetz fallen.

Aufbau eines Löschkonzepts

Das Löschkonzept soll eine rechtssichere und praktikable Löschung gewährleisten, sodass zum Zeitpunkt der Löschung keine relevanten Aspekte übersehen werden. Es bedarf neben der Einhaltung der Fristen, näherer Darlegungen darüber, welche Dokumente, Daten und Akten in welchen Systemen vorhanden sind. Oftmals ist es nämlich schwierig, einen Überblick zu gewinnen, wo im Unternehmen die zu löschenden Daten gespeichert sind, über welche Systeme die Daten ausgetauscht werden und wer überhaupt die Daten erhalten hat. Cloud Computing und andere Technologien erschweren den Überblick. Es bietet sich dazu an, das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) heranzuziehen, um insbesondere eine Bestandsaufnahme der Daten sowie der Speicherdauer vorzunehmen. Eine Blaupause für die Konzeption eines Löschkonzepts in der elektronischen Datenverarbeitung kann die fakultative DIN 66398 bieten.

Die Entwicklung eines Löschkonzepts lässt sich grob in fünf Schritte einteilen. Ein Musterkonzept gibt es nicht.

  1. Zuerst sind Datenkategorien nach sachlichen Kriterien bzw. Fachgebieten zu bilden, welche sich am Zweck der Datenverarbeitung orientieren. Diesen Datenkategorien sollten dann Datenobjekte zugewiesen werden.

Beispiel: Zu den Personaldaten (Datenkategorie) gehören z. B. der Vorname, Nachname und das Geburtsdatum (Datenobjekte).

Die Datenverarbeitung bei den Auftragsverarbeitern gehört zum Verantwortungsbereich des Verantwortlichen. Daher sind die ausgelagerten Datenverarbeitungen an Auftragsverarbeiter ebenfalls im Löschkonzept zu adressieren.

Eine weitere Herausforderung ist die Erfassung von unstrukturiert abgelegten Daten sowie eigenen Devices von Mitarbeiter:innen. Zu ersteren gehören z. B. die E-Mail-Postfächer der einzelnen Mitarbeiter:innen oder Filesharingserver. Eine automatisierte Datenlöschung ist hier in der Regel mangels Struktur schwer umsetzbar. Deshalb sollten im Löschkonzept für diesen Problemkreis Richtlinien zur Löschverpflichtung aufgenommen werden.

Es sollte zudem stets bedacht werden, dass Art. 5 Abs. 1 lit. b DSGVO eine Zweckänderung der Verarbeitung gestattet. Unter den Voraussetzungen des Art. 6 Abs. 4 DSGVO hat der Verantwortliche die Möglichkeit, die Speicherdauer durch Festlegung eines alternativen Zweckes (einer Verarbeitung zu anderen Zwecken) „zu verlängern“, wenn der ursprüngliche Speicherungszweck bereits vollständig erfüllt ist. Art. 6 Abs. 4 DSGVO verlangt hierzu, dass der neue Zweck der Verarbeitung mit dem Zweck, zu dem die Daten ursprünglich erhoben worden sind, vereinbar ist.

2. In einem zweiten Schritt sind die Verantwortlichkeiten im Löschprozess festzuschreiben. Die Verantwortlichkeiten sollten in einem Rollen- und Rechtekonzept beschrieben werden. Auf dieser Basis ist der organisatorische Prozess niederzulegen, der regelt, welche Person jeweils für die Prüfung, Anordnung und Durchführung des Löschens zuständig ist.

3. An dritter Stelle muss genau eruiert werden, welche Aufbewahrungsfristen vor der Löschung zu beachten sind. Erst wenn die gesetzlichen Aufbewahrungspflichten abgelaufen sind, dürfen die Daten auch tatsächlich gelöscht werden (bis zum Fristablauf sind die Daten zu sperren). Von der Rechtsabteilung bzw. Rechtsexperten sind daher die Vorschriften mit Aufbewahrungsvorgaben zu identifizieren. So sind z. B. in § 147 der Abgabenordnung (AO) und § 257 des Handelsgesetzbuches (HGB) gesetzliche Aufbewahrungsfristen genannt, die in der Praxis häufig relevant sind.

4. Nun sollten die Löschklassen bestimmt werden. Diese setzen sich aus den Aufbewahrungsfristen und einer Bestimmung des Ergebnisses, das die Frist zum Laufen bringt, zusammen.

5. Im fünften und letzten Schritt werden die Löschregeln pro Löschklasse bestimmt, nach denen die Löschung zu erfolgen hat. Das Löschkonzept muss auch implementiert (technisch/ manuell) werden. Um der Komplexität Herr zu werden, empfiehlt sich ein mehrstufiges Vorgehen: Zunächst sollten die IT-Systeme, in denen die jeweiligen Datenarten verarbeitet werden, identifiziert und die Abhängigkeit der Systeme untereinander überprüft werden. Schließlich sollte für die Datenkategorien jeweils ein führendes IT-System festgelegt werden.

Bei der Erstellung eines Löschkonzeptes benötigen Sie fachliche und kompetente Unterstützung?

Was bedeutet Löschen im Einzelnen?

Der Begriff des Löschens ist in der DSGVO nicht legaldefiniert. Löschen ist in Art. 4 Nr. 2 DSGVO lediglich als eine Form der Datenverarbeitung erwähnt. Im Kontext des Datenschutzes ist aus dem Wortsinn abzuleiten, dass „Löschen“ eine Handlungsform beschreibt, die dazu dient, dass gespeicherte personenbezogene Daten vollständig unkenntlich gemacht werden, sodass sie nicht mehr verarbeitet oder wahrgenommen werden können. Es darf somit kein Abbild der Lebenswirklichkeit einer Person verbleiben. Die Anonymisierung zielt dagegen darauf ab, die Daten weiterzubearbeiten, zwar ohne Personenbezug, aber unter Verwendung der Lebenswirklichkeit der betroffenen Person.

Nach Ansicht einiger Aufsichtsbehörden kann auch eine Anonymisierung einer Löschung entsprechen. Insbesondere in den Fällen, in denen eine physische Vernichtung für den Verantwortlichen unzumutbar ist, betrachten einige Aufsichtsbehörden eine Anonymisierung als datenschutzkonforme Alternative. Dies ist jedoch äußerst kritisch zu betrachten, da eine Anonymisierung nicht die Ergebnisse erzeugen kann, die von einer Löschung erwartet werden. Der DSGVO lassen sich keine Hinweise entnehmen, dass eine Anonymisierung eine Datenlöschung ersetzen kann.

Als allgemeines Verfahren zur Löschung bietet es sich an, die jeweiligen Löschobjekte irreversibel zu vernichten. Ein Löschbefehl auf der PC-Tastatur genügt natürlich ebenso wenig, wie ein einfaches Überschreiben des Datenträgers. Elektronische Daten auf Servern, Festplatten usw. sind ggfs. mehrmals mit Zufallsdaten zu überschreiben, sodass eine Wiederherstellung ausgeschlossen ist. Es können auch spezielle Löschprogramme (sog. Wipe-Tools) zum Löschen eingesetzt werden.

Papierakten müssen mittels Aktenvernichter beseitigt werden, wobei sich Schutzklasse und Sicherheitsstufe nach der Datenträgervernichtungsnorm DIN 66399 richten.

Fazit: Löschkonzept als Compliance-Komponente!

Die Aufstellung eines Löschkonzepts erfordert Zeit. Führen Sie es Schritt für Schritt und ordentlich durch, so kann es den Geschäftsbetrieb erleichtern und Compliance-Maßstäben gerecht werden. Wichtig ist dabei allerdings eine gründliche Erstellung des Löschkonzepts, da Lösch- und Aufbewahrungspflichten leicht zu Haftungsfallen werden können: Einerseits müssen Daten ab einem bestimmten Zeitpunkt gelöscht werden, andererseits aber auch eine bestimmte Zeit lang aufbewahrt werden.

Für diese Abgrenzung dieser beiden Pflichten empfiehlt es sich, Datenschutzexperten heranzuziehen. Die IT- und Rechtsexperten der ISiCO Datenschutz GmbH prüfen Ihr Löschkonzept auf Vollständigkeit und Richtigkeit und unterstützen auf Wunsch bei der Erstellung und Implementierung. Gerne stellen wir Ihnen auch einen Datenschutzbeauftragten zur Seite. Vertrauen Sie auf uns und unsere Expertise!

Mehr zum Thema

  • NIS 2 Richtlinie

    Die Deadline naht: Machen Sie Ihr Unternehmen noch vor Oktober fit für NIS-2

    Mit der nahenden Deadline im Oktober für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS-2) stehen Unternehmen vor der Herausforderung, nicht nur gesetzliche Vorgaben zu erfüllen, sondern auch ihre eigenen Geschäftsprozesse und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern.

    Weiterlesen

  • Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

    In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.

    Weiterlesen

  • Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download

    Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.

    Weiterlesen

Die Anbieterin eines digitalen Entlassmanagements im Gesundheitsbereich darf im Vergabeverfahren nicht allein deswegen von der Auftragsvergabe ausgeschlossen werden, weil sie für das Hosting ihres Dienstes auf die Tochtergesellschaft eines US-Anbieters zurückgreift. Dies gilt zumindest dann, wenn diese im Vergabeverfahren zusichern, die betroffenen personenbezogenen Daten in der Europäischen Union zu verarbeiten, so das Oberlandesgericht Karlsruhe in einem am Mittwoch veröffentlichten Beschluss (OLG Karlsruhe, Beschluss vom 07.09.2022 – 15 Verg 8/22), mit dem eine umstrittene Entscheidung der Vergabekammer Baden-Württemberg von Mitte Juli aufgehoben wurde (VK Baden-Württemberg, Beschluss vom 13.07.2022 – 1 VK 23/22). Die Vergabekammer hatte in dem gegenständlichen Vergabeverfahren zunächst noch entschieden, dass Hosting-Dienste von europäischen Tochterunternehmen US-amerikanischer Cloud-Anbieter nicht in Anspruch genommen werden dürfen und sich dabei auf das latente Risiko eines Zugriffs auf personenbezogene Daten durch US-Behörden im Rahmen einer Drittlandsübermittlung gestützt.

Benötigen Sie für Ihr Unternehmen fachliche Expertise
bei Drittlandstransfers?

Hintergrund

Drittlandübermittlungen spielen im Datenschutzrecht eine gewichtige Rolle. Seit dem Schrems II-Urteil des EuGH besteht eine erhebliche Rechtsunsicherheit, wenn es um den Einsatz von Dienstleistern außerhalb des Europäischen Wirtschaftsraums geht. Zu dieser Rechtsunsicherheit trug auch der eingangs genannte Beschluss der Vergabekammer Baden-Württemberg vom 13.07.2022 bei.

Gegenstand des Verfahrens war eine öffentliche Ausschreibung zur Beschaffung einer Software für digitales Entlassmanagement, bei der zwei Bieter ein Angebot abgegeben hatten. Als Wertungskriterien wurden auch Anforderungen an den Datenschutz und die IT-Sicherheit gestellt, welche als Bestandteil der Vergabeunterlagen mit zu berücksichtigen waren. Als eine Angebotswertung zugunsten des einen Bieters erfolgte, beantragte der unterlegene Bieter, das Vergabefahren in den Stand vor Angebotswertung zurückzuversetzen und zu wiederholen.

Der unterlegene Bieter als Antragstellerin argumentierte, dass die Beigeladene (die unterlegene Bieterin) aus der Angebotswertung ausgeschlossen werden müsse, da sie unter anderem „gegen zwingende gesetzliche Vorgaben der DSGVO“ verstoße. Die Beigeladene setze einen Unterauftragnehmer ein, welcher die Tochtergesellschaft eines in den USA ansässigen Unternehmens ist. Aufgrund der dortigen Gesetzgebung bestehe laut der Antragstellerin das Risiko, dass eine potenzielle Übermittlung der Daten in die USA nicht auszuschließen sei.

Die Antragsgegnerin führte hingegen an, dass eine theoretische Zugriffsmöglichkeit allein keine Verarbeitung darstelle und demnach auch eine Drittlandübermittlung nicht vorliege. Darüber hinaus wäre eine mögliche Datenübermittlung auch auf Grundlage der Standardvertragsklauseln zulässig, die ebenfalls von der Beigeladenen abgeschlossen wurden. Außerdem würden diese durch weitere Garantien und Schutzmaßnahmen – wie beispielsweise die Verschlüsselung der Daten – komplementiert.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Entscheidung der Vergabekammer

Die Vergabekammer entschied, dass der Einsatz der Unterauftragnehmer durch die Beigeladene nicht datenschutzkonform erfolge. Übermittlung sei jede Offenlegung personenbezogener Daten gegenüber einem Empfänger in einem Drittland oder einer internationalen Organisation, wobei es weder auf die Art der Offenlegung, noch auf die Offenlegung gegenüber einem Dritten ankomme. Eine Offenlegung liege auch dann vor, wenn auf die Daten von einem Drittland aus zugegriffen werden könne – auch wenn gar kein Zugriff erfolge. Eine reine Zugriffsmöglichkeit sorge demnach für ein „latentes Risiko, dass eine unzulässige Übermittlung personenbezogener Daten stattfinden kann, ohne dass hierfür die in der DSGVO normierten rechtlichen Grundlagen gegeben sind“. Da beim Unterauftragnehmer der Beigeladenen eine Zugriffsmöglichkeit auf in der EU gehostete Daten durch das US-amerikanische Mutterunternehmen bestehe, handele es sich um eine Drittlandübermittlung. Diese sei auch DSGVO-widrig.

Weitere Maßnahmen wie die Standortwahl des Servers innerhalb der Europäischen Union, und die Eintrittswahrscheinlichkeit des Zugriffs sollen laut der Entscheidung der Vergabekammer nicht zu einer Beseitigung des Risikos führen. Die entscheidende und spannende Frage, wie sich denn die eingesetzte Verschlüsselung der gehosteten Daten auf die Rechtskonformität auswirke, wurde jedoch durch die Vergabekammer nicht beantwortet.

Gegenteilige Argumente

Dass das Risiko einer Zugriffsmöglichkeit, ungeachtet aller vertraglichen und technischen Maßnahmen, eine Drittlandübermittlung darstellen soll, führt zu einer Reihe von praxisrelevanten Fragen. Inwiefern kann man nun für die Zukunft datenschutzkonform Auftragsverarbeiter einsetzen, die zu US-amerikanischen Mutterunternehmen gehören?

Grundsätzlich ist eine Drittlandübermittlung in die USA weiterhin auch mit dem Einsatz der Standardvertragsklauseln der EU-Kommission möglich. Es obliegt somit dem Datenexporteur – in Kooperation mit dem Empfänger im Drittland – zusätzliche ergänzende Maßnahmen zu ergreifen, um die Rechtsschutzlücken zu schließen und die Einhaltung des unionrechtlichen Schutzniveaus zu gewährleisten. Ebenfalls hat der EuGH klargestellt, dass das Schutzniveau im Drittland nicht mit dem im Europäischen Wirtschaftsraum identisch, aber in seiner Natur gleichwertig sein muss. Hierzu hat der Europäische Datenschutzausschuss (EDSA) eine Empfehlung veröffentlicht, welche als Orientierungshilfe bei der Anwendung ergänzender Maßnahmen zur Gewährleistung des unionsrechtlichen Schutzniveaus dienen soll. So werden unter anderem die Anforderungen an die Pseudonymisierung und die Verschlüsselung der personenbezogenen Daten, welche nach Ansicht des EDSA als Schutzmaßnahmen durchaus geeignet sind, näher bestimmt.

Bei der Auslegung des Übermittlungsbegriffs selbst gibt es ebenfalls abweichende Ansichten. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI B.-W.) hat eine Stellungnahme zum Beschluss der Vergabekammer veröffentlicht. Er argumentiert darin, das latente Zugriffsrisiko sei nicht ausreichend, um im Zweifelsfall eine Drittlandübermittlung zu bejahen. Die DSGVO habe keinen „risikobasierten Ansatz“ eingeführt, der somit weder zu Gunsten noch zu Lasten der jeweiligen Akteure ausgelegt werden könne. Ebenfalls bestünden gegen etwaige Zugriffsmöglichkeiten wirksame Schutzmittel durch die Verwendung von technischen und organisatorischen Maßnahmen, die das genannte Risiko eliminieren könnten.

