22. April 2022

Die neuesten Entwicklungen zu Datentransfers in Drittländer

Beim internationalen Datentransfer handelt es sich um eine komplexe Situation, die Unternehmen regelmäßig vor Herausforderungen stellt. Dazu trägt bei, dass die Rechtslage in stetiger Bewegung ist und sich auch jüngst noch einmal grundlegend verändert hat. Seitdem der Europäische Gerichtshof (EuGH) in der Rechtssache Schrems-II das Datenschutzniveau in den USA im Jahr 2020 für nicht angemessen beurteilt und kürzlich die EU-Kommission neue Standardvertragsklauseln (SCC) beschlossen hat, besteht für Unternehmen dringender Handlungsbedarf. In diesem Lichte fasst der Beitrag für Sie die neuesten Entwicklungen für Unternehmen zu Datentransfers in Drittländer zusammen.

Ausgangslage

Datenübermittlungen in Länder außerhalb der EU – sogenannte Drittländer – benötigen eine rechtliche Grundlage. Dafür sieht die Datenschutzgrundverordnung (DSGVO) in Artikel 44 – 49 besondere Regeln vor, die neben den sonstigen Regeln der DSGVO betrachtet werden. Es muss geprüft werden, ob bei dem Empfänger im Drittland ein angemessenes Schutzniveau für die Daten besteht. Dafür hat die Europäische Kommission nach Art. 45 DSGVO vorrangig die Möglichkeit einen Angemessenheitsbeschluss zu fassen. Mit einem solchen Beschluss stellt sie fest, dass die Rechtslage im Drittland ein Datenschutzniveau aufweist, das mit dem der EU vergleichbar ist. Liegt kein Angemessenheitsbeschluss vor, besteht die Möglichkeit des Abschlusses von Standardvertragsklauseln bzw. Standard Contractual Clauses (SCC) oder verbindlichen Datenschutzvorschriften bzw. Binding Corporate Rules (BCR), Art. 46 Abs. 2 lit. c, b DSGVO. Zuletzt ist auch die Rechtgrundlage der Einwilligung und der Vertragserfüllung, Art. 49 DSGVO, möglich – stellt aber eher die Ausnahme dar.

Die neusten Entwicklungen

Angemessenheitsbeschluss

Die Europäische Kommission trifft regelmäßig Angemessenheitsentscheidungen, mit denen sie befindet, dass personenbezogene Daten von EU-Mitgliedstaaten und den Mitgliedstaaten des Europäischen Wirtschaftsraums ohne weitere Anforderungen an dieses Drittland übermittelt werden können. Die Europäische Kommission veröffentlicht eine Liste ihrer Angemessenheitsbeschlüsse auf ihrer Website. Solche Beschlüsse liegen aktuell vor für Andorra, Argentinien, Kanada, die Färöer-Inseln, Guernsey, Israel, die Isle of Man, Japan, Jersey, die Schweiz und Uruguay.

Am 28. Juni 2021 hat die Europäische Kommission nun auch Großbritannien als sicheres Drittland anerkannt. Fraglich ist allerdings, wie lange dieser Status als sicheres Drittland gelten wird: Die britische Regierung plant eine eigenständige Datenschutzpolitik und verkündete am 26. August 2021 wesentliche gesetzliche Änderungen im Datenschutz. So sollen zum Beispiel die bislang ins nationale Recht übernommenen Regelungen der DSGVO durch eigene Vorschriften abgelöst werden. Der konkrete Entwurf wird alsbald erwartet – sodann wird dieser von der EU-Kommission geprüft werden. Ist eine Vereinbarkeit nicht gegeben, ist wohl die Aussetzung oder die Beendigung des Angemessenheitsbeschlusses zu erwarten.

Darüber hinaus hat die Europäische Kommission jüngst bekannt gegeben, dass Südkorea nun als sicheres Datenschutzland gemäß Angemessenheitsbeschluss der EU-Kommission gilt.
Die USA gehören seit dem am 16.07.2020 ergangenen Schrems-II Urteil (C-311-18) nicht mehr zu den sicheren Drittländern. Details zu der Entscheidung finden Sie hier.

Sie und Ihr Unternehmen benötigen unsere Expertise bei Datenübermittlungen in Drittstaaten? Dann sind Sie bei ISiCO genau richtig!

Jetzt unverbindlich kontaktieren

Standardvertragsklauseln

Im Juni 2021 hat die Europäische Kommission im Beschluss 2021/914/EU neue Standardvertragsklauseln angenommen. Diese schaffen seit dem 27. Juni 2021 eine neue Rechtsgrundlage, welche bei EU-weiten sowie internationalen Datentransfers angewendet werden können. Dabei hat die Europäische Kommission auch die neuen Anforderungen der DSGVO sowie Vorgaben aus dem Schrems-II Urteil berücksichtigt. Die Klauseln berücksichtigen auch die gemeinsame Stellungnahme des Europäischen Datenschutzausschusses und des Europäischen Datenschutzbeauftragten, die Rückmeldungen der Interessenträger im Rahmen einer breit angelegten öffentlichen Konsultation sowie die Stellungnahme der Vertreter der Mitgliedstaaten.

Die wichtigsten Änderungen sind:

Ein neuer modularer Aufbau ermöglicht eine flexible Vertragsgestaltung in verschiedenen Konstellationen;
Begrifflichkeiten von Datenexporteur:in und Datenimporteur:in sind jetzt offener gestaltet;
Prüfung des Datenschutzniveaus für Datenexporteure ist eine explizite Verpflichtung;
Ausweitung der Anwendungsfälle: Vier unterschiedliche Module, von denen eines ausgewählt werden muss;
optionale Kopplungsmöglichkeit (Klausel 7): Beitritt zu den Standardvertragsklauseln durch weitere Parteien;
Haftung für Verletzung von Betroffenenrechten (Klausel 12 lit. b);
Umsetzung des EuGH-Urteils Schrems-II in Klauseln 14 und 15.

Zu beachten ist, dass die neuen Klauseln Datenübermittler:innen nicht von der Verpflichtung entbinden, das Schutzniveau im Drittland – insbesondere mit Blick auf Datenzugriffsmöglichkeiten der Behörden im Drittland – zu überprüfen.

Nunmehr (seit dem 27.09.2021) müssen bei allen neu geschlossenen Verträgen die neuen Standardvertragsklauseln berücksichtigt werden; bis zum 27.12.2022 müssen Datenübermittlungsverträge, die unter Verwendung der Vorgänger-Standardvertragsklauseln abgeschlossen worden sind, durch die Neuen ersetzt werden.