Fazit

Im vorliegenden Fall wurde der Beschluss der Vergabekammer zwar vom OLG Karlsruhe aufgehoben und der Nachprüfungsantrag zurückgewiesen. Jedoch wurden im Rahmen dieser Entscheidung hauptsächlich vergaberechtliche Aspekte thematisiert; die offenen Fragen zur Drittlandübermittlung bleiben leider bestehen. Bei der Beurteilung der Frage des Einsatzes von Auftragsverarbeitern aus Drittländern (wie den USA) kommt es insofern weiterhin darauf an, in jedem Einzelfall genau zu prüfen, inwiefern ausreichende Maßnahmen vorliegen, um die Einhaltung des unionsrechtlichen Niveaus zum Schutz personenbezogener Daten zu gewährleisten. In der Praxis kommen hierbei insbesondere technischen Schutzmaßnahmen – wie die Verschlüsselung von personenbezogenen Daten – eine hohe Bedeutung zu. Außerdem ist vor dem Einsatz entsprechender Dienstleister gegebenenfalls ein Transfer Impact Assessment (TIA) durchzuführen.

Mehr zum Thema

  • NIS 2 Richtlinie

    Die Deadline naht: Machen Sie Ihr Unternehmen noch vor Oktober fit für NIS-2

    Mit der nahenden Deadline im Oktober für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS-2) stehen Unternehmen vor der Herausforderung, nicht nur gesetzliche Vorgaben zu erfüllen, sondern auch ihre eigenen Geschäftsprozesse und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern.

    Weiterlesen

  • Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

    In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.

    Weiterlesen

  • Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download

    Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.

    Weiterlesen

Google hat eine neue Version seines beliebten Online-Marketingtools Google Analytics vorgestellt: Google Analytics 4 (GA 4). Die neue Generation des Analysetools wird die Vorgängerversion Universal Analytics (UA) ablösen. Viele Unternehmen haben bereits UA eingesetzt, um das Nutzungsverhalten auf der eigenen Unternehmenswebseite der User nachzuvollziehen und damit eine erfolgreiche Marketingstrategie zu entwickeln. Voraussichtlich ab dem 01. Juli 2023 soll dies standardmäßig nicht mehr über UA stattfinden, sondern ausschließlich über GA 4 erfolgen können. Welche neuen Features GA 4 mit sich bringt, ob Einwilligungsbanner nun obsolet werden und worauf sich Unternehmen datenschutzrechtlich einstellen müssen, zeigen wir in diesem Beitrag.

Universal Analytics-Properties (UA): der bisherige Einsatz

UA war bisher für Unternehmen, die vor dem 14. Oktober 2020 begonnen haben, das Analysetool zu nutzen, der Standard-Property-Typ für Webseiten. UA-Property ermöglichte ein geräteübergreifendes Tracking, womit nicht nur auf Webseiten, sondern auch in Apps und anderen digitalen Geräten übergreifend nachvollzogen und analysiert werden konnte. Bisher wurden dafür verschiedene Tracking-Technologien wie Pixel, Cookies und Skripte angewendet. Verwendet eine Webseite Google Analytics, wird bei deren Aufruf die entsprechende Technologie aktiv. Dann werden Informationen, wie eindeutige Identifier, entweder auf dem Endgerät mittels Cookies gespeichert oder es erfolgt ein Zugriff auf bereits gespeicherte Informationen im Endgerät, wie beispielsweise zum Betriebssystem, zum Browser oder zur Bildschirmgröße, mittels Skripten und Pixel. Nähere Ausführungen zu Google Analytics UA finden Sie hier auf unserem Blog.

Neues Analysetool: GA 4

Funktionsweise

GA 4 sammelt sowohl Webseiten- als auch App-Daten, um das Verhalten von Nutzenden nachzuvollziehen. Ebenfalls wie bei der Vorgängerversion UA, verarbeitet GA 4 dabei personenbezogene Daten. Zu den erfassten Daten gehören unter anderem die Verweildauer auf der Webseite, demografische Merkmale wie Sprache und Standort, oder der zum Aufruf genutzte Browser. Die Besonderheit bei GA 4 liegt im Einsatz von Künstlicher Intelligenz (KI) und Machine-Learning für die Datenauswertung. Der Zugriff auf die Daten des Nutzenden erfolgt weiterhin über Cookies, Skripte und Pixel. Zur Messung und Auswertung der Nutzungsdaten kommt nun jedoch KI, insbesondere maschinelles Lernen, durch Anwendung von Algorithmen zum Einsatz. Die Algorithmen messen automatisiert anhand von Ereignisdaten (sog. Events), und nicht wie vormals bei UA anhand von sitzungsbasierten Daten (sog. Hits), das Nutzungsverhalten des individuellen Nutzenden. Unter Events fallen zum Beispiel Scrolls bis zum Seitenende, Klicks auf externe Links, Downloads oder Pageviews. Der diese Events auslesende Algorithmus kann spezifisches Nutzungsverhalten auch auf anderen Geräten wiedererkennen, wodurch eine geräteübergreifende Verhaltensanalyse möglich ist. Kommt es daher zu verschiedenen separaten Sitzungen an verschiedenen Geräten, kann GA 4 anhand von User-ID, Google-ID, oder Geräte-ID die Sitzungen automatisiert zu einer einheitlichen geräteübergreifenden Benutzererfahrung zusammenfassen. Maschinelles Lernen kommt auch beim sog. Modelling von Conversions zum Einsatz. Unter Conversions versteht man einen Vorgang, bei dem der Adressat einer Marketing-Botschaft eine gewünschte Aktion ausführt. Eine Conversion liegt zum Beispiel vor, wenn auf einer Webseite eine Werbeanzeige geschaltet wird, welche sodann geklickt wird. Es kann aber zum Beispiel vorkommen, dass eine Werbeanzeigeninteraktion mit einem anderen Gerät stattfindet als die konkrete Bestellung der beworbenen Ware. Um dies nachvollziehen zu können und hiervon marketingtechnisch zu profitieren, kann durch Conversion Modelling eine Brücke geschlagen werden.

Newsletter: Bleiben Sie immer auf dem Laufenden

Verpassen Sie keine Updates rund um Datenschutz, Informationssicherheit und Compliance. Melden Sie sich noch heute bei unserem Newsletter an!

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Prognosefähigkeit

Die von GA 4 verwendete KI ist außerdem in der Lage, das Verhalten einzelner Zielgruppen vorherzusagen. Durch die Analyse der Events kann der zugrundeliegende Algorithmus eine Prognose für künftiges Nutzungsverhalten aufstellen. Das Analysetool GA 4 trackt sich verändernde Kundenbedürfnisse und kann somit künftige Nutzungsmuster vorhersagen. Unternehmen, die GA 4 nutzen, erhalten automatisch eine Benachrichtigung über verschiedene Trends in den Daten, die die KI ausgewertet hat. GA 4 analysiert darüber hinaus auch die Abwanderungswahrscheinlichkeit eines Nutzenden von der Webseite und kann z.B. auch die Kaufwahrscheinlichkeit und den möglichen Umsatz prognostizieren.

Geänderte Voreinstellungen

Änderungen gegenüber UA finden sich auch in den voreingestellten Optionen. So ist beispielsweise bei GA 4 die IP-Anonymisierung bereits automatisch voreingestellt, wohingegen dies bei UA nur optional auswählbar war. Auch die automatische Löschung alter Besucher-Logs ist in GA 4 standardmäßig auf 14 Monate voreingestellt. Besucher-Logs werden nun, je nach individueller Einstellung, nach mindestens 2 bis maximal 14 Monaten gelöscht. Vorher war es bei UA möglich, die Logs über eine weitaus längere Zeitspanne zu speichern.
Durch KI und maschinelles Lernen ist GA 4 auch in der Lage Bots zu erkennen und diese von der Analyse von vorneherein auszuschließen.

Sie benötigen unsere Expertise bei der datenschutzkonformen Implementierung von Google Analytics 4?

Was Unternehmen bei der Verwendung von GA 4 beachten müssen

Ist bei Verwendung von GA 4 ein Einwilligungsbanner nötig?

Ja, ein Einwilligungsbanner ist immer noch notwendig! Zwar funktioniert die Auswertung des Nutzungsverhaltens durch GA 4 maßgeblich mittels KI und maschinellem Lernen, jedoch werden immer noch Cookies sowie Skripte und Pixel verwendet, um auf Informationen im Endgerät aktiv zuzugreifen. Sofern das Setzen von Cookies und die Verwendung von Skripten und Bildern (Pixeln) nicht manuell abgeschaltet wird, kommen solche immer noch zum Einsatz. Für den rechtskonformen Zugriff und Einsatz von Cookies, Skripten und Pixeln bedarf es aus datenschutzrechtlicher Sicht der Einwilligung des Nutzenden. Die Einwilligungspflicht für nicht unbedingt erforderliche Speicherungen und Zugriffe, etwa durch Cookies, Skripte und Pixel, ist explizit in § 25 TTDSG geregelt. Vor der Einwilligung dürfen keine Cookies gesetzt und keine Skripte oder Pixel von GA4 ausgeführt werden. Erst nach der Einwilligung dürfen entsprechende Technologien von GA4 verwendet werden. Nähere Hintergründe zum TTDSG, der Einwilligungspflicht nach § 25 TTDSG und rechtkonformen Einwilligungsbannern finden Sie hier auf unserem Blog.

Abschluss eines Auftragsverarbeitungsvertrags (AVV)

Unternehmen, die einen Google-Dienst auf ihrer Webseite verwenden wollen, worunter auch GA 4 fällt, müssen einen AVV mit Google Ireland Limited abschließen. Denn mit der Nutzung von GA 4 erfolgt die Verarbeitung der getrackten Nutzungsdaten durch Google Ireland Limited im Auftrag des jeweiligen Webseitenbetreibers als Verantwortlichem.

Optionale Einstellungen

Sehr empfehlenswert ist es für Unternehmen von den optionalen Einstellungsmöglichkeiten Gebrauch zu machen, um die Nutzung von GA 4 so datenschutzfreundlich wie möglich auszugestalten. Darunter fällt beispielsweise, die automatische Löschungsfrist alter Besucher-Logs zu verkürzen. Zu empfehlen ist zudem, die Zurücksetzung der Aufbewahrungsdauer bei erneuter Aktivität abzuwählen. Ansonsten beginnt diese bei neuer Aktivität immer wieder neu zu laufen und verlängert damit stets die Speicherdauer. Auch die Möglichkeit der Deaktivierung der Erfassung genauer Orts- und Positionsdaten sowie genauer Gerätedaten ist eine sinnvolle Option.


Das könnte Sie auch interessieren:


Aktualisierung der Datenschutzerklärung

Bei Verwendung von GA 4 muss auch die Datenschutzerklärung entsprechend angepasst werden. Der Webseitenbesucher muss darüber aufgeklärt werden, dass GA 4 Nutzungsdaten auswertet und KI verwendet. Außerdem muss der Nutzende über sein Widerrufsrecht informiert werden und darüber, dass die Anonymisierung der IP-Adresse durch GA 4 automatisch voreingestellt ist. Darüber hinaus sollte in der Datenschutzerklärung die Deaktivierung der Erfassung genauer Orts- und Positionsdaten sowie genauer Gerätedaten aufgenommen werden, soweit diese vorgenommen wurde.

Fazit

Die neue Funktionsweise von GA 4 bringt spannende neue Möglichkeiten und Erkenntnisse in die Marketing-Welt. Wie zuverlässig die KI funktioniert, wird sich im Laufe der Zeit herausstellen. Jedoch können mittels der Prognose des Nutzungsverhaltens völlig neue Marketing- und Werbemaßnahmen getroffen werden, womit sich Unternehmen noch erfolgreicher vermarkten können. Bis einschließlich 30. Juni 2023 können in UA-Properties neue Daten erhoben und verwendet werden. Ab dem 01. Juli 2023 haben Unternehmen, die UA genutzt haben, noch mindestens sechs Monate lang Zugriff auf zuvor verarbeitete Daten in UA-Properties. Daten, die weiter von Bedeutung sind, sollten unbedingt exportiert werden.

Unser Team an Datenschutzexpert:innen steht Ihnen gerne bei der datenschutzkonformen und optimierten Verwendung von Google Analytics beratend zur Verfügung. Kontaktieren Sie uns gerne!

Mehr zum Thema

  • Datenschutzaudit – Erforderlichkeit, Ablauf, Umfang

    Die DSGVO sieht an vielen Stellen Kontrollmechanismen für Unternehmen vor, um regelmäßig zu überprüfen, ob die Vorgaben eingehalten werden und wo mögliche Risiken bestehen. Einer dieser Mechanismen ist das Datenschutzaudit. Wann und für wen ist es notwendig? Alles über Ablauf, Umfang und Notwendigkeit von Datenschutzaudits.

    Weiterlesen

  • Smart Data Finance

    Smart-Data-Verfahren im Finanzsektor: Datenschätze behutsam erschließen

    Unternehmen der Finanzwirtschaft haben angesichts der zunehmenden Inanspruchnahme von Online-Finanzdienstleistungen mittlerweile erkannt, welche Potenziale die datengetriebene Kundenansprache auch für sie bietet. Welche datenschutzrechtlichen Fragen stellen sich und unter welchen Voraussetzungen ist der Einsatz von Smart-Data Verfahren im Finanzsektor nach derzeitigem Stand möglich?

    Weiterlesen

  • TTDSG Praktische Umsetzung

    § 26 TTDSG in der praktischen Umsetzung: Zukunft der Einholung und Verwaltung von Einwilligungen im Internet?

    § 26 TTDSG soll einen gesetzgeberischen Anreiz zur Etablierung von sogenannten PIMS (Personal Information Management Systems) setzen, die sich bislang in der Praxis noch nicht durchgesetzt haben.

    Weiterlesen

Seit 25. Mai 2018 entfaltet die EU-weite Datenschutz-Grundverordnung (DSGVO) ihre Wirkung und hat Unternehmen vor enorme Herausforderungen gestellt. Besonders im Bereich der sogenannten Betroffenenrechte hat sich im Vergleich zur bisherigen Rechtslage vieles geändert. Betroffenen Personen sind eine Vielzahl von Werkzeugen an die Hand gegeben worden, durch die sie den Umgang mit ihren personenbezogenen Daten kontrollieren und steuern können. Seit Wirksamwerden der DSGVO haben die Aufsichtsbehörden in Deutschland und in anderen EU-Ländern bereits eine Vielzahl von Bußgeldern verhängt, oft auch für die Nichteinhaltung von Betroffenenrechten. Dabei reicht der Katalog von nicht erteilten Auskünften über versäumte Fristen bis hin zur Nichtlöschung der Daten trotz Löschungsanspruchs. Für Unternehmen stellt auch das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO eine große Herausforderung dar. 

Was sind Betroffenenrechte?

Betroffenenrechte beschreiben die Rechte der von der Datenverarbeitung betroffenen Personen nach Art. 12 ff. DSGVO. Sie schützen die informationelle Selbstbestimmung (Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG) und dienen der Information und Transparenz.

Art. 12 Abs. 3 DSGVO regelt, dass die Betroffenenanfragen „spätestens“ innerhalb eines Monats beantwortet werden müssen. In Ausnahmefällen ist eine Verlängerung um weitere zwei Monate möglich. Diese Verlängerung kann jedoch nicht pauschal mit einem zu hohen Arbeitsaufkommen begründet werden, sondern erfordert eine Prüfung im Einzelfall.

Welche Betroffenenrechte gibt es in der DSGVO?

Die Informationspflicht des für die Datenverarbeitung Verantwortlichen (Artt. 13, 14 DSGVO).

Art. 13 DSGVO und Art. 14 DSGVO bilden einen gemeinsamen Komplex. Zusammen mit Art. 15 DSGVO konstituieren die Vorschriften einen wesentlichen Bestandteil („Magna Charta“) der Betroffenenrechte. Erst durch die mit Hilfe von Art. 13 DSGVO gewonnen Informationen kann die betroffene Person eine Datenverarbeitung richtig einschätzen und ihre Betroffenenrechte ordnungsgemäß wahrnehmen. Art. 13 DSGVO hat daher eine fundamentale Bedeutung.

Der EU-Gesetzgeber hat die Grundsätze der fairen und transparenten Verarbeitung dadurch konkretisiert, dass er bestimmte Informationen als „Bringschuld“ des Verantwortlichen gegenüber der betroffenen Person festgelegt hat. In diesem Sinne regelt Art. 13 Abs. 1 DSGVO, dass der betroffenen Person v. a. die Kontaktdaten des Verantwortlichen, der Zweck (für jede einzelne Datenverarbeitung gesondert) und die Dauer der Datenverarbeitung sowie Informationen zu den Empfängern der personenbezogenen Daten ebenso wie die Rechtsgrundlage der Datenverarbeitung und eine nachvollziehbare Interessenabwägung mitgeteilt werden.

Nach Art. 13 Abs. 1 und Abs. 2 DSGVO muss die betroffene Person zudem über alle Betroffenenrechte informiert werden, also über das Bestehen eines Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und auf Datenübertragbarkeit. Zudem muss die betroffene Person darüber informiert werden, inwieweit die Entscheidungsfindung ausschließlich auf automatischer Datenverarbeitung (v. a. Profiling) beruht. Dabei ist zu berücksichtigen, dass der betroffenen Personen die Informationen bei Datenerhebung übermittelt werden müssen, also z. B. bei Bestellung eines Newsletters oder dem Abschluss eines Kaufvertrages im Rahmen des E-Commerce, ggf. aber auch schon vor Abschluss des Kaufvertrages, z. B. bei der Registrierung für ein Benutzerkonto. Dabei verlangt Art. 12 Abs. 1 DSGVO, dass die mitzuteilenden Informationen der betroffenen Person in „transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ vorgelegt werden. Das heißt, dass die Informationen für die jeweiligen Adressaten verständlich sein müssen, u. a. indem in Datenschutzhinweisen auf mehrdeutige Formulierungen, Fremdwörter und komplizierte Satzkonstruktionen verzichtet und näher an der Alltagssprache formuliert wird. Die DSGVO lässt eine mündliche, schriftliche oder auch elektronische Übermittlung der Informationen genügen. Besonders gegenüber Kindern ist nicht nur auf die bereits erwähnte Pflicht zur Verwendung einer einfachen, sondern zusätzlich auch alters- bzw. kindgerechten Sprache zu achten. Die Informationspflicht besteht nach Art. 13 Abs. 4 DSGVO nur dann nicht, wenn der Betroffene im Falle einer Datenverarbeitung bereits über die erforderlichen Informationen verfügt. Hierfür tragen Unternehmen die Beweislast.

Art. 14 DSGVO regelt zudem entsprechende Informationspflichten für den Fall, dass die Daten nicht vom Verantwortlichen selbst, sondern von Dritten (z. B. Auskunfteien bezüglich der Kreditwürdigkeit) erhoben wurden. Die Informationspflichten des Unternehmens bei einer Datenerhebung von Dritten sind dabei grundsätzlich mit denen nach Artikel 13 DSGVO vergleichbar. Darüber hinaus trifft das Unternehmen die Pflicht, die Quelle, aus der die Informationen stammen, mitzuteilen. Anders als im Rahmen des Art. 13 DSGVO müssen die Informationen nicht in allen Fällen sofort übermittelt werden, sondern spätestens innerhalb einer Frist von maximal einem Monat nach Erlangung der Daten. Falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, ist die Mitteilung jedoch spätestens zum Zeitpunkt der ersten Kontaktaufnahme zu machen. 

Haben Sie Fragen zum Umgang mit Betroffenenrechten? Wir helfen Ihnen gerne weiter.

2. Mit der aktiven Informationspflicht des Verantwortlichen korrespondiert ein weitgehendes Auskunftsrecht (Art. 15 DSGVO) des Betroffenen

Art. 15 DSGVO gewährt einen Anspruch auf umfassende Information hinsichtlich der verarbeiteten personenbezogenen Daten sowie spezifischer Umstände der Datenverarbeitung. Begrenzt wird der Auskunftsanspruch durch entgegenstehende Rechte Dritter. Dies hat insbesondere zur Folge, dass über Geschäftsgeheimnisse keine Auskunft zu erteilen ist.  Von Art. 15 DSGVO geht hohe praktische Relevanz aus, die künftig weiter zunehmen dürfte. 

Das Auskunftsrecht ist zweistufig ausgestaltet. Zunächst hat die betroffene Person auf der ersten Stufe ein Auskunftsrecht, ob sie betreffende personenbezogene Daten verarbeitet werden. Sofern dies nicht der Fall ist, hat der Verantwortliche eine Negativauskunft zu erteilen. Falls eine Verarbeitung vorliegt, hat die betroffene Person auf der zweiten Stufe ein Recht auf Auskunft über die personenbezogenen Daten, die verarbeitet werden, sowie auf bestimmte zusätzliche Informationen.

Zur Geltendmachung kann die betroffene Person in angemessenen Abständen Auskunft über die Datenverarbeitung verlangen. Der Antrag ist grundsätzlich formfrei möglich. Der Verantwortliche hat bei einem Auskunftsbegehren v. a. über den Zweck der Datenverarbeitung Auskunft zu geben sowie darüber, welche Kategorien personenbezogener Daten verarbeitet werden und welchen Empfängern bzw. Kategorien von Empfängern die Daten ggf. offengelegt wurden. 

Daneben umfasst das Auskunftsrecht weitere Informationen wie

  • die geplante Speicherdauer bzw. die Kriterien für die Festlegung dieser Dauer,
  • Die Belehrung über die einzelnen Betroffenenrechte (wie das Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht, Beschwerderecht bei einer Aufsichtsbehörde),
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. weiterer Auswirkungen,
  • die Unterrichtung über geeignete Garantien bei Datenübermittlungen an Drittstaaten oder an internationale Organisationen.

Darüber hinaus hat die betroffene Person nach Art. 15 Abs. 3 DSGVO einen Anspruch auf die kostenfreie Übermittlung einer Kopie der über sie verarbeiteten personenbezogenen Daten. Für weitere Kopien darf der Verantwortliche ein angemessenes Entgelt verlangen. Keine „weitere“ Kopie beantragt der Betroffene, wenn er einen erneuten Auskunftsantrag stellt und sich der Datenbestand des Verantwortlichen seit Übersendung der letzten Kopie erheblich verändert hat. Inhalt und Reichweite des Rechts auf Datenkopie sind allerdings im Einzelnen nach wie vor noch sehr umstritten. Die Auskunftserteilung kann je nach Menge der angefallenen Daten sehr umfangreich ausfallen. In diesen Fällen bietet sich Aufbereitung der Daten im Rahmen des Auskunftsprozesses an, welcher bereits zuvor in die laufenden unternehmerischen Prozesse integriert werden sollte.

3. Das Recht auf Berichtigung (Art. 16 DSGVO)

Sind die personenbezogenen Daten der betroffenen Person unrichtig verarbeitet worden, so hat diese ein Recht auf unverzügliche Berichtigung. Das Recht der betroffenen Person auf Berichtigung hängt eng mit dem Auskunftsrecht nach Art. 15 DSGVO zusammen. Ohne das Recht auf Auskunft über die über sie verarbeiteten personenbezogenen Daten könnte die betroffene Person von ihrem Berichtigungsrecht keinen Gebrauch machen. Das Recht auf Berichtigung hat zwei Bestandteile: Die betroffene Person kann sowohl die Korrektur unrichtiger Daten als auch die Vervollständigung oder Ergänzung unvollständiger Daten verlangen.


Das könnte Sie auch interessieren:


4. Das Recht auf Datenlöschung (Art. 17 DSGVO) 

Das Recht auf Datenlöschung (Art. 17 DSGVO) setzt das sogenannte „Recht auf Vergessenwerden“ um. Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe Platz greift: 

  • Das Speichern der Daten ist zur Zweckerreichung der Datenerhebung nicht mehr notwendig
  • Die betroffene Person widerruft ihre vorher erteilte Einwilligung in die Datenverarbeitung
  • Die betroffene Person hat Widerspruch gegen die Verarbeitung eingelegt und es besteht kein berechtigtes Interesse an der Verarbeitung (im Falle des Art. 21 Abs. 2 DSGVO muss die Löschung unabhängig vom Interesse an der Verarbeitung erfolgen)
  • Die Daten wurden unrechtmäßig verarbeitet
  • Das Unternehmen ist aufgrund einer gesetzlichen Pflicht (aus dem EU-Recht oder dem nationalen Recht eines Mitgliedstaates) zur Löschung der Daten verpflichtet.
  • Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 DSGVO erhoben.

Außerdem gibt es gemäß Art 17 Abs. 3 DSGVO eine Reihe von Ausnahmen, bei deren Eingreifen die Löschpflicht nicht gilt. Wichtigste Ausnahme ist das Entfallen der Löschpflicht bei Bestehen einer rechtlichen Verpflichtung, zum Beispiel bei Aufbewahrungspflichten aufgrund arbeits-, steuer- oder handelsrechtlicher Vorgaben.

5. Das Recht auf Einschränkung der Verarbeitung

Nach Art. 18 DSGVO hat der Betroffene ein Recht auf Einschränkung der Verarbeitung. Die Vorschrift intendiert einen vorläufigen Ausgleich zwischen den Interessen des Betroffenen an der Wahrung des informationellen Selbstbestimmungsrechts und dem Verantwortlichen an der Verarbeitung der personenbezogenen Daten. Die betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:

  • die betroffene Person stellt die Richtigkeit der Daten in Frage,
  • die Verarbeitung ist unrechtmäßig,
  • die Daten werden zur Geltendmachung von Rechtsansprüchen benötigt, nachdem der Zweck der Datenverarbeitung sich erledigt hat oder
  • die betroffene Person hat Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.

Nach Art. 18 DSGVO können die Daten aufgrund der Einschränkung der Verarbeitung nur noch unter besonders engen Voraussetzungen und besonderen Zweckbestimmungen verarbeitet werden. Die jeweiligen personenbezogenen Daten müssen zwar nicht gelöscht, dürfen aber auch nicht mehr anderweitig verarbeitet werden. Zu diesem Zweck sind die Daten, deren Verarbeitung eingeschränkt werden soll, zu markieren und entsprechend zu behandeln.

6. Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Das Recht auf Datenübertragbarkeit (oder auch „Recht auf Datenportabilität“) ist ein erst durch die DSGVO geschaffenes Recht. Die Vorschrift soll der betroffenen Person eine effizientere Kontrolle über ihre Daten verschaffen sowie Lock-In-Effekten entgegentreten, indem das „Anbieter-Switching“ erleichtert wird. Dadurch soll der Wettbewerb gefördert werden. Die Vorschrift gibt der betroffenen Person die Möglichkeit, über sie gespeicherte Daten (zum Beispiel in sozialen Medien) zum Zwecke der Übermittlung in einem entsprechenden portablen Format zu erhalten oder gegebenenfalls die Daten direkt an den anderen Anbieter zu übermitteln. Damit sollen Monopole verhindert werden, etwa weil die betroffene Person befürchten muss, zu viel Zeit für den Aufbau eines neuen Profils bei einem Konkurrenzanbieter zu benötigen.

Umfasst von dieser Vorschrift sind allerdings nur diejenigen Daten, welche die betroffene Person selbst gegenüber dem Verantwortlichen bereitgestellt hat. Dies sind insbesondere Daten, die die betroffene Person selbst beim Anlegen des Benutzerkontos oder beim Eingeben von „Posts“ in sozialen Medien verwendet hat. Offen bleibt nach wie vor, ob auch Daten erfasst sind, die in der Interaktion mit dem Dienst des Verantwortlichen entstanden sind, wie z. B. in „smarten Geräten“ oder „Wearables“ erfasste Daten.

Da es vorkommen kann, dass die von der betroffenen Person bereitgestellten Daten  nicht nur Informationen zu ihr selbst, sondern auch von Dritten enthalten, sieht Art. 20 Abs. 4 DSGVO vor, dass das Recht auf Datenübertragbarkeit die Rechte und Freiheiten anderer Personen nicht beeinträchtigen darf. Damit ist bei Daten mit Drittbezug eine Abwägung der Grundrechte und Interessen des Antragstellers mit den Daten der ebenfalls betroffenen Person vorzunehmen. Das Recht auf Datenübertragbarkeit besteht schließlich auch dann nicht, wenn es zu unlauteren oder rechtsmissbräuchlichen Zwecken verwendet wird.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

7. Gelten die Betroffenenrechte in allen Mitgliedstaaten gleichermaßen?

Ziel der DSGVO ist unter anderem die Schaffung eines einheitlichen Datenschutzniveaus in allen Mitgliedstaaten. Allerdings enthält die DSGVO an vielen Stellen sog. „Öffnungsklauseln“ (z. B. Art. 85 Abs. 2 DSGVO), die es den Mitgliedstaaten ermöglichen, in gewissen Grenzen eigene nationale Regelungen zu erlassen. Insbesondere ist hier das sog. Medienprivileg zu beachten, welches der deutsche Gesetzgeber im Rundfunkstaatsvertrag (RStV) in § 57 geregelt hat. Abstrahiert lässt sich sagen, dass das Medienprivileg zur weitgehenden Freistellung der Presse, des Rundfunks und der Telemedien von datenschutzrechtlichen Anforderungen führt. 

Fazit und Handlungsempfehlung: Welchen Stellenwert haben die Betroffenenrechte?

Die Betroffenenrechte stellen eine der zentralen Säulen der DSGVO dar. Verstöße werden von den Aufsichtsbehörden mit empfindlichen Bußgeldern geahndet. Für die betroffene Person sind die Betroffenenrechte sowohl Kommunikations- als auch Überwachungsmittel im Verhältnis zum Verantwortlichen. Kein Unternehmen kommt um die Einhaltung der DSGVO herum. Sie gehört zu den grundsätzlichen gesetzlichen Pflichten eines Unternehmens gegenüber seinen Kunden. Schon aus diesem Grund müssen Unternehmen auf ihre datenschutzrechtliche Außenwahrnehmung größten Wert legen. Eine gut geführte Datenschutzabteilung, die schnell, umfassend und verlässlich die Betroffenenrechte erfüllt, stellt ein starkes Aushängeschild dar. Die Anfragen von betroffenen Personen sollten daher stets ernst genommen und dazu genutzt  werden, die eingeführten Datenschutzprozesse einer Selbstkontrolle zu unterziehen und deren Qualität zu verbessern.

Mehr zum Thema

  • Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

    In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.

    Weiterlesen

  • Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download

    Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.

    Weiterlesen

  • Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling

    In Zeiten zunehmender Cyberbedrohungen können Unternehmen durch die Mitigation von Datenschutzrisiken nicht nur sich selbst und ihre Beschäftigten vor Bedrohungen bewahren, sondern vor allem auch den Schutz ihrer Kund:innen effektiver gewährleisten. Ein Schlüsselelement der Risikoanalyse ist das sogenannte Threat Modeling. Wir erläutern, was Threat Modeling beinhaltet und wie es speziell in der Datenschutzberatung eingesetzt wird.

    Weiterlesen

Der „risikobasierte Ansatz“ ist in der DSGVO tief verwurzelt. Je höher die Risiken, die mit der Verarbeitung personenbezogener Daten einhergehen, desto strenger die Anforderungen an den Datenschutz. Ergibt beispielsweise eine Datenschutz-Folgenabschätzung (DSFA) ein besonders hohes Risiko, so sind auch entsprechend wirksame Maßnahmen durch Verantwortliche zu treffen. Von großer Relevanz ist in diesem Zusammenhang Art. 32 DSGVO. Dieser sieht vor, dass abhängig von Schwere und Eintrittswahrscheinlichkeit eines Risikos für Rechte und Freiheiten betroffener Personen sogenannte technische und organisatorische Maßnahmen (TOM) durch Verantwortliche zu treffen sind. Im Folgenden soll erörtert werden, wie Datenschutzrisiken zu erkennen sind und wie ihnen mit effizienten TOM begegnet werden kann. Dabei wird besprochen, was Risiken im Datenschutz sind, wie sie erfasst werden können und wie daraus effiziente technische und organisatorische Maßnahmen abgeleitet werden können. Denn nur wenn Risiken wirksam gemanagt werden, kann ein Unternehmen nachhaltig wachsen und langfristig Kund:innenvertrauen gewinnen.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Erfassung von Risiken im Datenschutz

Was ist ein Risiko?