Fragebögen von Datenschutzbehörden

Seit dem 1. Juni 2021 verschicken Datenschutzbehörden länderübergreifend Fragebögen an Unternehmen, um Datenübermittlungen durch Unternehmen in Drittstaaten zu überprüfen. Ziel ist die breite Durchsetzung der vom EuGH in seiner Schrems-II Entscheidung festgelegten Anforderungen.

Unternehmen werden durch an der Kontrolle teilnehmende Behörden auf der Basis eines gemeinsamen Fragenkatalogs angeschrieben. Es gibt unterschiedliche Fragebögen für die relevantesten Dienstleistungen wie zum Einsatz von Dienstleistern zum E-Mail-Versand, zum Einsatz von Dienstleistern zum Hosting von Internet-Seiten, zum Einsatz von Webtracking, zum Einsatz von Dienstleistern zur Verwaltung von Bewerberdaten sowie zum konzerninternen Austausch von Kundendaten und Daten der Beschäftigten.

Der EuGH hat in seiner Schrems-II Entscheidung klar formuliert, dass die Behörden unzulässige Transfers „aussetzen oder verbieten“ sollen. Doch gleichzeitig sind sich die Aufsichtsbehörden der besonderen Herausforderungen, die das EuGH-Urteil zu Schrems-II für die Unternehmen in Deutschland und Europa mit sich bringt, bewusst. Laut eigenen Angaben stehen sie deshalb auch im weiteren Verlauf des Prüfungsverfahrens zur Verfügung, soweit dies nach Maßgabe der vorhandenen Kapazitäten möglich ist. Trotzdem sollten Unternehmen sich nicht darauf verlassen und die entsprechenden Vorgaben bestmöglich umsetzen.

Neuer „Transatlantischer Datenschutzrahmen“

Die Europäische Kommission gab gemeinsam mit den Vereinigten Staaten von Amerika am 25.03.2022 in einer Pressemitteilung bekannt, dass nach über einem Jahr intensiver Verhandlungen eine Einigung über einen sogenannten „Transatlantischen Datenschutzrahmen“ (Trans-Atlantic Data Privacy Framework) erzielt werden konnte.

Bislang handelt es sich hierbei allerdings lediglich um die politische Ankündigung, ein entsprechendes Abkommen fassen zu wollen. Es fehlt aktuell noch an der tatsächlichen Umsetzung in Rechtstexte, die anschließend auch von beiden Seiten angenommen werden müssten. So sollen die USA die Selbstverpflichtungen aus dem Abkommen in „Executive Orders“ bzw. Durchführungsverordnungen überführen, die anschließend der Europäischen Kommission bei der Bewertung bzw. Fassung eines eines Angemessenheitsbeschlusses i.S.d. Art. 45 DSGVO dienen soll.

Das neue Abkommen soll seitens der USA den, insbesondere auch im Rahmen des Schrems-II-Urteils des EuGH kritisierten, Zugriff der amerikanischen Nachrichtendienste auf personenbezogene Daten von Betroffenen im Europäischen Wirtschaftstraum (EWR) adressieren. So sollen seitens der USA folgende konkrete Maßnahmen ergriffen werden:

Stärkung der Privatsphäre und der Freiheitsrechte bei Aktivitäten der sog. signalerfassenden Aufklärung (Gewinn von Erkenntnissen aus elektromagnetischen Ausstrahlungen mit und ohne Kommunikationsinhalt, i.d.R. durch Nachrichtendienste)
Neuer, unabhängiger Rechtmittelmechanismus bzgl. unrechtmäßiger Aktivitäten der Nachrichtendienste für Betroffene im EWR
Strenge, mehrstufige Aufsicht bzgl. signalerfassender Aufklärung

Das neue Abkommen könnte den rechtlichen Rahmen für die Übermittlung von personenbezogenen Daten in die USA erheblich vereinfachen. Es bleibt allerdings auch bei einem tatsächlichen Zustandekommen eines neuen Rechtsrahmens abzuwarten, wie sich der EuGH in den wohl zwangsläufig zu erwartenden Verfahren gegen einen neuen Angemessenheitsbeschluss positionieren wird.

Mehr Informationen zum Thema:

Internationaler Datentransfer – Neue Entwicklungen und Vorgaben für Unternehmen
Internationaler Datentransfer: Anforderungen und Entwicklungen – ein Beitrag unseres Partners Schürmann Rosenthal Dreyer Rechtsanwälte
Die neuen Standardvertragsklauseln (SCC) nach dem „Schrems II“-Urteil – ein Beitrag unseres Partners Schürmann Rosenthal Dreyer Rechtsanwälte

Unser Partnerunternehmen caralegal hat einen kostenlosen SCC-Generator entwickelt, mit dem Sie Ihr individuelles und DSGVO-konformes Vertragsmuster erstellen lassen können. Anhand eines benutzerfreundlichen Online-Fragebogens ermittelt der SCC-Generator alle für Sie relevanten Vertragsinhalte und Anforderungen, um das passende Vertragsmuster anzufertigen.

Fazit

Abschließend ist festzuhalten, dass die stetigen Entwicklungen im internationalen Datentransfer neben mehr Klarheit auch immer neuen Handlungsbedarf für Unternehmen schaffen.

Unternehmen sollten stets einen Blick auf aktuelle Entwicklungen haben, etwa auf die Liste der Angemessenheitsbeschlüsse der Europäischen Kommission, weitere Reaktionen der Aufsichtsbehörden oder möglichen gerichtlichen Entscheidungen bezüglich Datentransfers.

Mehr zum Thema

6. Februar 2024

Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.
Weiterlesen
26. Januar 2024

Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download

Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.
Weiterlesen
9. Januar 2024

Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling

In Zeiten zunehmender Cyberbedrohungen können Unternehmen durch die Mitigation von Datenschutzrisiken nicht nur sich selbst und ihre Beschäftigten vor Bedrohungen bewahren, sondern vor allem auch den Schutz ihrer Kund:innen effektiver gewährleisten. Ein Schlüsselelement der Risikoanalyse ist das sogenannte Threat Modeling. Wir erläutern, was Threat Modeling beinhaltet und wie es speziell in der Datenschutzberatung eingesetzt wird.
Weiterlesen

5. April 2022

Neue IT-Sicherheitsanforderungen im Gesundheitswesen

Der Einsatz von Informationssicherheitstechnologien ist auch im Gesundheitswesen nicht mehr wegzudenken. Die Digitalisierung erleichtert die Patientenversorgung und damit einhergehend die Behandlungsqualität ungemein. Die zunehmende Einbindung und Vernetzung von IT-Infrastrukturen kommt jedoch nicht ausschließlich den Patienten zugute, sie erleichtert auch Cyberkriminellen den Zugriff auf die besonders sensiblen personenbezogenen Daten. Um das Risiko vor Cyberangriffen zu reduzieren, ist die Umsetzung von technischen und organisatorischen Maßnahmen unbedingt erforderlich, welche die Informationssicherheit und damit die Verfügbarkeit, Integrität und Vertraulichkeit von Daten schützen.
Mit Einführung des sogenannten Patientendatenschutzgesetzes bestehen seit Beginn dieses Jahres neue gesetzliche Anforderungen an die Informationssicherheit in Krankenhäusern, MVZ und Arztpraxen.