Um ein Verfahren für den Umgang mit Datenschutzrisiken aufzustellen, müssen diese zunächst im eigenen Unternehmen erkannt werden. Allgemein lässt sich sagen, dass ein Risiko ein möglicher Schaden in Verbindung mit dessen Eintrittswahrscheinlichkeit ist.
Die Eintrittswahrscheinlichkeit ist dabei die durchschnittliche zeitliche Häufigkeit von sicherheitsrelevanten Ereignissen. Der Schaden kann materiell oder immateriell sein und für eine Vielzahl von Schutzzielen eintreten. In der Informationssicherheit und im Datenschutz können diese die Vertraulichkeit personenbezogener Daten, deren Integrität und Verfügbarkeit sein. Die mit den Rechten und Freiheiten betroffener Personen aus der DSGVO einhergehenden Schutzziele sind darüber hinaus: Transparenz in der Datenverarbeitung, die Möglichkeit der Intervention für Betroffene, die Sicherstellung und Nachweisbarkeit der Zweckbindung von Datenverarbeitung (Nichtverkettbarkeit) und die Datenminimierung. Schutzadressat:innen, die Risiken ausgesetzt werden, können dabei sowohl Verantwortliche als im Datenschutz auch betroffene Personen sein. Angreifer-Typen, von denen ein Risiko ausgehen kann, können interne Administrator:innen, Mitarbeiter:innen, Hacker:innen sowie Regierungsinstitutionen sein. Im Datenschutz kommen zudem Verantwortliche selbst sowie Drittanbieter:innen als Angreifer:innen in Betracht, wenn sie die Gewährleistungsziele der DSGVO außer Acht lassen.

Eine tatsächliche Gefährdung für eines der Schutzziele liegt dann vor, wenn eine Bedrohung auf eine Schwachstelle trifft. In Verbindung mit der Eintrittswahrscheinlichkeit kann so ein Risiko-Szenario gegeben sein. Eine Bedrohung ist dabei ein Ereignis oder Umstand, durch den ein Schaden entstehen kann, so etwa technisches Versagen, menschliche Fehlhandlungen oder höhere Gewalt. Schwachstellen sind sicherheitsrelevante Fehler eines IT-Systems oder im Datenschutz Schwachstellen des Datenschutzmanagements. Ursachen dafür können in deren Konzeption, den verwendeten Algorithmen, der Implementation, der Konfiguration, technischen Einschränkungen und dem Betrieb liegen.

Sie benötigen Unterstützung bei der Implementierung technisch organisatorischer Maßnahmen?

Aufstellen eines wirksamen Verfahrens zur Risikoermittlung

Bei Risikobewertungen handelt es sich stets um Prognoseentscheidungen. Risiken stehen also nie fest, sondern variieren. Da die Risikobewertung einer Nachweis- und Rechenschaftspflicht unterliegt, an der sich auch angemessene TOM festmachen können, sind Methodik und Dokumentation in der Risikobewertung dringend erforderlich. Da die Risikoerfassung vor allem auch von persönlichen Erfahrungen und Wahrnehmungen geleitet wird, empfiehlt es sich in der Praxis ein gutes Team für die Risikoerfassung und Bewertung zusammenzustellen, eine einzelne Person damit zu befassen ist selten ausreichend. In der Ermittlung eines einheitlichen Verfahrens zur Identifikation und Bewertung von Risiken sollte Wert auf eine plausible, vollständige und qualitative Dokumentation dieser gelegt werden.

Im Aufstellen eines Verfahrens zur Risikoermittlung gilt es mehrere notwendige Schritte zu befolgen, angefangen mit dem Festlegen eines Vorgehens. Hier wird eine Methodik ausgewählt, mittels derer Risiken identifiziert werden sollen. Anschließend sollte das bereits angesprochene Team zusammengestellt werden, das mit der Aufgabe befasst wird. Sodann müssen die Schutzziele definiert werden, die einem Risiko ausgesetzt sein können. Außerdem sind Schutzadressaten und Angreifer-Typen festzulegen. Zudem muss entschieden werden, welchen Detailgrad die Risikoanalyse haben soll. Dies hängt vor allem davon ab, worauf die Analyse abzielt. Sollen technische und organisatorische Maßnahmen für das ganze Unternehmen festgelegt werden, kann ein weiter Blick empfehlenswert sein. Geht es um dezidierte Unternehmensbereiche, ist ein detaillierterer Blick notwendig. Sodann ist zu entscheiden, ob Risiken mittels User Stories oder Data-flows aufgezeichnet werden sollen, d.h. sollen Risiken szenario- oder prozessbasiert identifiziert werden.

Schadenshöhe, Eintrittswahrscheinlichkeit und Risikomatrix

Um die Höhe eines Risikos zu bemessen, werden Schadenshöhe (Schwere des Schadens/der negativen Konsequenzen für ein Unternehmen) und Eintrittswahrscheinlichkeit miteinander multipliziert. Dafür werden beide Faktoren in unterschiedliche Grade aufgeteilt, denen der vorliegende Sachverhalt zugeordnet werden kann. Das Ergebnis lässt sich dadurch in einer Matrix zur nachvollziehbaren Risikobewertung darstellen. Bei einer Aufteilung von Eintrittswahrscheinlichkeit und Schadenshöhe in vier Stufen ließen sich diese beispielsweise als geringfügig, überschaubar, substanziell und groß bezeichnen. Das daraus resultierende Risiko ließe sich dann in einer vierstufigen Skala z.B. den Werten „niedrig, mittel, hoch, sehr hoch“ zuordnen. Aus dem Ergebnis dieser Risikobewertung lassen sich dann die vorzunehmenden technischen und organisatorischen Maßnahmen schließen.


Das könnte Sie auch interessieren:


Ableitung wirksamer Maßnahmen – effiziente TOM zur Risikoverringerung

Grundsätzlich sollte es die erste Wahl sein, einem erkannten Risiko mit effizienten technischen und organisatorischen Maßnahmen zu begegnen. Alternativen wären die Risikoauslagerung, -vermeidung oder -akzeptanz. Die Risikomitigierung durch TOM stellt jedoch den häufigsten und nachhaltigsten Weg des Umgangs mit Risiken dar. Dabei sollten sich die gewählten Maßnahmen stets an verbreiteten Standards orientieren, so z.B. an verschiedenen ISO-Normen (z.B. ISO 27001) oder an einem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) dafür herausgegebenen Kompendium. Die gewählten Maßnahmen sollten sodann in einem PlanDoCheckAct-Zyklus (PDCA-Zyklus) umgesetzt werden.

Zunächst ist zu prüfen, welche TOM bereits realisiert wurden. Hier kann es sich um organisatorische sowie technische Maßnahmen, Schulungen oder weitere Maßnahmen handeln. Zu den organisatorischen Maßnahmen zählt das Bestimmen von Zuständigkeiten, das Aufstellen von Leitlinien zu Datenschutz oder Informationssicherheit sowie die Erarbeitung von Richtlinien, etwa zu einem Back-up- oder Berechtigungskonzept. Im Rahmen der technischen Maßnahmen sollte in erster Linie geprüft werden, inwieweit bereits implementierte Maßnahmen auch dokumentiert wurden bzw. noch dokumentiert werden müssen. In Form von Schulungen lassen sich Mitarbeitende regelmäßig zu Datenschutzrisiken fortbilden, schon dadurch können Datenschutzrisiken erheblich minimiert werden. Hier sind ein Schulungskonzept und eine Messung des Schulungserfolges wichtig. Weitere Maßnahmen umfassen beispielsweise die Dokumentation von Geschäftsprozessen und das Aufstellen von Datenfluss Diagrammen, die geeignete Maßnahmen indizieren können.

Daraufhin setzt die Umsetzung des PDCA-Zyklus ein. In der Planungsphase werden dokumentierte Risiken ausgewertet, Kosten geschätzt, Ziele formuliert und ein Umsetzungsplan für Maßnahmen erstellt. In der Do-Phase sind die Verantwortlichkeiten zu prüfen, Prioritäten zu regeln und die gewählten Maßnahmen zu implementieren. In der darauffolgenden Check-Phase werden die laufend zu überwachenden Maßnahmen auf ihre Wirksamkeit geprüft. In der letzten, der Act-Phase, werden die gewählten Maßnahmen optimiert und Mängel beseitigt. Gegebenenfalls werden Richtlinien angepasst oder neue erstellt. Sofern noch vorhanden, können Restrisiken, wenn sinnvoll, akzeptiert und die anfangs formulierten Ziele aktualisiert werden.

TOM mit ISiCO und dem Risikomanagement-Tool von caralegal

Gerne stehen die Datenschutz-Expert:innen von ISiCO bei der datenschutzrechtlichen Risikoanalyse und der Umsetzung eines Maßnahmenkatalogs sowie bei der Implementierung von IT-Sicherheits- und Datenschutzkonzepten in Unternehmen zur Seite. Erfahrene Expert:innen aus dem interdisziplinären Team von ISiCO unterstützen Unternehmen vor Ort und eruieren sämtliche Informationen, die erforderlich sind, um eine Datenschutzorganisation zu etablieren oder bereits bestehende zu optimieren. Zudem prüfen unsere Kolleg:innen einzelfallbasiert und unter Berücksichtigung betrieblicher Situationen bereits vorhandene TOM und geben Empfehlungen für die Auswahl der jeweils angemessenen Maßnahmen. Dies umfasst die Betreuung während des gesamten Maßnahmen-Zyklus.

Zudem steht mit dem Datenschutz- und Risikomanagement-Tool von ISiCO-Partner caralegal eine leistungsstarke Software zur Verfügung, die Unternehmen im Umgang mit Datenschutzrisiken effizient behilflich ist. Das Tool ermöglicht es, Risiken in der Datenverarbeitung entweder allgemein oder verarbeitungsspezifisch aufzunehmen. Nachdem ein Risiko individuell angelegt und beschrieben wurde, kann die Software auf Basis der bereits getroffenen Maßnahmen eine dezidierte Risikobewertung abgeben. Hierfür wird sich unter anderem der bereits besprochenen Risiko-Matrizen bedient. In einem nächsten Schritt lassen sich zukünftig noch zu ergreifende Maßnahmen der Risikobehandlung angeben. Anhand dessen wird das nun noch vorhandene Risiko auf Basis von Eintrittswahrscheinlichkeit und Schadenshöhe automatisiert ermittelt. Damit kann das Tool wirksam bei der Mitigierung von Risiken durch die Auswahl effizienter TOM unterstützen.

Mehr zum Thema

  • Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

    In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.

    Weiterlesen

  • Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download

    Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.

    Weiterlesen

  • Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling

    In Zeiten zunehmender Cyberbedrohungen können Unternehmen durch die Mitigation von Datenschutzrisiken nicht nur sich selbst und ihre Beschäftigten vor Bedrohungen bewahren, sondern vor allem auch den Schutz ihrer Kund:innen effektiver gewährleisten. Ein Schlüsselelement der Risikoanalyse ist das sogenannte Threat Modeling. Wir erläutern, was Threat Modeling beinhaltet und wie es speziell in der Datenschutzberatung eingesetzt wird.

    Weiterlesen

Datenschutz im Gesundheitswesen stellt Krankenhäuser, Arztpraxen und medizinische Versorgungszentren regelmäßig vor besondere Herausforderungen. Der Grund dafür: die besonders sensiblen Daten. Patient:innen oder auch Studienteilnehmer:innen offenbaren neben herkömmlichen personenbezogenen Daten wie Adresse oder Name meist sehr sensible Krankheitsdetails, die die Patient:innen grundsätzlich vor Kenntnisnahme durch unbefugte Dritte besonders geschützt wissen wollen. Für den Schutz dieser Daten sieht die Datenschutz-Grundverordnung (DSGVO) daher besonders hohe Anforderungen vor. Umso wichtiger ist es, dass medizinische Einrichtungen über ein umfassendes und besonders effektives Datenschutzmanagement verfügen, um den Datenschutzanforderungen im Gesundheitssektor gerecht werden zu können. Dies gilt insbesondere im Hinblick auf den Schutz vor Cyberangriffen. Cyberattacken auf Krankenhäuser sind besonders heikel, da bei einem Ausfall auf informationstechnische Strukturen unter Umständen lebensnotwendige Erhaltungsmaßnahmen verwehrt sind. In diesem Beitrag möchten wir einen kurzen Überblick darüber geben, worauf es bei einem erfolgreichen und DSGVO-konformen Datenschutzmanagement im Gesundheitswesen ankommt.

Was sind Gesundheitsdaten?

Dreh- und Angelpunkt für ein Datenschutzmanagement im Gesundheitswesen sind Gesundheitsdaten. Für diesen Begriff enthält die DSGVO eine Definition in Art. 4 Nr. 15 DSGVO. Dort heißt es: „Im Sinne dieser Verordnung bezeichnet der Ausdruck ‚Gesundheitsdaten‘ personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über den Gesundheitszustand hervorgehen“.

Demnach fallen unter Gesundheitsdaten unter anderem beispielsweise Informationen über Diagnosen, die Medikation von Patient:innen und Ergebnisse von Laboruntersuchungen.

Verarbeitung von Gesundheitsdaten

Gesundheitsdaten dürfen grundsätzlich nicht verarbeitet werden, wie Art. 9 Abs. 1 DSGVO bestimmt. Es gilt ein generelles Verarbeitungsverbot von sensiblen Daten, worunter auch Gesundheitsdaten fallen. Hintergrund dafür ist der hohe Schutzbedarf dieser Daten. In diesem Zusammenhang ist Erwägungsgrund 51 zu sehen. Demzufolge verdienen besonders sensible Daten einen besonderen Schutz, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für Grundrechte und Grundfreiheiten auftreten können. Die Erwägungsgründe haben für die Auslegung der DSGVO eine zentrale Bedeutung.

Für den Gesundheitssektor von besonders großer praktischer Bedeutung sind die in Art. 9 Abs. 2 lit. h und i DSGVO geregelten Ausnahmen vom Verarbeitungsverbot. Verarbeitungen sind danach im Rahmen des Erforderlichen zum Zwecke der medizinischen Diagnostik und der Versorgung oder Behandlung im Gesundheitsbereich und für die Verwaltung von Systemen und Diensten im Gesundheitsbereich sowie aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gestattet.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Erarbeitung eines Datenschutzmanagements basierend auf den besonderen Anforderungen des Gesundheitsdatenschutzes

Ein Datenschutzmanagement dient dazu, die gesetzlichen Anforderungen des Datenschutzes strukturiert und systematisch zu organisieren, umzusetzen und zu optimieren. Da die Anforderungen an den Datenschutz im Gesundheitssektor wegen des gesteigerten Schutzbedarfes der Gesundheitsdaten erhöht sind, stellen sich im Gesundheitsbereich besondere Herausforderungen an ein gelungenes Datenschutzmanagement.

Besondere Anforderungen im Gesundheitsbereich

Ganz generell muss jedes Datenschutzmanagement die datenschutzrechtlichen Grundprinzipien (insbesondere gemäß Art. 5 und 25 DSGVO) erfüllen. Demnach muss jede Datenverarbeitung insbesondere einen legitimen Zweck verfolgen und transparent ausgestaltet sein.

Neben den sonstigen allgemeinen Prinzipien wie der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO ergeben sich noch einige Besonderheiten an den Datenschutz im Gesundheitswesen. Beispielsweise müssen im Gesundheitssektor erhöhte Anforderungen an die Sicherheit der Verarbeitung durch geeignete technische und organisatorische Maßnahmen (sogenannte TOM) gem. Art. 32 DSGVO beachtet werden. Im Hinblick auf die Ausgestaltung des Zugriffsrechte- und -rollenkonzepts für Krankenhausinformationssysteme (KIS) ist insbesondere die Orientierungshilfe Krankenhausinformationssysteme der Datenschutzbehörden zu beachten. Die Anforderungen an TOM im Gesundheitsbereich werden im Übrigen darüber hinaus durch explizite spezialgesetzliche Regelungen konkretisiert. Darunter fallen unter anderem besondere Regeln zur Informationssicherheit nach § 75b SGB V (Sozialgesetzbuch fünftes Buch). Mehr Informationen zu den neuen IT-Sicherheitsanforderungen im Gesundheitswesen finden Sie hier auf unserem Blog. In diesem Zusammenhang steht die Richtlinie zur IT-Sicherheit in der vertragsärztlichen und vertragspsychotherapeutischen Versorgung. Außerdem stellen branchenspezifische Sicherheitsstandards an Krankenhäuser weitere explizite Anforderungen an einen umfassenden Datenschutz. Zudem sind etwa auch im Bereich der klinischen Forschung weitere Anforderungen an die zu implementierenden TOM aus den verschiedenen GxP-Richtlinien zu brachten.

Je nach Vorhaben im Gesundheitssektor kann auch die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) von Bedeutung für das Datenschutzmanagement sein. Diese hat aber in erster Linie nur Bedeutung für digitale Gesundheitsanwendungen, also die sog. „App auf Rezept“, und weniger für medizinische Einrichtungen wie Krankenhäuser.

Erfüllen Sie mühelos die strengen Datenschutzanforderungen im Gesundheitswesen.

Die Datenschutz-Folgenabschätzung (DSFA) – ein Muss?

Zur Erstellung eines angemessenen Datenschutzmanagements müssen in bestimmten Fällen DSFA durchgeführt werden. Eine DSFA besteht in der Regel aus einer Vorprüfung, mit der ermittelt wird, ob eine DSFA überhaupt notwendig ist. Dies ist immer dann der Fall, wenn eine Verarbeitungstätigkeit voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Werden sensible Gesundheitsdaten aus Art. 9 Abs. 1 DSGVO für eine umfangreiche Verarbeitung genutzt, wird die Durchführung einer DSFA regelmäßig erforderlich sein (vgl. Art. 35 Abs. 3 lit. b DSGVO). Insbesondere im Gesundheitsbereich wird daher im Hinblick auf die Verarbeitung von Patientendaten gewöhnlich eine DSFA durchzuführen sein, da die Verarbeitung von Gesundheitsdaten typischerweise in umfangreichem Maße erfolgt. Pauschal kann dies allerdings nicht beurteilt werden, vielmehr muss die Erforderlichkeit einer DSFA letzten Endes immer konkret anhand des jeweiligen Einzelfalles geprüft und das Ergebnis dieser Prüfung dokumentiert werden. Auch nach der Positivliste der Datenschutz-Aufsichtsbehörden, die eine Anleitung nach Kriterien und Fallgruppen dazu gibt, wann eine DSFA durchzuführen ist, wird als Indiz für die Erforderlichkeit einer DSFA die umfangreiche Verarbeitung von Gesundheitsdaten genannt – also zum Beispiel bei der Erfassung und Verarbeitung von Gesundheitsdaten durch Sensoren beim Patienten, etwa über Blutzuckermessgeräte oder Sauerstoffmasken (vgl. Nr. 16 der Liste) oder bei Telemedizin-Lösungen wie etwa Videosprechstunden.

Das Kernstück der DSFA bildet dann die Risikobewertung, mit dem Ziel einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge. Das jeweilige Risiko ist nach den Faktoren „Eintrittswahrscheinlichkeit“ und „mögliche Folgen für die betroffene Person“ zu bewerten. Dies kann je nach geplanter Verarbeitung der Gesundheitsdaten sehr unterschiedlich ausfallen. Während die Verarbeitung von Informationen zu Arztterminen wohl geringere datenschutzrechtliche Risiken für die betroffenen Patienten in sich trägt, kann die Verarbeitung eines Röntgenbildes bereits besonders sensible Schlussfolgerungen im Hinblick auf die gesundheitliche Situation des betroffenen Patienten zulassen und damit höhere datenschutzrechtliche Risiken mit sich bringen. Hier ist daher immer auf die konkrete Form der Verarbeitung zu achten und diese zu bewerten.

Nach der Identifizierung und Bewertung von Risiken können dann geeignete TOM bestimmt und implementiert werden, um das datenschutzrechtliche Risiko, das sich aus den Verarbeitungstätigkeiten ergibt, einzudämmen. Hier gelten dann die bereits erwähnten erhöhten Anforderungen an TOM aus den spezifischen Regelungen des Gesundheitssektors. In wenigen Ausnahmefällen soll auch das Feedback der betroffenen Person eingeholt werden, wobei im Gesundheitsbereich beispielsweise an Patientenvertretungen zu denken ist.

Sofern eine DSFA durchgeführt werden muss, sollte hiermit so früh wie möglich in der Phase der Planung und Etablierung neuer Datenverarbeitungsprozesse begonnen werden. Denn so kann die DSFA auch für das Management ein hilfreiches und Effizienz förderndes Tool zur Sicherstellung der Compliance sein, weil sie hilft, bereits in der Entwicklungsphase Datenschutz-Risiken zu identifizieren und so weit wie möglich zu vermeiden bzw. zu reduzieren.


Das könnte Sie auch interessieren:


Verzeichnis von Verarbeitungstätigkeiten (VVT) – Wie ein VVT (nicht) funktioniert

Eine Pflicht aus der DSGVO, die Krankenhäuser und Unternehmen im Gesundheitsbereich auch zur Entwicklung eines Datenschutzmanagements nutzen sollten, ist die Erstellung und laufende Pflege eines VVT (vgl. Art. 30 DSGVO). Im VVT sollen sämtliche Verarbeitungstätigkeiten aufgeführt werden und gewisse Angaben über sie enthalten. Es kann daher als zentrales Referenzdokument verstanden werden und dient der Transparenz nach innen und der Nachprüfbarkeit nach außen von Datenverarbeitungen. Es ist sinnvoll im VVT bereits über die gesetzlichen Angaben hinaus Informationen aufzunehmen, sodass eine Art Dashboard für alle Fragen im Zusammenhang mit dem Datenschutz und der Informationssicherheit entsteht. Daher kann es sinnvoll sein, neben den Angaben aus Art. 30 Abs. 1 Satz 2 lit. a-g DSGVO, also

  • Name und Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten,
  • die Zwecke der Verarbeitung,
  • die Beschreibung und Kategorisierung betroffener Personen und der personenbezogenen Daten,
  • die Kategorien von Empfängern der Daten,
  • gegebenenfalls die Übermittlungen der Daten in ein Drittland,
  • wenn möglich, die vorgesehene Frist für die Löschung der verschiedenen Datenkategorien und eine allgemeine Beschreibung der TOM,

unter anderem folgende Aspekte im VVT mit aufzunehmen, und zwar

  • die Rechtsgrundlagen,
  • das Ergebnis der Schwellwertanalyse zur DSFA, ob eine solche erforderlich ist,
  • die Prozessdokumentation, sowie
  • die Quantifizierung von Verarbeitungstätigkeiten.

Dabei stellen sich jedoch zunächst zwei zentrale Herausforderungen beim Erstellen eines VVT:

  1. Die Identifikation der Verarbeitungstätigkeiten und
  2. Die Pflege und Aktualisierung des VVT.

1. Die Identifikation der Verarbeitungstätigkeiten

Hinsichtlich der Identifikation der Verarbeitungstätigkeit ist bereits die Begriffsbestimmung schwierig. Die DSGVO erläutert zwar den Begriff der Verarbeitung unter Nennung einiger Beispiele wie das Erheben, die Organisation, die Speicherung oder die Verwendung von personenbezogenen Daten. Was unter Tätigkeit in diesem Zusammenhang zu verstehen ist, lässt das Gesetz hingegen offen. Daher wird die Vorschrift zum VVT häufig falsch interpretiert. Zwar ist es richtig, dass Softwaretools zur Identifikation von Verarbeitungstätigkeiten (so zum Beispiel ein Krankenhausinformationssystem) verwendet werden können, jedoch stellen sie selbst nicht die Verarbeitungstätigkeit dar, sondern führen sie unter Umständen nur durch.

Ein weiteres Problem ergibt sich bei der Schwerpunktsetzung und der Anzahl der Verarbeitungstätigkeiten. Gerade in Krankenhäusern, die strukturell vielschichtig aufgebaut sind und neben der medizinischen Behandlung und Pflege von Patient:innen auch eine Verwaltung benötigen, wie etwa eine Personalabteilung, können Verarbeitungstätigkeiten zum Teil schwierig zu bestimmen sein. Für ein Krankenhaus beispielsweise sollte jedoch der Schwerpunkt eines VVT bei der Behandlungs- und Pflegetätigkeit liegen.

Um sich der Problematik der Identifikation der Verarbeitungstätigkeiten, deren Anzahl und deren Schwerpunkt zu stellen, empfiehlt es sich, diesen Gesichtspunkten zumindest anzunähern.

Das heißt, es kann hilfreich sein, zunächst eine ungefähre Zahl von Verarbeitungstätigkeiten pro Abteilung bzw. pro Station festzulegen. In einem Krankenhaus kann eine Zahl ab 100 Datenverarbeitungstätigkeiten realistisch sein.

Zur Ermittlung, ob eine oder mehrere Verarbeitungstätigkeiten vorliegen, können ebenfalls verschiedene Kriterien herangezogen werden. Je mehr der folgenden Kriterien auf mehrere Verarbeitungsschritte zutreffen, desto eher ist von einer einheitlichen Verarbeitungstätigkeit auszugehen. Zu fragen ist daher, ob die jeweiligen Verarbeitungsschritte

  • die gleichen technischen Mittel (z.B. Softwarefunktion, Tool, etc.) nutzen,
  • dieselben Kategorien von Betroffenen betreffen,
  • aufgrund einer gemeinsamen Rechtfertigung erfolgen,
  • im Verantwortungsbereich derselben internen Abteilung liegen,
  • dieselben Kategorien von Empfängern betreffen, und
  • Daten aus derselben Quelle verarbeiten.

Um keine Doppelungen oder Missverständnisse im VVT entstehen zu lassen, ist es sinnvoll eine allgemeine sprachliche Form zur Beschreibung der Verarbeitungstätigkeiten zu wählen. Wenn eine gewisse Datenverarbeitung benannt ist, sollte diese mit einfachen Worten beschrieben werden, sodass auch fachfremde Abteilungen, soweit diese Zugriff haben, den Input nachvollziehen können. Bei der Erstellung des VVT zu den einzelnen Verarbeitungstätigkeiten können sich medizinische Versorgungszentren, Arztpraxen etc. auch an anerkannten Standards orientieren. Dabei kann beispielsweise die ISO 9001 eine Hilfestellung leisten. Für Medizinprodukte wiederum kann ISO 13485:2016 zur Orientierung herangezogen werden.

Daraus ergeben sich folgende Empfehlungen für die Dokumentation von Verarbeitungstätigkeiten in Form eines VVT:

  • Benennen Sie die Verarbeitungstätigkeit so konkret wie möglich.
  • Stellen die den Zweck der Verarbeitungstätigkeit klar.
  • Beschreiben Sie, welche konkreten Tätigkeiten von der Verarbeitung umfasst sein sollen.
  • Legen Sie die zuständige Organisationseinheit fest.
  • Notieren Sie verwendete Mittel einer digitalen Datenverarbeitung.
  • Grenzen Sie die aufgenommene Tätigkeit zu anderen Verarbeitungstätigkeiten ab.

Wenn sich abzeichnet, wie viele und welche Verarbeitungstätigkeiten vorliegen, kann aufgrund dessen eine nicht zu vollgepackte, aber vollständige Liste an Verarbeitungstätigkeiten und damit ein sinnvolles VVT entwickelt werden.

2. Die Pflege und Aktualisierung des VVT

Ein VVT zu unterhalten ist ein Prozess und keine einmalige Angelegenheit. Um auch hinsichtlich der Pflege und Aktualisierung des VVT Herr der Situation zu bleiben, ist es sinnvoll keine statische Dokumentation anzustellen, sondern eine spezielle Datenschutzmanagement-Software zu verwenden, die eine abteilungsübergreifende Zusammenarbeit erlaubt. Dadurch können einzelnen Fachbereichen im Krankenhaus Zugriff auf diejenigen Bereiche im dynamischen VVT gewährt werden, wo diese jeweils sinnvollen Input geben können. Mit einem entsprechenden Rollen- und Rechtekonzept, welches den Zugriff gewisser Standardnutzer für diejenigen Fachbereiche, bei welchen man sinnvollerweise, einen Beitrag leisten kann, ermöglicht, kann das VVT auf dem Laufenden gehalten werden.

Prozess zur Wahrnehmung von Betroffenenrechte

In einem Datenschutzmanagement sollte auch immer ein Prozess zur Wahrnehmung der Betroffenenrechte (Art. 12 ff. DSGVO) enthalten sein. Betroffene haben unter anderem ein Auskunfts- und Widerspruchsrecht, sowie ein Recht auf Löschung. Einen Überblick über die Betroffenenrechte finden Sie hier auf unserem Blog. Im Falle eines Behandlungsvertrages ist darüber hinaus die Vorschrift des § 630g Bürgerliches Gesetzbuch (BGB) zu beachten.

Aufgrund der Besonderheiten des Arbeitsalltags im Gesundheitsbereich kommt es dort häufiger vor, dass datenschutzrechtliche Anliegen von Betroffenen nicht richtig oder nicht zügig genug als solche wahrgenommen und bearbeitet werden. Deswegen sollte es klare Regelungen und eine gute Schulung der Mitarbeiter dazu geben, dass und in welcher Form solche Anliegen der Betroffenen aufgenommen, intern weitergeleitet und bearbeitet werden. Auch für die internen Zuständigkeiten zur Bearbeitung solcher Anliegen wie auch für die Kontrolle der Einhaltung der Antwortfristen sollte es intern klare und gegenüber allen Mitarbeitern kommunizierte Regelungen geben.

Auch bei Löschungsersuchen (vgl. Art. 17 DSGVO) von Betroffenen gelten im Gesundheitswesen Besonderheiten. Grundsätzlich sind Verantwortliche verpflichtet, eine Löschung unverzüglich durchzuführen. Das Recht auf Löschung aus der DSGVO wird jedoch eingeschränkt, soweit Aufbewahrungspflichten entgegenstehen (vgl. Art. 17 Abs. 3 lit. b DSGVO). Gerade im Gesundheitsbereich ist hier eine Vielzahl unterschiedlicher bereichsspezifischer Aufbewahrungspflichten für unterschiedliche Daten zu beachten. So kommt Krankenhäusern gem. § 630f BGB eine Pflicht zur eigenen medizinischen Dokumentation zu. Daher gelten Sonderfristen für die Aufbewahrung von Patientendaten, wie zum Beispiel die in § 630f Abs. 3 BGB geregelte Mindestfrist von 10 Jahren für die Aufbewahrung von Patientendaten nach Abschluss der Behandlung. Für bestimmte Daten, wie etwa Aufzeichnungen über Röntgenbehandlungen, gilt sogar eine Frist von mindestens 30 Jahren. Aufgrund der Vielzahl dieser detaillierten Regelungen ist im Gesundheitsbereich auch besondere Sorgfalt bei der Erstellung von Aufbewahrungs- und Löschkonzepten geboten, die unbedingt in Abstimmung mit dem Datenschutzbeauftragten dokumentiert und implementiert werden sollten.