Hintergrund

Der Gesetzgeber hat im Rahmen des § 75c SGB V für Krankenhäuser jeder Größe die Pflicht zur Umsetzung eines „branchenspezifischen Sicherheitsstandards“ (B3S) vorgeschrieben, soweit sie nicht ohnehin als Betreiber Kritischer Infrastrukturen angemessene technische Vorkehrungen zu treffen haben. MVZ und Arztpraxen müssen nach § 75b SGB V die Vorgaben aus der „Richtlinie über die Anforderungen zur Gewährleistung der IT-Sicherheit“ der Kassenärztlichen Bundesvereinigung beachten. Auch IT-Dienstleister werden mit diesen Anforderungen an die IT-Sicherheit konfrontiert, wenn sie im Rahmen ihrer Tätigkeit mit der IT-Infrastruktur der genannten Einrichtungen in Berührung kommen. Die zur Umsetzung erforderlichen Maßnahmen können nach dem Krankenhauszukunftsgesetz gefördert werden.

Die neuen gesetzlichen Anforderungen an die IT-Sicherheit sind dabei nicht gänzlich neu, vielmehr konkretisieren sie die ohnehin bestehenden Regelungen zum Schutz von personenbezogenen Daten.

Ihr Unternehmen ist im Gesundheitswesen tätig und benötigt rechtliche Unterstützung bei der Umsetzung neuer IT-Sicherheitsanforderungen?

Dann fragen Sie noch heute bei uns an!

Warum bestand Handlungsbedarf?

Die Vorschriften aus der Datenschutz-Grundverordnung (DSGVO) waren bis dato sehr allgemein und wenig passgenau in Hinblick auf die besondere Schutzwürdigkeit von Daten aus dem Gesundheitswesen. So schreibt die DSGVO zwar vor, dass der für die Datenverarbeitung Verantwortliche angemessene Schutzmaßnahmen für die Sicherheit von personenbezogenen Daten treffen muss, konkretisiert wird dies jedoch nicht. Bislang fehlte es gerade aufgrund mangelnder konkreter Vorschriften an einer IT-spezifischen Sicherheitskultur im Gesundheitswesen. Zur DSGVO treten nunmehr die Vorschriften aus dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik, der Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz und das Sozialgesetzbuch fünftes Buch zur IT-Sicherheit in vertragsärztlichen Praxen und in Krankenhäuser hinzu.

Datenschutz und IT-Sicherheit im Verhältnis

Fraglich ist, wie diese sich einerseits ergänzenden, andererseits überlappenden Regelungen im Verhältnis zueinanderstehen. Quasi als eine Art Grundnorm schreibt die DSGVO vor, dass vom Verantwortlichen oder Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen getroffen werden müssen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Die datenschutzrechtlichen Bestimmungen der DSGVO gelten dabei ausschließlich für personenbezogene Daten. IT-Sicherheit geht weiter. Sie beschränkt sich nicht auf personenbezogene Daten, sondern schützt Informationen generell, sodass sich die Schutzrichtung hier nicht auf die individuell betroffenen Personen beschränkt, sondern die Organisationen, welche die Daten verarbeiten, in den Blick nimmt. Gleichwohl sind die vom Anwendungsbereich der §§ 75b, 75c SGB V erfassten Informationen in der Praxis personenbezogene Gesundheitsdaten.

Bei den Regelungen zur Informationssicherheit wird im Rahmen der dargestellten Gesetze noch einmal unterschieden zwischen IT-Sicherheit in vertragsärztlichen Praxen und Krankenhäusern. Die Anforderungen an die Praxen ergeben sich aus § 75 b SGB V in Verbindung mit der neuen IT-Sicherheitsrichtlinie, während sich die Anforderungen an Krankenhäuser schon vor Inkrafttreten des Patientendatenschutzgesetzes aus § 8a ab BSIG, § 6 BSI-Gesetz und (als Auffangtatbestand) und nach dem Inkrafttreten zusätzlich aus § 75 c SGB V ergeben. Die Unterscheidung spielt in der Praxis jedoch lediglich eine geringe Rolle, da die Verantwortlichen in allen Konstellationen technische und organisatorische Maßnahmen treffen müssen. Die § 8a BSI-Gesetz, § 6 KritisVO und § 75c SGB V führen zu einer defacto-Pflicht zur Umsetzung eines branchenspezifischen Sicherheitsstandards für die medizinische Versorgung in Krankenhäusern (B3S). Die IT-Sicherheitsrichtlinie, welche aufgrund des § 75 b SGB V erlassen wurde schreibt ebenfalls Sicherheitsstandards in Konkretisierung der DSGVO vor.

Das könnte Sie auch interessieren:

Sowohl die IT-Richtlinie als auch der B3S orientieren sich mit Ihren Vorgaben an den bekannten Sicherheitsstandards ISO 27001, ISO 27799 (Krankenhaus-spezifische Maßnahmen der Informationssicherheit) sowie DIN EN 80001-1 (Sicherheit von Medizingeräten in IT-Netzwerken). Ziel all dieser Vorgaben ist es, das Gefahrenpotential von Informationssicherheitsrisiken zu minimieren.

Umsetzung der gesetzlich vorgeschriebenen IT-Sicherheit

Für die Umsetzung der gesetzlichen Vorgaben bedarf es einer Menge an Organisation und Dokumentation. In der Praxis heißt das vor allem, dass die Umsetzung mit einem hohen Aufwand an niedergeschriebenen und daraufhin gelebten Prozessen einhergeht, um den Rechenschaftspflichten nachzukommen.
In den Geltungsbereich des B3S fallen dabei alle Informationen, die der kritischen Dienstleistung der stationären medizinischen Versorgung dienen.