Management von Datenschutzvorfällen

Häufigster Fall von Datenschutzvorfällen im Gesundheitswesen ist das Versenden von Patientendaten an den falschen Empfänger oder Auskünfte an unautorisierte Personen. Der Grund hierfür liegt meistens in einer mangelnden Sorgfalt oder fehlenden Patienten-Einwilligungen. Auch unzureichende TOM und dadurch mögliche unberechtigte Zugriffe oder fehlende Kontrolle über Zugriffe können schwerwiegende Folgen mit sich bringen. Krankenhäuser ohne Berechtigungskonzepte oder mit fehlerhaften Zugriffsrechtekonzepten riskieren ebenfalls Zugriffe Unbefugter auf sensible Daten, die als Datenschutzvorfälle zu werten sind. Da im Gesundheitsbereich häufig besonders sensible Patientendaten von Datenschutzvorfällen betroffen sind, sind diese aufgrund des hohen Risikos für die betroffenen Patienten in der Regel sowohl gegenüber der Datenschutzbehörde als auch gegenüber den im Einzelfall betroffenen Patienten zu melden (vgl. Art. 33 ff. DSGVO).Ein meldepflichtiger Datenschutzvorfall kann im Gesundheitsbereich im Übrigen gerade auch bei einer Beeinträchtigung der Verfügbarkeit von personenbezogenen Daten vorliegen, etwa wenn kritische medizinische Patientendaten aufgrund eines Cyberangriffes nicht oder auch nur nicht rechtzeitig verfügbar sind und deswegen erforderliche (Not-)Operationen nicht durchgeführt werden können.

Sollte es zu einem meldepflichtigen Datenschutzvorfall kommen, muss dieser innerhalb der 72 Stunden-Frist an die zuständige Datenschutzbehörde gemeldet werden. Andernfalls drohen Sanktionen seitens der Aufsichtsbehörde.

Umso wichtiger ist es, Datenschutzvorfällen vorzubeugen. Dies gelingt insbesondere durch die Implementierung angemessener TOM und einer intensiven Schulung der Mitarbeiter. Letzteres ist gerade im Gesundheitssektor wichtig, da hier aufgrund der Besonderheiten des Arbeitsalltags die Sorgfalt im Umgang mit den Daten von Patienten mitunter auch etwas zu kurz kommen kann.

Näheres zu Meldepflichten bei Datenschutzvorfällen finden Sie hier auf unserem Blog.

Fazit

Ein umfassendes Datenschutzmanagement ist im Gesundheitswesen ein Muss. Gerade beim Umgang mit sensiblen Patienten- bzw. Gesundheitsdaten ist ein Managementsystem, das die Anforderungen an die DSGVO erfüllt, von besonderer Bedeutung. Mit einem ausgefeilten Datenschutzmanagement erleichtern sich Krankenhäuser und sonstige medizinische Einrichtungen die Einhaltung der DSGVO und können den Fokus auf die Behandlungs- und Pflegeleistungen legen – nämlich darauf, worauf es im Krankenhaus gerade ankommt.

Möchten Sie für Ihr Datenschutzmanagement beraten werden oder brauchen Sie Unterstützung bei der Entwicklung eines Datenschutzmanagements, kontaktieren Sie uns gerne! Unsere Expert:innen stehen Ihnen gerne während des Entwicklungsprozesses und für alle Fragen zum Datenschutz zur Verfügung.

Mehr zum Thema

  • Die wichtigsten Fragen zu Datenübermittlung an US-Dienste: Was bedeutet der neue EU-US Datenschutzrahmen für Unternehmen?

    Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss nach Artikel 45 Abs. 3 der DSGVO für die USA erlassen: Das „EU-US Data Privacy Framework“ (EU-US-Datenschutzrahmen). Damit stellt die Kommission nach dem vom EuGH im Juli 2020 gekippten Privacy Shield erneut fest, dass die USA ein angemessenes Schutzniveau für aus der EU übermittelte personenbezogene Daten gewährleisten können.

    Weiterlesen

  • Joint Controller Agreement: Vorteile und Herausforderungen der gemeinsamen Verantwortlichkeit

    Die Vereinbarung über die gemeinsame Verantwortlichkeit („Joint Controller Agreement“ oder auch kurz „JCA“ genannt) erscheint vielen Verantwortlichen in der Praxis noch immer als kompliziert und umständlich. Doch zu Unrecht: Mit der sorgfältigen Ausgestaltung des Agreements können verantwortliche Unternehmen von vielen Vorteilen profitieren, Effizienzgewinne durch vorausschauende Prozessgestaltung erzielen und ein entsprechendes effektives Risikomanagement betreiben.

    Weiterlesen

  • Anonymisierung Pseudonymisierung

    Anonymisierung und Pseudonymisierung in der Praxis

    Wie der vermeintliche Widerspruch zwischen Datenschutz durch Pseudonymisierung und dem Nutzen personenbezogener Daten in der wissenschaftlichen Praxis bearbeitet werden kann, beleuchten wir in diesem Beitrag. Außerdem werfen wir einen Blick auf die besonderen Herausforderungen, denen Akteur:innen des Gesundheitswesens bei diesem Thema begegnen.

    Weiterlesen

Mit der Digitalisierung hat die Zukunft in Unternehmen Einzug gehalten – sei es durch nahezu grenzenlose Vernetzung oder durch mobiles Arbeiten. Zukunftsorientierte Unternehmen sind jedoch durch die Nutzung der stets neuesten Informationstechnologie auch in eine Art Abhängigkeitsverhältnis zu Technik getreten. Mit der Verlagerung jeglicher Arbeitsschritte von der analogen in die digitale Welt bieten Unternehmen Hackern immer mehr Angriffsfläche für Cyberangriffe. Hinzutritt der Risikofaktor Mensch, der durch kleine Nachlässigkeiten an sich geschützte Infrastrukturen gefährden kann, sei es durch die Verwendung unsicherer Passwörter, das Öffnen einer E-Mail mit infiziertem Anhang oder Link oder das (versehentliche) Preisgeben von Informationen. Zunehmend komplexere Attacken erfordern immer professionellere Technologien, um die ausgefeilten Angriffe der Cyberkriminellen abzuwehren. Laut einer Studie stellt sich weniger die Frage, „ob“ ein Unternehmen von einem Cyberangriff betroffen sein wird, sondern vielmehr die Frage nach dem „wann und wie“ eine Attacke gegen das eigene Unternehmen stattfinden wird und wie schwerwiegend die Auswirkungen sein können. Ein gutes Risikomanagement, starke technische und organisatorische Maßnahmen und eine geschickte Strategie sind für Cybersicherheit im Unternehmen daher umso wichtiger!

Arten von Cyberangriffen

Ein Cyberangriff ist ein böswilliger Versuch, IT-Systeme zu beeinträchtigen. Mit einem gezielten Angriff auf eine bestimmte informationstechnische Struktur versuchen Hacker oder kriminelle Organisationen Schadprogramme in IT-Systeme einzuschleusen, um so einen Schaden zu verursachen. Einige Angriffe sind politisch motiviert, jedoch steht auch der monetäre Faktor beim Abgreifen von Daten oft im Fokus. Der Verkauf von gestohlenen Daten oder die Erpressung von Lösegeldern kann durchaus lukrativ sein.

Cyberangriffe sind vielfältig und werden immer ausgeklügelter. Die meisten Angriffe sind hoch entwickelt, sodass Rückverfolgungsmöglichkeiten stark erschwert sind.

Zu den prominentesten Mitteln und Methoden für Cyberangriffe gehören unter anderem:

  • Spam-Mails
  • Schadsoftware (Mal- oder Junkware)
  • Drive-by-Exploits
  • Brute-Force-Angriffe
  • DDoS-Attacken
  • Phishing-Mails
  • Ransomware

Welche Bedrohungen bringen Cyberangriffe mit sich?

Ziel der meisten Cyberangriffe ist es Daten abzugreifen, wobei insbesondere personenbezogene Daten besonderen wirtschaftlichen Wert haben, wie datengetriebene Geschäftsmodelle beweisen. Außerdem können durch Cyberangriffe Daten, die für den Arbeitserfolg eines Unternehmens notwendig sind, verschlüsselt werden. Eine Freigabe der Daten erfolgt dabei in der Regel erst nach Zahlung eines beträchtlichen Lösegeldes. Dies birgt enorme wirtschaftliche Beeinträchtigungen sowie Reputationsschäden für Unternehmen, sollte der Angriff der Öffentlichkeit bekannt werden. Damit einher geht auch häufig die Schädigung der unternehmensinternen Dateninfrastruktur, welches als Fundament eines digitalen Unternehmens Betriebsstörungen oder gar die Arbeitsunfähigkeit zur Folge haben kann. Auch der Missbrauch von Daten ist eine große Gefahr für betroffene Unternehmen.

Cyberangriffe dienen darüber hinaus auch dem Ausspionieren von Unternehmen, um so wirtschaftliche Vorteile durch Kenntnisse über die Unternehmensstrategie oder ähnliches zu erlangen.

Eine weitere Cyberangriffen innewohnende Bedrohung ist die Manipulation von Kommunikationskanälen. Beispielsweise können sich Hacker bei einem „Man-In-The-Middle-Angriff“ unbemerkt in die Kommunikation mehrerer Partner einschleichen, um Informationen mitzulesen oder sie vor dem Weitersenden an den eigentlichen Empfänger inhaltlich manipulieren.

Zu beachten gilt, dass bei einem solchen Angriff rechtliche Pflichten ausgelöst werden. Insbesondere wenn personenbezogene Daten betroffen sind, müssen die Regelungen der Datenschutz-Grundverordnung (DSGVO) beachtet werden. Unternehmen, die personenbezogene Daten verarbeiten sind verpflichtet die angemessene Sicherheit der personenbezogenen Daten zu gewährleisten und Datenschutzvorfälle zu melden. Die Integrität und Vertraulichkeit schließt dabei unter anderem den Schutz vor unbeabsichtigtem Verlust und Schädigung sowie unbefugter Verarbeitung ein (vgl. Art. 5 Abs. 1 lit. f DSGVO).

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Was zu tun ist, wenn es zum Cyberangriff kam

Interne Stellen informieren: Kommt es zu einem Cyberangriff, ist es sinnvoll sofort die internen Stellen wie zum Beispiel die Informations- und IT-Sicherheitsverantwortlichen zu kontaktieren. Außerdem sollte der Datenschutzbeauftragte, die IT-Abteilung und die Geschäftsführung von dem Angriff unterrichtet werden. Diese können dann anhand eines Incident Response Plan unverzüglich auf den Angriff reagieren.

Krisenstab: Gerade in Situationen, in denen schnell und besonnen gehandelt werden muss, ist es sinnvoll, dies über einen extra dafür eingerichteten Krisenstab laufen zu lassen, um so ein internes Maßnahmen-Chaos zu vermeiden und einheitlich gegen den Angriff vorzugehen. Am Krisenstab sollten unbedingt die benannten internen Stellen beteiligt sein, sowie die Abteilung, in welcher es zum Angriff kam.

Sammlung von Informationen: Um einen bereits begonnenen Angriff zu unterbinden, sowie um künftige Attacken präventiv ausschließen zu können, ist es vernünftig gewisse Informationen über den Angriff zu sammeln. Dazu gehört unter anderem die Untersuchung, wie der Angriff aufgefallen ist, welche Auswirkungen der Angriff auf die Kerndienstleistung des Unternehmens haben kann, warum der Angriff geschehen ist und welche Auswirkungen auf Dritte wie Kunden oder Geschäftspartner zu erwarten sind.

Meldepflichten: Im Weiteren müssen unter Umständen Meldungen an die zuständige Datenschutzaufsichtsbehörde und die vom Angriff betroffenen Personen getätigt werden. Liegen bestimmte Voraussetzungen vor, trifft Unternehmen diese Pflicht aus der DSGVO.

Je nach Vorfall kann es auch empfehlenswert sein, die Strafverfolgungsbehörden auf den Angriff aufmerksam zu machen und Strafanzeige zu stellen.

Um dem Angriff ein Ende zu setzen, ist es meistens sinnvoll, das betroffene System vom Netz zu nehmen, das als Einfallstor der Hacker genutzt wurde. Unter Umständen kann einer Cyberattacke jedoch nur dann getrotzt werden, wenn eine komplette Neuinstallation des betroffenen Systems vorgenommen wird, da meist das ganze System als kompromittiert anzusehen ist. Die Methoden von Cyberkriminellen sind vielfältig und können auch noch auf einem offline genommenen Netz Schäden anrichten. Unternehmen sollten daher unbedingt regelmäßige Back-ups erstellen und diese auch sicher und isoliert von der übrigen Infrastruktur ablegen.


Das könnte Sie auch interessieren:


Wie kann Cybersecurity im Unternehmen aussehen?

Cybersecurity befasst sich mit der Sicherung und dem Schutz von Systemen, Netzwerken und Programmen vor unerlaubten digitalen Zugriffen durch Implementierung von schützenden Maßnahmen.

Mit der Umsetzung von Cybersecurity in Unternehmen soll die Vertraulichkeit der Daten und Informationen gewährleistet werden. Darüber hinaus soll die Integrität von personenbezogenen Daten geschützt werden. Außerdem verfolgt Cybersecurity das Ziel, die Verfügbarkeit von Informationen, die im Unternehmen verwendet werden, gegen Bedrohungen aus dem Cyberspace zu schützen.

Cybersecurity sollte daher als Teil des unternehmensinternen Risikomanagements eingebettet werden. Unternehmen sollten dabei auf eine Kombination aus Strategie, Technologie und Schulungen zur Sensibilisierung der Benutzer setzen. Mit dem richtigen Cybersecurity-Risikomanagement können interne Schwachstellen identifiziert und administrative Lösungen und Maßnahmen gefunden werden, um das Unternehmen und dessen digitale Infrastruktur angemessen zu schützen.

Mögliche Cybersecurity-Maßnahmen

Um Cyberangriffen vorzubeugen ist es empfehlenswert einige präventive Maßnahmen zum Schutze der unternehmensinternen Strukturen vorzusehen.

Vernünftig ist es Sicherheitsgateways für einzelne Netzübergänge zu implementieren, wie beispielsweise eine Proxy-Firewall (auch Application Firewall oder Gateway Firewall). Eine Proxy-Firewall kann als Security-System für ein Kommunikationsnetzwerk verstanden werden. Durch eine Proxy-Firewall wird keine direkte Verbindung zwischen dem eigenen Netzwerk und einem anderen Netzwerk wie dem Internet aufgebaut. Die Firewall stellt sich zwischen die Netzwerke und filtert sämtliche Anfragen aus dem Internet, leitet sie weiter oder blockiert sie. Dadurch können schädliche Viren oder ähnliches bereits vor Eintritt in das eigene System herausgefiltert und abgewehrt werden.

Weiterhin kann die Segmentierung von Systemen, also die Teilung von Computernetzwerken in mehrere kleinere Subnetzwerke präventiv erfolgreich gegen Cyberangriffe eingesetzt werden. Mit der Netzwerksegmentierung können Unternehmen festlegen, ob der gesamte Netzwerk-Traffic nur innerhalb eines Teils des Netzwerks verbleiben soll, oder dieser oder zumindest Kategorien davon in andere Netzwerksegmente übergehen darf. Dadurch wird es Hackern und Cyberkriminellen erschwert in das gesamte Netzwerk einzudringen, da die unterschiedlichen Segmente nicht miteinander verbunden sind.

Auch die Implementierung eines Patch-Managements, welches Software-Updates bzw. „Patches“ identifiziert und auf Endpunkten wie Computern, mobilen Geräten oder Servern bereitstellt, ist essenziell. Durch das regelmäßige und kurzfristige Einspielen von Updates und Patches können Fehler in der Software, die als Einfallstore für Cyberangriffe genutzt werden können, behoben werden. Nutzen Unternehmen Patch-Management kann das Sicherheitsrisiko von Software und genutzten Anwendungen reduziert werden. Mitarbeitende sollten daher darauf hingewiesen sowie verpflichtet werden, Updates zu installieren und jeweils die neueste Version einer Anwendung nutzen. Soweit dies möglich ist, sollten regelmäßige Updates technisch erzwungen werden.