Teil der IT-Sicherheitsanforderungen ist die Umsetzung eines Informationssicherheitsmanagementsystem (ISMS).
Einer der wichtigsten Punkte im Rahmen der Umsetzung eines ISMS ist dabei die Sensibilisierung und Schulung von Mitarbeitern vor allem im Hinblick auf Informationssicherheitsvorfälle. Informationssicherheitsvorfälle müssen gegebenenfalls gemeldet werden. Die Frage, ob ein Informationssicherheitsvorfall meldepflichtig ist, muss im Rahmen einer dokumentierten Risikobewertung beantwortet werden, welche bestenfalls ein benannter Informationssicherheitsbeauftragter durchführt. Für Betreiber kritischer Infrastrukturen nach dem BSI-Gesetz ist das BSI die zentrale Meldestelle. Sind personenbezogene Daten betroffen, ist der Vorfall zusätzlich als Datenschutzvorfall bei den zuständigen Aufsichtsbehörden für den Datenschutz zu melden. Zu beachten ist, dass jeder Datenschutzvorfall zwangsweise auch einen Informationssicherheitsvorfall darstellt, nicht jeder Informationssicherheitsvorfall aber einen Datenschutzvorfall.

Gerade, wenn ein meldepflichtiger Vorfall vorliegt, ist es wichtig, dass die verantwortliche Stelle ihr ISMS und ihre grundsätzlich getroffenen Maßnahmen nachweisen kann. Dementsprechend kommen zu den oben genannten Punkten die Pflicht zur Dokumentation aller Prozesse, die die Informationssicherheit sicherstellen, sowie etablierte Rechte und Rollenkonzepte hinzu.

Probleme in der Umsetzung

Zusätzlich muss auch die technische Umsetzung von Informationssicherheit gewährleistet werden. Probleme dahingehend bestehen nach einer Betreiberbefragung des BSI verbreitet immer noch in den Bereichen Verschlüsselung mobiler Speichermedien und E-Mails, (virtuelle) Netztrennung und Netzsegmentierung, Medizintechnik-Netz, Verwaltungsnetz, Applikationsnetz und Patienten-/Gästenetz, Test- und Freigabeprozessen für neue Softwaresysteme sowie dem Patch- und Änderungsmanagement.

Sollten die Vorschriften nicht eingehalten werden, drohen bekannter Maßen hohe Bußgelder, welche von den Datenschutzaufsichtsbehörden verhängt werden können. Um einen reibungslosen Aufbau eines auf das Gesundheitswesen spezialisierten ISMS zu gewährleisten, empfiehlt es sich daher, die Implementierung eines solchen zu akribisch zu planen und sich gegebenenfalls externe Hilfe zu holen.

Fazit

Die Digitalisierung und alle mit ihr einhergehenden Vor- und Nachteile hat nun also auch das Gesundheitswesen erreicht. Praxis- und Krankenhausbetreiber sind hier gut beraten, in geeignete Maßnahmen, Einrichtungen und gegebenenfalls externe Dienstleister zu investieren, um den gesetzlichen Anforderungen an die IT-Sicherheit gerecht zu werden. Dabei sollte die IT-Compliance nicht nur als pflichtgesteuerte Erfüllung gesetzlicher Pflichten angesehen werden. Es lohnt sich vielmehr, sich ernsthaft mit der Thematik der Cybersicherheit auseinanderzusetzen, um für den Ernstfall gewappnet zu sein. Kontaktieren Sie uns, falls Sie tiefergehenden Beratungsbedarf zum Thema Cyber- und IT-Sicherheit haben!

Mehr zum Thema

1. April 2024

Ransomware-Prävention in Zeiten von KI – Wie Unternehmen Attacken vorbeugen können

Ransomware ist nach wie vor eine der größten Bedrohungen für Wirtschaftsunternehmen. Besonders IT-Dienstleister sind in den vergangenen Jahren in den Fokus von Cyberkriminellen gerückt. Durch präventive Maßnahmen der Cybersicherheit werden personenbezogene Daten angemessen und wirksam vor den alltäglichen Gefahren des digitalen Zeitalters geschützt.
Weiterlesen
20. Februar 2024

Die Deadline naht: Machen Sie Ihr Unternehmen noch vor Oktober fit für NIS-2

Mit der nahenden Deadline im Oktober für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS-2) stehen Unternehmen vor der Herausforderung, nicht nur gesetzliche Vorgaben zu erfüllen, sondern auch ihre eigenen Geschäftsprozesse und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern.
Weiterlesen
6. Februar 2024

Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.
Weiterlesen

28. März 2022

Google Analytics in der EU: So gelingt der datenschutzkonforme Einsatz

Eine Vielzahl von Webseitenbetreibern nutzt Google Analytics auf ihrer Webseite. Dabei dient es den meisten Unternehmen als Online-Marketing-Tool zum Nachvollziehen des Nutzungsverhaltens auf ihrer Webseite und dem damit verbundenen Erfolg ihrer Marketingstrategie. Doch zuletzt ist der Dienst des US-amerikanischen Unternehmens Google LLC in den Fokus der Behörden geraten. Die österreichische und die französische Datenschutzbehörde haben sich aufgrund von Beschwerden der österreichischen Datenschutzorganisation noyb mit der Vereinbarkeit von Google Analytics und der Datenschutz-Grundverordnung (DSGVO) auseinandergesetzt. In beiden Fällen kamen die Behörden jeweils zu dem Ergebnis, dass die Nutzung des Trackingtools in der Europäischen Union illegal sei, da es gegen die DSGVO verstoße.
Die Entscheidungen machen nun auch andere Webseitenbetreiber, die Google Analytics nutzen, hellhörig. Wer Google Analytics noch nutzen möchte, sieht sich mit einigen Fragen konfrontiert. Dabei gilt es unter anderem zu wissen, ob und wie eine Nutzung des Analysetools noch zulässig ist und ob vormalige Diskussionen hinsichtlich der rechtmäßigen Verarbeitung aufgrund eines berechtigten Interesses nun obsolet sind. Sie finden dazu weitere Hintergrundinformationen hier auf unserem Blog.

Was Sie bei der Nutzung beachten müssen, und wie Sie Google Analytics dennoch rechtssicher auf ihrer Webseite einbinden können, stellen wir Ihnen im Folgenden dar.

Was ist Google Analytics?