Die von Mitarbeitenden verwendete Software sollte ohnehin von vorneherein mit einem effektiven Virenschutz ausgestattet sein. Dieser verhindert im Idealfall den Einfall von Malware in die Systeme. Sinnvoll ist regelmäßig auch die Nutzung einer Zwei-Faktor-Identifizierung soweit dies möglich ist. Dadurch kann der Zugriff ausschließlich von autorisierten Personen besser gewährleistet werden. Auch ein effektives Passwortmanagement, das sichere Passwörter erzwingt, erhöht die Sicherheit der IT-Systeme. Da IT-Sicherheitsvorfälle nicht selten von Mitarbeitenden ausgehen, indem sie auf einen infizierten Link oder ähnliches Klicken, sind auch Schulungen der Beschäftigten eine effektive Maßnahme. Regelmäßige Personalschulungen und klare Verhaltensregeln seitens des Unternehmens können präventiv hinsichtlich Cyberangriffen sensibilisieren.

Effektiv können insbesondere KI-basierte Tools sein, die als Abwehr gegen Cyberkriminalität im System eingebettet sind und voll automatisiert Angriffe erkennen und abwehren können.

Für ein Cybersecurity-Risikomanagement gibt es bereits einige Frameworks auf dem Markt, die ebenfalls zur Maßnahmenermittlung herangezogen werden können. Bekannte Frameworks sind unter anderem ISO 27001 oder der BSI-Grundschutz. Die ergriffenen Maßnahmen sollten dokumentiert werden.

Unsere Datenschutzexpert:innen unterstützen Sie bei der Entwicklung einer passenden Cybersecurity-Strategie für Ihr Unternehmen!

Fazit

Cybersecurity und ein gutes Risikomanagement schützen Unternehmen vor Bedrohungen ihrer Systeme. Wer gegen Ransomware, Malware und sonstigen Cyberattacken gewappnet sein möchte, braucht gute Cybersecurity. Eine regelmäßige Überarbeitung der Cybersecurity-Strategie kann Schwachstellen im eigenen Unternehmen noch vor einem Angriff aufdecken und Cyberattacken abwehren. Ein vollständiger Schutz gegen jegliche Cyberangriffe ist jedoch unrealistisch, sodass die richtige Vorgehensweise bei einem IT-Sicherheitsvorfall im Unternehmen etabliert sein sollte. Insbesondere sollten ergriffene Maßnahmen dokumentiert werden, um die Überarbeitung des Systems zu ermöglichen und der Rechenschaftspflicht aus der DSGVO (vgl. Art. 5 Abs. 2 DSGVO) gerecht zu werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet Unternehmen ebenfalls umfassende Informationen, wie ein Vorfall bewältigt, gemeldet oder vorgebeugt werden kann.

Kontaktieren Sie uns gerne – unsere Datenschutzexpert:innen unterstützen Sie bei der Entwicklung einer passenden Cybersecurity-Strategie für Ihr Unternehmen!

Mehr zum Thema

  • NIS 2 Richtlinie

    Die Deadline naht: Machen Sie Ihr Unternehmen noch vor Oktober fit für NIS-2

    Mit der nahenden Deadline im Oktober für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS-2) stehen Unternehmen vor der Herausforderung, nicht nur gesetzliche Vorgaben zu erfüllen, sondern auch ihre eigenen Geschäftsprozesse und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern.

    Weiterlesen

  • Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

    In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.

    Weiterlesen

  • Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling

    In Zeiten zunehmender Cyberbedrohungen können Unternehmen durch die Mitigation von Datenschutzrisiken nicht nur sich selbst und ihre Beschäftigten vor Bedrohungen bewahren, sondern vor allem auch den Schutz ihrer Kund:innen effektiver gewährleisten. Ein Schlüsselelement der Risikoanalyse ist das sogenannte Threat Modeling. Wir erläutern, was Threat Modeling beinhaltet und wie es speziell in der Datenschutzberatung eingesetzt wird.

    Weiterlesen

Datenschutzvorfälle sind leider keine Seltenheit mehr. Allein im Jahr 2020 ließen sich 26.057 gemeldete Datenpannen zählen. Das Schreckensszenario eines jeden Unternehmens, von einer Datenschutzverletzung betroffen zu sein, wird immer wieder Realität. Kommt es zu einem Datenschutzvorfall, sieht die Datenschutz-Grundverordnung (DSGVO) unter gewissen Umständen Meldepflichten an Aufsichtsbehörden und betroffene Personen vor. Die notwendigen einzuleitenden Schritte und wie Unternehmen auf Datenschutzvorfälle reagieren sollten sowie wie diese von vorneherein vermieden werden können, zeigen wir Ihnen in diesem Beitrag.

Was ist ein Datenschutzvorfall?

Ein Datenschutzvorfall (auch „Datenpanne“ oder „Datenleck“) ist die Verletzung des Schutzes personenbezogener Daten. In Art. 4 Nr. 12 DSGVO findet sich eine Definition, was unter einer solchen Verletzung zu verstehen ist. Demnach bezeichnet ein Datenschutzvorfall:

„eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.

Datenpannen können dabei vielfältige Ursachen haben. Beispielsweise:

  • Cyber-Angriffe auf die IT-Strukturen eines Unternehmens,
  • Ransomware-Angriffen
  • Fehlverhalten von Beschäftigten durch (unbeabsichtigtes) Offenlegen personenbezogener Daten,
  • Versand an den falschen Empfänger,
  • Verlust eines unverschlüsselten Datenträgers
  • u.v.m.

Ob es verschuldet oder unbeabsichtigt zu einem Datenschutzvorfall gekommen ist, ist dabei irrelevant.

Wer muss bei einem Datenschutzvorfall reagieren?

Kommt es zu einer meldepflichtigen Datenpanne, müssen zunächst Verantwortliche schnell reagieren. Ein Unternehmen gilt dann als Verantwortlicher, wenn es allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (vgl. Art. 4 Nr. 7 DSGVO). Bestimmt ein Unternehmen also, welche Daten, wie und wozu verarbeitet werden, gilt es als Verantwortlicher.

Werden Unternehmen als Auftragsverarbeiter tätig, treffen auch diese gewisse Pflichten im Rahmen eines Datenschutzvorfalls. Auftragsverarbeiter ist gem. Art. 4 Nr. 8 DSGVO jede Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Unternehmen, die als Auftragsverarbeiter auftreten, müssen im Falle eines Datenschutzvorfalls diesen an den Auftraggeber, also den Verantwortlichen, melden (vgl. Art. 33 Abs. 2 DSGVO) sowie diesen unterstützen (vgl. Art. 28 Abs. 3 lit. f DSGVO).

Sie benötigen schnelle und fachliche Unterstützung bei einem Datenschutzvorfall?

Wann besteht eine Meldepflicht?

Liegt eine meldepflichtige Datenschutzverletzung vor, muss der für die Verarbeitung der Daten Verantwortliche schnell handeln. Ihn treffen dann die Meldepflichten aus Art. 33, 34 DSGVO, welche er zu erfüllen hat, sobald ihm der Datenschutzvorfall bekannt wird und ein (hohes) Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Nach Kenntnis über den Vorfall besteht eine kurze Frist von 72 Stunden zur Vornahme der Meldung bei der zuständigen Aufsichtsbehörde.

Zur Ermittlung des Risikos muss der Verantwortliche eine Bewertung nach verschiedenen zu berücksichtigenden Faktoren vornehmen. Dabei sind unter anderem die Kriterien der Eintrittswahrscheinlichkeit als auch der Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen einzubeziehen. Bei Datenpannen führt die Risikobewertung, anders als bei einer Datenschutz-Folgenabschätzung, nicht zu einem hypothetischen Ergebnis. Weitere Ausführungen zur Datenschutz-Folgenabschätzung finden sie auf unserem Blog. Bei Data Breaches liegt der Fokus auf dem tatsächlichen Risiko der Folgen, die die Datenschutzverletzung für betroffene Personen hat. Unternehmen können sich für die Risikobewertung am Kriterienkatalog der Art. 29-Datenschutzgruppe zu den Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679 orientieren. Anhand dieser sieben Kriterien kann in der Praxis ermittelt werden, ob ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht:

  1. Art der Verletzung des Schutzes personenbezogener Daten
  2. Wesen, Sensibilität und Anzahl der personenbezogenen Daten
  3. Leichtigkeit der Identifikation von Personen
  4. Ernsthaftigkeit der Folgen für die Personen
  5. Spezielle Eigenschaften der Personen
  6. Anzahl der betroffenen Personen
  7. Spezielle Eigenschaften des Verantwortlichen der Datenverarbeitung

Im Annex der Leitlinien der Art. 29-Datenschutzgruppe finden sich einige nicht abschließende Beispiele, wann in jedem Fall eine Meldepflicht besteht. Ein Risiko besteht in der Regel unter anderem

  • in Situationen der Diskriminierung,
  • bei Identitätsdiebstahl oder -betrug oder
  • bei finanziellen Verlusten.

Die 72 Stunden Frist zur Abgabe beginnt, sobald der Verantwortliche Kenntnis von dem Vorfall erlangt hat. Kenntnis hat der Verantwortlichen dann erlangt, wenn er die tatsächlichen Umstände des Vorfalls kennt. Weiß ein Unternehmen beispielsweise, dass es einen Cyber-Angriff auf das Unternehmen gab und dabei personenbezogene Daten abgegriffen wurden, muss das Unternehmen den Vorfall melden.

Einer Meldepflicht muss ein Unternehmen nur dann nicht nachkommen, wenn voraussichtlich kein Risiko „für die Rechte und Freiheiten natürlicher Personen“ besteht. Auch das lässt sich anhand der Risikobewertung ermitteln.


Das könnte Sie auch interessieren:


Wie muss eine Meldung erfolgen?

Interner Meldeprozess

Die gesetzlichen Meldepflichten in Art. 33 DSGVO und Art. 34 DSGVO gehen zunächst nur von der Meldung gegenüber der zuständigen Aufsichtsbehörde bzw. der Benachrichtigung der betroffenen Person selbst aus. Dennoch ist es sinnvoll, im Falle eines Datenschutzvorfalls auch interne Schritte einzuleiten – darunter beispielsweise die Meldung des Vorfalls an die IT-Abteilung des Unternehmens. Häufig können so, nach Bekanntwerden des Vorfalles, erste Schritte eingeleitet werden, um das Datenleck schnellstmöglich zu schließen und weitere Schäden zu verhindern. Die Sicherstellung interner Datenschutz-Compliance ist auch deshalb wichtig, da so mögliche künftige Datenpannen verhindert werden können oder das Risiko erheblich minimiert werden kann.

Interne verantwortliche Stellen sind zum Beispiel der Datenschutzkoordinator, die Geschäftsführung und die IT-Abteilung.

Insbesondere der Datenschutzbeauftragte des Unternehmens hat verschiedene für die Meldung von Datenschutzverletzungen besonders relevante obligatorische Aufgaben. Darunter fallen unter anderem die Beratung des vom Datenschutzvorfall betroffenen Unternehmens und die Überwachung der Einhaltung der DSGVO. Ferner ist der Datenschutzbeauftragte direkter Ansprechpartner der Aufsichtsbehörde, da der Verantwortliche bei der Meldung einer Datenschutzverletzung den Namen und die Kontaktdaten seines Datenschutzbeauftragten mitteilen muss.

Meldung an die Aufsichtsbehörde

Gesetzlich geregelt ist in Art. 33 DSGVO die Meldung des Vorfalls an die zuständige Aufsichtsbehörde. Die Meldung an die Aufsichtsbehörde muss gewisse Informationen enthalten, wie Art. 33 Abs. 3 DSGVO auflistet. Sie muss:

  • die Datenschutzverletzung beschreiben und soweit möglich Angaben zu den Datenkategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der betroffenen personenbezogenen Datensätze,
  • die Kontaktdaten des Datenschutzbeauftragten,
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung sowie
  • eine Beschreibung der bereits ergriffenen oder beabsichtigten Maßnahmen zur Behebung des Datenschutzvorfalls bzw. Abmilderung dessen Folgen beinhalten.

Einer gewissen Form für die Meldung an eine Behörde bedarf es nicht. Einige Datenschutzbehörden bieten zur Meldung einer Datenschutzverletzung Online-Masken oder vorgefertigte Formulare an, die Unternehmen einfach und schnell ausfüllen können. Sollten gewisse Informationen zum Datenschutzvorfall zum Zeitpunkt der Meldung noch nicht bekannt sein, können diese auch erst schrittweise an die Behörde herangetragen werden (vgl. Art. 33 Abs. 4 DSGVO).

Besondere Wichtigkeit hat die Einhaltung der Meldefrist von 72 Stunden. Sie beginnt ab dem Zeitpunkt, in welchem das verantwortliche Unternehmen Kenntnis vom Datenschutzvorfall erlangt. Verstreicht die 72 Stunden Frist, ohne dass das Unternehmen den Vorfall gemeldet hat, so ist eine Begründung für die Verzögerung der Meldung beizufügen. Diese Frist ist dringend einzuhalten, da andernfalls Bußgelder drohen können. Die Frist läuft nicht nur an klassischen Werktagen oder zu Öffnungszeiten des Unternehmens, sondern muss auch über Wochenenden beachtet werden.

Meldung an die betroffene Person

Liegt ein voraussichtlich hohes Risiko für die Rechte und Freiheiten der betroffenen Person vor, verpflichtet Art. 34 Abs. 1 DSGVO das Unternehmen darüber hinaus, die betroffenen Personen über die Datenpanne in Kenntnis zu setzen. Von einem hohen Risiko ist in aller Regel auszugehen, wenn beispielsweise Bankverbindungsdaten durch den Vorfall bekannt wurden.

Die Benachrichtigung an den Betroffenen muss nicht so umfassend erfolgen wie die Unterrichtung einer Behörde. Sie muss in einfacher und klarer Sprache beschreiben, um welche Art der Verletzung des Schutzes personenbezogener Daten es sich handelt. Außerdem muss dem Betroffenen auch mitgeteilt werden, welche Folgen wohl zu erwarten sind und welche Abhilfemaßnahmen das Unternehmen plant oder bereits getroffen hat.

Die Frist zur Benachrichtigung von Betroffenen weicht ebenfalls von derjenigen gegenüber Aufsichtsbehörden ab. Bei einer Benachrichtigungspflicht muss das Unternehmen die betroffene Person unverzüglich unterrichten. Was unter unverzüglich zu verstehen ist, variiert auch je nach den Umständen des Einzelfalles. Bei einem Risiko mit unmittelbarem Schaden müssen betroffene Personen wohl sofort benachrichtigt werden, wohingegen eine längere Benachrichtigungsfrist bei weniger akuten Schadensszenarien gerechtfertigt sein kann.

Unter gewissen Umständen kann trotz hohen Risikos eine Benachrichtigung des Betroffenen entbehrlich sein. Unter anderem dann, wenn die betroffenen Daten durch geeignete technische und organisatorische Sicherheitsvorkehrungen ausreichend geschützt gewesen sind, etwa durch eine Verschlüsselung. Weitere Umstände, in denen keine Benachrichtigung nötig ist, finden sich in Art. 34 Abs. 3 lit. b, c DSGVO.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Rechenschaftspflicht und Aufzeichnung

Der Verantwortliche ist verpflichtet, alle Datenschutzverletzungen zu dokumentieren, und zwar auch dann, wenn keine Meldung an die Aufsichtsbehörde notwendig war. Diese Pflicht zur Dokumentation resultiert aus der in Art. 5 Abs. 2 DSGVO normierten Rechenschaftspflicht. Bei der Dokumentation eines Datenschutzvorfalls empfiehlt es sich, die Vorkommnisse und Ursachen unter Angabe, welche personenbezogenen Daten beeinträchtigt wurden, genau zu beschreiben. Außerdem erscheint es sinnvoll, zu dokumentieren, wie auf die Datenschutzverletzung reagiert wurde, welche Abhilfemaßnahmen eingeleitet wurden und wie die Risikobewertung stattgefunden hat.

Sanktionen bei Nichtmeldung trotz entsprechenden Risikos

Versäumt ein Unternehmen, das von einer Datenpanne betroffen ist, der Pflicht einer Meldung an die Aufsichtsbehörde nachzukommen, kann diese verschiedene Maßnahmen gegen das Unternehmen in die Wege leiten. Unter Umständen kann die Nichtmeldung trotz entsprechenden Risikos zu einer Verhängung einer Geldbuße führen. Daneben können auch weitere Abhilfemaßnahmen gem. Art. 58 Abs. 2 DSGVO angesetzt werden.

Die Geldbuße kann bis zu 10 000 000 € oder bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des Unternehmens betragen (vgl. Art. 83 Abs. 4 lit. a DSGVO).

Auch das steigende Bewusstsein von betroffenen Personen hinsichtlich der Möglichkeit, Schadensersatz nach der DSGVO zu verlangen, müssen Unternehmen bei Datenschutzvorfällen im Blick behalten. Detailliertes Hintergrundwissen zu Schadensersatzansprüchen nach der DSGVO finden Sie hier auf unserem Blog.

Datenschutzvorfälle vorbeugen

Datenschutzvorfälle sollten mit geeigneten Maßnahmen vorgebeugt werden:

  • Implementierung geeigneter technischer und organisatorischer Maßnahmen
  • Schulungen von Beschäftigten, um datenschutzrechtliche Sensibilität zu schaffen
  • Zugriffskonzepte, Passwort- und Verschlüsselungstechniken implementieren
  • Prüfung und Anpassung der Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO
  • Etablierung eines Datenschutzmanagements

Checkliste: Wie sollten Unternehmen bei Datenpannen vorgehen?

  • Prüfen Sie, ob der Schutz personenbezogener Daten verletzt wurde, sobald Sie von einem Sicherheitsvorfall erfahren.
  • Sprechen Sie mit Ihrem Datenschutzbeauftragten – informieren Sie wichtige interne Stellen.
  • Identifizieren Sie das Risiko für die Rechte und Freiheiten betroffener Personen.
  • Leiten Sie Vorkehrungen ein, das Datenleck zu schließen.
  • Sofern ein hohes Risiko vorliegt, melden Sie den Vorfall bei der zuständigen Aufsichtsbehörde.
  • Benachrichtigen Sie, soweit nötig, betroffene Personen.
  • Treffen Sie Maßnahmen, um Datenschutzvorfälle vorzubeugen.

Fazit

Auch der Europäische Datenschutzausschuss (EDSA) hat im Dezember 2021 neue Leitlinien zu Beispielen in Bezug auf die Benachrichtigung bei Verletzung personenbezogener Daten veröffentlicht. Unternehmen können diese ebenfalls unterstützend zur Bewältigung eines Datenschutzvorfalls heranziehen. Bezug nehmen die Leitlinien des EDSA unter anderem auf Ransomware-Angriffe, Datendiebstahl sowie Risikoquellen seitens unternehmensinterner Beschäftigter.

Datenschutzverletzungen werden insbesondere durch veraltete Datensicherheitssysteme oder Systemschwächen begünstigt. Der Schlüssel zu Datensicherheit liegt damit in den präventiven Maßnahmen zur Verhinderung von Datenschutzverletzungen. Vorbeugende Maßnahmen, wie ein umfassendes Datenschutzmanagement, sind besonders wichtig, weil Folgen eines Data Breaches unter Umständen unumkehrbar sein können. Unser Team an spezialisierten Datenschutzexpert:innen entwickelt gemeinsam mit Ihnen eine Ihrem Unternehmen gerecht werdende Datenschutzstrategie. Kontaktieren Sie uns gerne!

Mehr zum Thema

  • Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

    In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.

    Weiterlesen

  • Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download

    Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.

    Weiterlesen

  • Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling

    In Zeiten zunehmender Cyberbedrohungen können Unternehmen durch die Mitigation von Datenschutzrisiken nicht nur sich selbst und ihre Beschäftigten vor Bedrohungen bewahren, sondern vor allem auch den Schutz ihrer Kund:innen effektiver gewährleisten. Ein Schlüsselelement der Risikoanalyse ist das sogenannte Threat Modeling. Wir erläutern, was Threat Modeling beinhaltet und wie es speziell in der Datenschutzberatung eingesetzt wird.

    Weiterlesen

(Dieser Beitrag wurde am 22.04.2022 aktualisiert)

Beim internationalen Datentransfer handelt es sich um eine komplexe Situation, die Unternehmen regelmäßig vor Herausforderungen stellt. Dazu trägt bei, dass die Rechtslage in stetiger Bewegung ist und sich auch jüngst noch einmal grundlegend verändert hat. Seitdem der Europäische Gerichtshof (EuGH) in der Rechtssache Schrems-II das Datenschutzniveau in den USA im Jahr 2020 für nicht angemessen beurteilt und kürzlich die EU-Kommission neue Standardvertragsklauseln (SCC) beschlossen hat, besteht für Unternehmen dringender Handlungsbedarf. In diesem Lichte fasst der Beitrag für Sie die neuesten Entwicklungen für Unternehmen zu Datentransfers in Drittländer zusammen.

Ausgangslage

Datenübermittlungen in Länder außerhalb der EU – sogenannte Drittländer – benötigen eine rechtliche Grundlage. Dafür sieht die Datenschutzgrundverordnung (DSGVO) in Artikel 44 – 49 besondere Regeln vor, die neben den sonstigen Regeln der DSGVO betrachtet werden. Es muss geprüft werden, ob bei dem Empfänger im Drittland ein angemessenes Schutzniveau für die Daten besteht. Dafür hat die Europäische Kommission nach Art. 45 DSGVO vorrangig die Möglichkeit einen Angemessenheitsbeschluss zu fassen. Mit einem solchen Beschluss stellt sie fest, dass die Rechtslage im Drittland ein Datenschutzniveau aufweist, das mit dem der EU vergleichbar ist. Liegt kein Angemessenheitsbeschluss vor, besteht die Möglichkeit des Abschlusses von Standardvertragsklauseln bzw. Standard Contractual Clauses (SCC) oder verbindlichen Datenschutzvorschriften bzw. Binding Corporate Rules (BCR), Art. 46 Abs. 2 lit. c, b DSGVO. Zuletzt ist auch die Rechtgrundlage der Einwilligung und der Vertragserfüllung, Art. 49 DSGVO, möglich – stellt aber eher die Ausnahme dar.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Die neusten Entwicklungen

Angemessenheitsbeschluss

Die Europäische Kommission trifft regelmäßig Angemessenheitsentscheidungen, mit denen sie befindet, dass personenbezogene Daten von EU-Mitgliedstaaten und den Mitgliedstaaten des Europäischen Wirtschaftsraums ohne weitere Anforderungen an dieses Drittland übermittelt werden können. Die Europäische Kommission veröffentlicht eine Liste ihrer Angemessenheitsbeschlüsse auf ihrer Website. Solche Beschlüsse liegen aktuell vor für Andorra, Argentinien, Kanada, die Färöer-Inseln, Guernsey, Israel, die Isle of Man, Japan, Jersey, die Schweiz und Uruguay.

Am 28. Juni 2021 hat die Europäische Kommission nun auch Großbritannien als sicheres Drittland anerkannt. Fraglich ist allerdings, wie lange dieser Status als sicheres Drittland gelten wird: Die britische Regierung plant eine eigenständige Datenschutzpolitik und verkündete am 26. August 2021 wesentliche gesetzliche Änderungen im Datenschutz. So sollen zum Beispiel die bislang ins nationale Recht übernommenen Regelungen der DSGVO durch eigene Vorschriften abgelöst werden. Der konkrete Entwurf wird alsbald erwartet – sodann wird dieser von der EU-Kommission geprüft werden. Ist eine Vereinbarkeit nicht gegeben, ist wohl die Aussetzung oder die Beendigung des Angemessenheitsbeschlusses zu erwarten.

Darüber hinaus hat die Europäische Kommission jüngst bekannt gegeben, dass Südkorea nun als sicheres Datenschutzland gemäß Angemessenheitsbeschluss der EU-Kommission gilt.
Die USA gehören seit dem am 16.07.2020 ergangenen Schrems-II Urteil (C-311-18) nicht mehr zu den sicheren Drittländern. Details zu der Entscheidung finden Sie hier.

Sie und Ihr Unternehmen benötigen unsere Expertise bei Datenübermittlungen in Drittstaaten? Dann sind Sie bei ISiCO genau richtig!

Standardvertragsklauseln

Im Juni 2021 hat die Europäische Kommission im Beschluss 2021/914/EU neue Standardvertragsklauseln angenommen. Diese schaffen seit dem 27. Juni 2021 eine neue Rechtsgrundlage, welche bei EU-weiten sowie internationalen Datentransfers angewendet werden können. Dabei hat die Europäische Kommission auch die neuen Anforderungen der DSGVO sowie Vorgaben aus dem Schrems-II Urteil berücksichtigt. Die Klauseln berücksichtigen auch die gemeinsame Stellungnahme des Europäischen Datenschutzausschusses und des Europäischen Datenschutzbeauftragten, die Rückmeldungen der Interessenträger im Rahmen einer breit angelegten öffentlichen Konsultation sowie die Stellungnahme der Vertreter der Mitgliedstaaten.

Die wichtigsten Änderungen sind:

  • Ein neuer modularer Aufbau ermöglicht eine flexible Vertragsgestaltung in verschiedenen Konstellationen;
  • Begrifflichkeiten von Datenexporteur:in und Datenimporteur:in sind jetzt offener gestaltet;
  • Prüfung des Datenschutzniveaus für Datenexporteure ist eine explizite Verpflichtung;
  • Ausweitung der Anwendungsfälle: Vier unterschiedliche Module, von denen eines ausgewählt werden muss;
  • optionale Kopplungsmöglichkeit (Klausel 7): Beitritt zu den Standardvertragsklauseln durch weitere Parteien;
  • Haftung für Verletzung von Betroffenenrechten (Klausel 12 lit. b);
  • Umsetzung des EuGH-Urteils Schrems-II in Klauseln 14 und 15.

Zu beachten ist, dass die neuen Klauseln Datenübermittler:innen nicht von der Verpflichtung entbinden, das Schutzniveau im Drittland – insbesondere mit Blick auf Datenzugriffsmöglichkeiten der Behörden im Drittland – zu überprüfen.

Nunmehr (seit dem 27.09.2021) müssen bei allen neu geschlossenen Verträgen die neuen Standardvertragsklauseln berücksichtigt werden; bis zum 27.12.2022 müssen Datenübermittlungsverträge, die unter Verwendung der Vorgänger-Standardvertragsklauseln abgeschlossen worden sind, durch die Neuen ersetzt werden.

Fragebögen von Datenschutzbehörden

Seit dem 1. Juni 2021 verschicken Datenschutzbehörden länderübergreifend Fragebögen an Unternehmen, um Datenübermittlungen durch Unternehmen in Drittstaaten zu überprüfen. Ziel ist die breite Durchsetzung der vom EuGH in seiner Schrems-II Entscheidung festgelegten Anforderungen.

Unternehmen werden durch an der Kontrolle teilnehmende Behörden auf der Basis eines gemeinsamen Fragenkatalogs angeschrieben. Es gibt unterschiedliche Fragebögen für die relevantesten Dienstleistungen wie zum Einsatz von Dienstleistern zum E-Mail-Versand, zum Einsatz von Dienstleistern zum Hosting von Internet-Seiten, zum Einsatz von Webtracking, zum Einsatz von Dienstleistern zur Verwaltung von Bewerberdaten sowie zum konzerninternen Austausch von Kundendaten und Daten der Beschäftigten.

Der EuGH hat in seiner Schrems-II Entscheidung klar formuliert, dass die Behörden unzulässige Transfers „aussetzen oder verbieten“ sollen. Doch gleichzeitig sind sich die Aufsichtsbehörden der besonderen Herausforderungen, die das EuGH-Urteil zu Schrems-II für die Unternehmen in Deutschland und Europa mit sich bringt, bewusst. Laut eigenen Angaben stehen sie deshalb auch im weiteren Verlauf des Prüfungsverfahrens zur Verfügung, soweit dies nach Maßgabe der vorhandenen Kapazitäten möglich ist. Trotzdem sollten Unternehmen sich nicht darauf verlassen und die entsprechenden Vorgaben bestmöglich umsetzen.

Neuer „Transatlantischer Datenschutzrahmen“

Die Europäische Kommission gab gemeinsam mit den Vereinigten Staaten von Amerika am 25.03.2022 in einer Pressemitteilung bekannt, dass nach über einem Jahr intensiver Verhandlungen eine Einigung über einen sogenannten „Transatlantischen Datenschutzrahmen“ (Trans-Atlantic Data Privacy Framework) erzielt werden konnte.

Bislang handelt es sich hierbei allerdings lediglich um die politische Ankündigung, ein entsprechendes Abkommen fassen zu wollen. Es fehlt aktuell noch an der tatsächlichen Umsetzung in Rechtstexte, die anschließend auch von beiden Seiten angenommen werden müssten. So sollen die USA die Selbstverpflichtungen aus dem Abkommen in „Executive Orders“ bzw. Durchführungsverordnungen überführen, die anschließend der Europäischen Kommission bei der Bewertung bzw. Fassung eines eines Angemessenheitsbeschlusses i.S.d. Art. 45 DSGVO dienen soll.

Das neue Abkommen soll seitens der USA den, insbesondere auch im Rahmen des Schrems-II-Urteils des EuGH kritisierten, Zugriff der amerikanischen Nachrichtendienste auf personenbezogene Daten von Betroffenen im Europäischen Wirtschaftstraum (EWR) adressieren. So sollen seitens der USA folgende konkrete Maßnahmen ergriffen werden:

  • Stärkung der Privatsphäre und der Freiheitsrechte bei Aktivitäten der sog. signalerfassenden Aufklärung (Gewinn von Erkenntnissen aus elektromagnetischen Ausstrahlungen mit und ohne Kommunikationsinhalt, i.d.R. durch Nachrichtendienste)
  • Neuer, unabhängiger Rechtmittelmechanismus bzgl. unrechtmäßiger Aktivitäten der Nachrichtendienste für Betroffene im EWR
  • Strenge, mehrstufige Aufsicht bzgl. signalerfassender Aufklärung

Das neue Abkommen könnte den rechtlichen Rahmen für die Übermittlung von personenbezogenen Daten in die USA erheblich vereinfachen. Es bleibt allerdings auch bei einem tatsächlichen Zustandekommen eines neuen Rechtsrahmens abzuwarten, wie sich der EuGH in den wohl zwangsläufig zu erwartenden Verfahren gegen einen neuen Angemessenheitsbeschluss positionieren wird.


Mehr Informationen zum Thema:

Unser Partnerunternehmen caralegal hat einen kostenlosen SCC-Generator entwickelt, mit dem Sie Ihr individuelles und DSGVO-konformes Vertragsmuster erstellen lassen können. Anhand eines benutzerfreundlichen Online-Fragebogens ermittelt der SCC-Generator alle für Sie relevanten Vertragsinhalte und Anforderungen, um das passende Vertragsmuster anzufertigen.


Fazit

Abschließend ist festzuhalten, dass die stetigen Entwicklungen im internationalen Datentransfer neben mehr Klarheit auch immer neuen Handlungsbedarf für Unternehmen schaffen.

Unternehmen sollten stets einen Blick auf aktuelle Entwicklungen haben, etwa auf die Liste der Angemessenheitsbeschlüsse der Europäischen Kommission, weitere Reaktionen der Aufsichtsbehörden oder möglichen gerichtlichen Entscheidungen bezüglich Datentransfers.

Mehr zum Thema

  • Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

    In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.

    Weiterlesen

  • Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download

    Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.

    Weiterlesen

  • Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling

    In Zeiten zunehmender Cyberbedrohungen können Unternehmen durch die Mitigation von Datenschutzrisiken nicht nur sich selbst und ihre Beschäftigten vor Bedrohungen bewahren, sondern vor allem auch den Schutz ihrer Kund:innen effektiver gewährleisten. Ein Schlüsselelement der Risikoanalyse ist das sogenannte Threat Modeling. Wir erläutern, was Threat Modeling beinhaltet und wie es speziell in der Datenschutzberatung eingesetzt wird.

    Weiterlesen