Google Analytics ist ein Trackingtool und dient der Datenverkehrsanalyse von Webseiten. Verwenden Unternehmen auf ihrer Webseite diese Webanalyse-Software, werden dort Tracking-Technologien implementiert, wie Pixel, Cookies und Skripte. Beim Aufruf einer Google Analytics verwendenden Webseite, wird dann die entsprechende Technologie aktiv und speichert entweder die entsprechenden Nutzungsdaten, die analysiert werden sollen, auf dem Endgerät (dann mittels Cookies) oder greift auf bereits gespeicherte Informationen im Endgerät zu (dann mittels Skripte oder Pixel). Das Abrufen und Speichern der Nutzungsdaten bietet Aufschluss über das individuelle Nutzungsverhalten und ermöglicht so eine kontinuierliche Analyse der erhobenen Daten der Nutzenden. Häufig ist auch eine Verknüpfung mit den Daten von beispielsweise Google Ads, Google DoubleClick oder Google Conversion Tracking implementiert, wodurch personalisierte Werbung geschaltet werden kann oder Retargeting-Maßnahmen, wie dem erneuten Anzeigen von entsprechenden Produkten und Dienstleistungen einer bereits besuchten Webseite auf anderen Seiten oder Apps.

Sie benötigen unsere Unterstützung bei der rechtssicheren Implementierung von Google Analytics in Ihrem Unternehmen?

Fragen Sie noch heute an!

Welche Daten werden mittels Google Analytics erhoben?

Google Analytics erfasst verschiedene Daten, die zur Analyse des Nutzungsverhaltens herangezogen werden. Darunter sind unter anderem:

Die IP-Adresse,
die Anzahl der Webseitenbesuche,
Verweildauer auf der Webseite,
Suchbegriffe, über die die Besuchenden die Webseite gefunden haben,
den zum Aufruf genutzten Browser,
Besuchsquellen – durch Links oder Suchmaschinen,
demografische Merkmale, wie Sprache und Standort,
Inhalte, die die Besuchenden auf der Seite angesehen haben,
die Geräte, die Besuchende verwenden.

Diese Daten fallen unter den weiten Begriff der personenbezogenen Daten aus der DSGVO. Für deren Verarbeitung müssen daher die Vorschriften der DSGVO eingehalten und beachtet werden. Demnach gilt auch für diese Daten das grundsätzliche Verarbeitungsverbot mit Erlaubnisvorbehalt. In der Vergangenheit wurde bereits debattiert, ob diese Daten nicht aufgrund eines berechtigten Interesses der Webseitenbetreiber am Erfolg ihrer Marketingkampagnen verarbeitet werden dürften. Nähere Ausführungen dazu finden Sie hier auf unserem Blog. Inzwischen ist eine ausdrückliche Einwilligungspflicht für die Verwendung von nicht zwingend erforderlichen Cookies und ähnlichen Technologien, also etwa solche, die auch Google Analytics nutzt, gesetzlich im Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) festgelegt. Für nachgelagerte Datenverarbeitungen, wie z.B. das Retargeting, gilt dann wieder die DSGVO. Mehr Informationen zum TTDSG finden Sie in unseren Blogeintrag auf unserer Webseite.

Problematisch ist bei der Verwendung von Google Analytics insbesondere, dass diese Daten für deren Auswertung und Analyse auf einen Google-Server in die USA übertragen werden. Diese Übertragung ist ein Drittlandtransfer, der nur unter bestimmten in der DSGVO normierten Voraussetzungen zulässig ist. Unter diesem Gesichtspunkt haben auch die beiden aktuellen Behördenentscheidungen aus Österreich und Frankreich die Verwendung von Google Analytics als unvereinbar mit der DSGVO gehalten.

Das Aus für Google Analytics in der EU? – Die Entscheidungen der Behörden

Hintergrund der Behördenentscheidungen waren Beschwerden der noyb. Die Behörden betrachteten dabei jeweils Fälle, in denen Google Analytics von den jeweiligen Webseitenbetreibern eingesetzt wurde. Dies geschah jedoch in beiden Fällen ohne Einwilligung der Nutzenden und auf Grundlage der vormals geltenden Standardvertragsklauseln (SCC). Der Abschluss der SCC wurde mit dem Kippen des US-EU Privacy Shields, das vormals die Datenübermittlung im Rahmen eines Angemessenheitsbeschlusses in die USA ermöglichte, notwendig. Um dennoch einen Drittlandtransfer zu verwirklichen, ist es unter anderem möglich, diesen aufgrund des Abschlusses von SCC sowie des Vorsehens zusätzlicher „effektiver Maßnahmen“ durchzuführen. Dabei schlossen die Webseitenbetreiber, die Google Analytics verwendeten, die alten SCC mit Google LLC in den USA ab. Inzwischen wurden von der Europäischen Kommission bereits neue SCC erlassen, die nunmehr zwischen Google Ireland Limited und Google LLC abgeschlossen werden.

Google implementierte als technische und organisatorische Maßnahmen insbesondere die Anonymisierung der IP-Adressen, die Erstellung und Veröffentlichung von Transparenzberichten und die Verschlüsselung ruhender und transportierter Daten. Die Behörden entschieden jedoch, dass diese zusätzlichen Schutzmaßnahmen nicht ausreichend gewesen wären, um die personenbezogenen Daten der Besuchenden angemessen zu sichern und ein vergleichbares Schutzniveau zu dem innerhalb der Europäischen Union zu wahren. Durch diese sei der Zugriff durch US-Geheimdienste auf die Daten immer noch möglich gewesen. Dieser Zugriff der US-Geheimdienste war vor allem interessant, da die übermittelten Nutzungsdaten laut den Behörden gerade nicht pseudonymisiert oder anonymisiert gewesen seien. Insgesamt veranlasste dies die Behörden dazu, die Nutzung von Google Analytics in diesem Kontext als unvereinbar mit der DSGVO anzusehen.

Die österreichische Behörde legte ein sehr weites Verständnis des Begriffes eines personenbezogenen Datums zugrunde. Bereits Identifier wie IDs, die der Unterscheidbarkeit von Besuchenden dienen, wären vom Begriff erfasst. Die französische Datenschutzaufsicht empfahl die bevorzugte Nutzung von anonymisierten Daten, da dann keine Einwilligung nötig ist. Selbst wenn anonymisierte Daten verwendet würden, muss vor dem Hintergrund des österreichischen Verständnisses von personenbezogenen Daten eingestanden werden, dass die Effektivität der Nutzung von Google Analytics eher gering wäre. Bereits bei jedem Verbindungsaufbau zu einer Webseite wird die IP-Adresse eines Gerätes von einem Nutzenden übermittelt. Damit fiele man bereits zu diesem Zeitpunkt aus der Anonymität heraus. Der alternative Einsatz eines Klick-Zählers, der ohne ID des Nutzenden an ein selbst gehostetes Tool gesendet wird, wäre möglich. Die Aussagekraft der dadurch ermittelten Ergebnisse wäre jedoch eher gering.

Die Behördenentscheidungen aus Frankreich und Österreich gelten nur im jeweiligen Land. Demnach haben die Entscheidungen in Deutschland keine Wirkung. Die noyb hat jedoch auch in Deutschland bereits Beschwerde eingelegt. Wie die deutschen Behörden dabei entscheiden werden, bleibt abzuwarten. Jedoch zeichnet sich bereits eine Richtung innerhalb der Europäischen Union ab, wie Behörden dem Thema Google Analytics begegnen.

Das könnte Sie auch interessieren:

Die neuesten Entwicklungen zu Datentransfers in Drittländer
Internationaler Datentransfer – Neue Entwicklungen und Vorgaben für Unternehmen

Datenschutzkonforme Nutzung von Google Analytics – Worauf müssen Webseitenbetreiber achten?

Wollen Unternehmen Google Analytics nutzen, gilt es jedoch auch in Deutschland einige Rechtsvorschriften und damit verbundene Pflichten zu beachten. Im Folgenden stellen wir einige Handlungsempfehlungen vor:

Überlegen Sie, ob Sie Google Analytics einsetzen möchten. Es bietet sich unter Umständen auch an, einen Anbieter mit Sitz und Verarbeitungsort innerhalb der Europäischen Union oder sogar einen selbst gehosteten Dienst (z.B. Matomo) zu wählen, um so dem Problem der Drittlandübermittlung der personenbezogenen Daten aus dem Weg zu gehen.
Berücksichtigen Sie, dass auch Anbieter mit Sitz in der Union eventuell auf Subdienstleister in Drittländern zurückgreifen. In diesem Fall taucht das Problem der Drittlandübermittlungen wieder auf.
Möchten Sie weiterhin Google Analytics nutzen, müssen Sie unbedingt eine wirksame Einwilligung einholen. Durch Platzierung eines Einwilligungsbanners, dass insbesondere die Einwilligung in die Drittlandübermittlung vermittelt und über alle damit verbundenen Risiken informiert, kann das erreicht werden.
Überprüfen Sie Ihre Datenschutzerklärung auf Aktualität. Denken Sie an die Umsetzung möglicher Datenschutzeinstellungen in Google Analytics, insbesondere die Möglichkeit zur Deaktivierung der sog. „Datenfreigabe“.
Wenn möglich, sollten zum Messen und Analysieren von Besuchenden anonymisierte Daten verwendet werden. Dann ist keine Einwilligung notwendig, sodass auch keine Probleme bei einem Drittlandtransfer auftauchen. Ob der praktische Mehrwert der anonymisierten Ergebnisse so ausreicht, ist hingegen individuell zu entscheiden.

Fazit

Aktuell gibt es noch keine aktuelle Entscheidung in Deutschland zum Umgang mit Google Analytics. Hier bleibt abzuwarten, wie die Behörden künftig entscheiden werden. Die Datenschutzkonferenz (DSK) äußerte sich jedoch bereits in der Vergangenheit einmal kritisch zu Google Analytics, sogar noch vor der Schrems II-Entscheidung des EuGHs. Wer Google Analytics für seine Webseite verwenden möchte, kann dies aktuell noch tun – muss sich aber dem damit verbundenen Restrisiko bewusst sein. In der Orientierungshilfe Telemedien 2021 hat die DSK angerissen, dass die Einwilligung in den Drittlandtransfer keine ausreichende Grundlage sei. Mit guten Argumenten kann dies unter Umständen auch anders gesehen werden. Von einer Nutzung von Google Analytics ohne Einwilligung des Nutzenden sollte dringend abgesehen werden, da sonst Bußgelder drohen könnten. Ebenso führt der neue Trend zur Geltendmachung von Schadensersatzansprüchen von betroffenen Personen bei der Nutzung von Google Analytics ohne Einwilligung zu Forderungen, die gerichtlich eingeklagt werden könnten. Kontaktieren Sie uns gerne, falls Sie Beratung und Unterstützung benötigen!

Mehr zum Thema

18. September 2023

Alternativen zum klassischen Cookie-Banner – Paywalls, PUR-Modelle und PIMS

Das Werbetracking bietet Telemedienanbieterinnen und -anbietern die Möglichkeit, den Nutzerinnen und Nutzern personalisierte Werbung auszuspielen und damit die Darstellung ihrer Inhalte zu finanzieren. Der folgende Beitrag untersucht die rechtlichen Herausforderungen personalisierter Werbung und zeigt praktische Lösungsansätze auf.
Weiterlesen
12. Juli 2023

Die wichtigsten Fragen zu Datenübermittlung an US-Dienste: Was bedeutet der neue EU-US Datenschutzrahmen für Unternehmen?

Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss nach Artikel 45 Abs. 3 der DSGVO für die USA erlassen: Das „EU-US Data Privacy Framework“ (EU-US-Datenschutzrahmen). Damit stellt die Kommission nach dem vom EuGH im Juli 2020 gekippten Privacy Shield erneut fest, dass die USA ein angemessenes Schutzniveau für aus der EU übermittelte personenbezogene Daten gewährleisten können.
Weiterlesen
24. April 2023

Digitales Marketing und Datenschutz – Handlungsempfehlungen für E-Commerce-Unternehmen

Gerade aufgrund des riesigen Online-Angebots für sämtliche Produkte und Dienstleistungen sowie der in der Vergangenheit aufgetretenen Datenschutzvorfälle bei großen Online-Händlern, kann effektiver und gut umgesetzter Datenschutz für E-Commerce-Unternehmen bei der Ansprache von Kund:innen ein unersetzliches Asset darstellen. Wir geben einen Überblick!
Weiterlesen

21. März 2022

Beschäftigtendatenschutz: Herausforderungen und Lösungsansätze für Arbeitgeber

Mit dem Einzug der Digitalisierung in Unternehmen setzen viele Arbeitgeber auf digitale Prozesse – auch im Verhältnis zu Arbeitnehmern. Wer die wachsenden Potentiale nutzen will, muss sich insbesondere mit dem Datenschutz aus der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) auseinandersetzen. Doch wie können Arbeitgeber die damit verbundenen Chancen datenschutzkonform nutzen und von ihnen profitieren? Zentrale Herausforderung für digitale Beschäftigtenangelegenheiten ist dabei stets die Umsetzung des Vorhabens in Einklang mit den datenschutzrechtlichen Vorgaben.

In diesem Beitrag möchten wir Ihnen einen Überblick über einige Entwicklungen zum Beschäftigtendatenschutz geben. Mit Ausblick darauf, ob Unternehmen bald auf Rechtssicherheit durch ein neues Beschäftigtendatenschutz hoffen können, worauf es bei Auskunftsersuchen von Mitarbeitenden ankommt, vor welche neuen pandemiebedingten arbeitsrechtlichen Herausforderungen Arbeitgeber gestellt werden und wie digitale Lohnabrechnungen Unternehmen entlasten können, wollen wir Ihnen hier aufzeigen. Zu jedem Absatz geben wir Ihrem Unternehmen wertvolle Handlungsempfehlungen und Einschätzungen an die Hand!

Stand der Gesetzgebung: gibt es bald ein Beschäftigtendatenschutzgesetz?

Die Bestrebungen nach einem einheitlichen Beschäftigtendatenschutzgesetz reichen bis ins Jahr 2010 zurück. Seither wurde jedoch nie ein solches Regelwerk erlassen. Den Anstoß, ein neues Beschäftigtendatenschutzgesetz in Angriff zu nehmen, könnten nun die Ergebnisse des interdisziplinären Beirats zum Beschäftigtendatenschutz vom 17.01.2022 geben. Dem Beirat wurde vom Bundesministerium für Arbeit und Soziales aufgetragen, zu prüfen, ob ein eigenständiges Gesetz zum Beschäftigtendatenschutz erlassen werden sollte. Der Beirat formulierte in seinem abschließenden Bericht einige Thesen, die die Einschätzung zu einem Gesetz widerspiegeln.

Unter anderem sah der Beirat für einen fairen Ausgleich zwischen Beschäftigten- und Arbeitgeberinteressen ein bundesweites einheitliches, rechtlich verbindliches und verlässliches Regelwerk als notwendig an. Zwar gibt es in § 26 BDSG eine Regelung, die ausdrücklich Datenverarbeitungen im Beschäftigungsverhältnis vorsieht, jedoch schätzt der Beirat diese als zu generell formuliert ein. Der Beirat nahm dabei unter anderem den Einsatz Künstlicher Intelligenz im Beschäftigtenverhältnis, die spezifischen Rechte der Betroffenen im Beschäftigtenkontext und eine mögliche Einrichtung einer Beschäftigtendatenschutzkommission beim Bundesministerium für Arbeit und Soziales in den Blick.

Aus den Empfehlungen, die im Bericht des Beirats getroffen wurden, lässt sich die klare Fürsprache zu einem Gesetzestext schließen. Auch die aktuelle Koalition im Bundestag bestrebt eine Regelung zum Beschäftigtendatenschutz. Mit der Aufnahme der Arbeiten zu einem Gesetzesentwurf ist daher bald zu rechnen.

Für Unternehmen würde ein solches Regelwerk in vielen Bereichen für Rechtsklarheit sorgen. Auch den Beschäftigteninteressen würden im Gesetz ausreichend Rechnung getragen.

Wie können Sie und Ihr Unternehmen die Chancen von DSGVO & BDSG nutzen und von ihnen profitieren?

Jetzt mehr zum Beschäftigtendatenschutz erfahren

Aktueller Schwerpunkt: Auskunftsrecht

Seit Inkrafttreten der DSGVO häufen sich Auskunftsanfragen von Arbeitnehmern gegenüber ihrem (ehemaligen) Arbeitgeber. Das Auskunftsrecht nach Art. 15 DSGVO ist eines der zentralen Betroffenenrechte der DSGVO. Durch das Auskunftsrecht können Personen erfragen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ein Auskunftsanspruch besteht auch in einem Arbeitsverhältnis, da der Arbeitgeber zwangsläufig personenbezogene Daten der Arbeitnehmer verarbeitet. Es ist etwa an Kontaktdaten der Person, Bankdaten, soweit es um die Entlohnung und ähnliches geht, aber auch an Leistungs-, Gesundheits-, und Verhaltensdaten zu denken. Für Arbeitgeber kommt es in diesem Zusammenhang aber vor allem darauf an zu wissen, in welchem Umfang sie Auskünfte erteilen müssen und wie mögliche Konflikte mit unternehmensinternen Geschäftsgeheimnissen und Rechte Dritter gelöst werden können. Außerdem ist es für Unternehmen von besonderer Bedeutung, wie solche Anfragen umfassend und rechtssicher bearbeitet werden können.

Der Umfang des Auskunftsanspruches ist bisher stark von der deutschen Rechtsprechung geprägt und aufgrund verschiedener Urteile unübersichtlich und nicht einheitlich. Der europäische Datenschutzausschuss hat nun Leitlinien veröffentlicht, die es unter anderem Arbeitgebern erleichtern, Antworten auf die relevanten Fragen zu formulieren.

Einen ausführlichen Überblick und praxisnahe Handlungsempfehlungen zum Auskunftsrecht finden Sie in unserem Blog.

Zum Umfang des Auskunftsrechts führt der EDSA aus, dass ein sehr weites Verständnis zugrunde zu legen ist. Er gibt ausdrücklich an, dass sich der Antrag auf alle personenbezogenen Daten der betroffenen Personen bezieht. Gerade im Beschäftigtenkontext seien auskunftswürdige personenbezogene Daten unter anderem solche Elemente, die für die Entscheidung über eine Beförderung, eine Gehaltserhöhung oder eine neue Aufgabenzuweisung maßgeblich sind. Das könne die jährliche Leistungsbeurteilung, Fortbildungsanträge oder sonstige Karrieremöglichkeiten sein. Auch pseudonymisierte Daten seien auskunftswürdige personenbezogene Daten. Das Auskunftsrecht der DSGVO müsse also ebenso weit gehen, wie die Definition von personenbezogenen Daten es erlaubt – sehr weit und gerade nicht zu restriktiv.

Häufig verlangen Arbeitnehmer die Offenlegung des privaten Kommunikationsverlaufs mit eingehenden und ausgehenden Nachrichten im Beschäftigungskontext. Arbeitgeber müssten nach dem weiten Verständnis auch über die E-Mail-Kommunikation des anfragenden Angestellten Auskunft erteilen. Dies gilt sogar dann, wenn der Arbeitnehmer die E-Mails selbst bereits gelöscht hat. Nur wenn alle Daten zu umfangreich sind, dürfe der Arbeitgeber verlangen, dass der Angestellte seinen Antrag näher spezifiziert.

Solange keine Rechte und Freiheiten anderer Personen entgegenstehen, sind nach dem EDSA unter anderem folgende Daten in der Auskunft zu offenbaren:

Besondere Kategorien von personenbezogenen Daten: sensible Daten, wie zum Beispiel Gesundheitsdaten.
Personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten.
Daten, die von der betroffenen Person wissentlich und aktiv zur Verfügung gestellt werden: zum Beispiel Kontodaten oder Daten, die über Formulare etc. erfasst werden.
Daten, die durch die Nutzung eines Dienstes oder Gerätes beobachtet werden konnten: Beispielsweise Zugriffsprotokolle, die Historie der Webseiten-Nutzung, Suchaktivitäten, Standortdaten, Klickaktivitäten, Tastenanschläge usw.
Daten, die aus anderen Daten abgeleitet werden: etwa die Kreditwürdigkeit, Wohnsitz aus der Postleitzahl.
Daten, die aus anderen Daten abgeleitet sind, aber nicht von der Person zur Verfügung gestellt wurden, wie algorithmische Ergebnisse, Ergebnisse einer Gesundheitsbewertung oder eines Personalisierungs- oder Empfehlungsprozesses.
Pseudonymisierte Daten.

Sollten Rechte und Freiheiten Dritter eine Auskunft tangieren, führt das je nach Umfang der Beeinträchtigung nicht zur Verweigerung des Ersuchens. Unternehmen müssen die Auskunft erteilen, aber Teile, die Dritte oder sie selbst beeinträchtigten, könnten unkenntlich und unleserlich machen. Entsprechende Stellen können geschwärzt werden.

Wie Arbeitgeber auf Auskunftsersuchen reagieren sollten

Arbeitgeber sollten dazu motiviert sein, die rechtskonforme Beantwortung von Auskunftsanfragen und das Bereitstellen von Kopien ernst zu nehmen. Andernfalls ist mit Bußgeldern wegen Verstößen gegen die Betroffenenrechte zu rechnen. Eine weitere Konsequenz ist die immer populärere Möglichkeit der Betroffenen Schadensersatz zu verlangen. Dies sollte auf keinen Fall unterschätzt werden!

Es ist daher dringend zu empfehlen, einem Auskunftsersuchen unverzüglich nachzukommen. Die DSGVO sieht eine Monatsfrist für die Beantwortung der Anfrage ab Eingang des Antrags vor. Weiterhin ist es zu empfehlen, dass Arbeitgeber ein Verzeichnis von Verarbeitungstätigkeiten führen, da dies die angefragten Daten leichter und schneller auffindbar macht. Insbesondere hilft es Arbeitgebern routinierte Prozesse für die Auskunftserteilung von Arbeitnehmern zu etablieren. Die Daten könnten beispielsweise durch ein eingerichtetes Self-Service Tool bereitgestellt werden. Für die Mitteilung der weiteren allgemeinen Informationen – aber auch nur für diese – bietet es sich an, durch vorgefertigte Textbausteine aus der Datenschutzerklärung allgemein gültige Auskünfte zu erteilen. Etwa für das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde, könnte darauf zurückgegriffen werden. Zur Erstellung der Auskunft kann auch ein automatisierter oder technischer Prozess hilfreich sein.

Auswirkungen der Pandemie

Impfstatusabfrage durch den Arbeitgeber

Mit den Änderungen des Infektionsschutzgesetzes (IfSG) hat der Gesetzgeber seit dem 24.11.2021 eine Rechtsgrundlage für Arbeitgeber geschaffen, die es ihm erlaubt, den Impfstatus der Beschäftigten abzufragen. Der Impfnachweis eines Arbeitnehmers gehört zu den Gesundheitsdaten und muss daher besonders empfindlich behandelt werden. Arbeitgeber dürfen sich ein entsprechendes Zertifikat vorzeigen lassen, das aussagt, ob ein Arbeitnehmer geimpft, genesen oder getestet (3G-Regel) ist. Die betriebliche 3G-Regelung muss durch den Arbeitgeber kontrolliert und entsprechend dokumentiert werden.

Empfehlenswert wäre eine vollständige Mitarbeitenden-Liste, die Vorname und Name auflistet. In der Liste sollte dann aufgenommen werden, ob ein gültiger Impf- oder Genesenennachweis vorliegt. Bei Geimpften und Genesenen sollte eine einmalige Kontrolle, ob ein Zertifikat vorliegt, ausreichen. Bei Genesenennachweisen können Unternehmen auch das Ablaufdatum des Nachweises dokumentieren. Unternehmen können so gewährleisten, dass der Infektionsschutz lückenlos eingehalten wird. Ebenfalls sollte aufgelistet werden, wer einer täglichen Testnachweispflicht nachkommen muss und ob dies am jeweiligen Tag geschehen ist. Das konkrete Testergebnis darf nach der Regelung nicht notiert werden. Sollte ein Arbeitnehmer jedoch einen positiven Test haben, ist in der Regel der Zugang zur Arbeitsstätte zu verweigern.
Die dokumentierten Daten sollten 6 Monate nach der Erhebung gelöscht werden.

Immunitätsnachweis im Gesundheitswesen

Konkret im Gesundheitswesen wird ab 15.03.2022 die Vorlage eines Immunitätsnachweises gegen Covid-19 verpflichtend eingeführt. Arbeitnehmer unter anderem in Krankenhäusern, Tageskliniken oder Rettungsdiensten müssen dann grundsätzlich geimpft oder genesen sein. Ausnahmen gibt es auch hier für medizinische Fälle, in denen eine Impfung nicht in Frage kommt.

Arbeitgeber kommt die Pflicht zu, das zuständige Gesundheitsministerium darüber zu informieren, wenn die Nachweise nicht rechtzeitig vorgelegt werden. Liegt bis zum 15.03.2022 kein entsprechendes Zertifikat des Arbeitnehmers vor, ist aber auch das Anordnen eines Betretungs- oder Tätigkeitsverbots nicht Sache des Arbeitgebers. Hier muss das Gesundheitsamt tätig werden. Das jeweils zuständige Gesundheitsamt entscheidet, ob Beschäftigte wegen eines fehlenden oder nicht anerkannten Immunitätsnachweises von ihrer Arbeit ausgeschlossen werden.

Immunitätsnachweis bei einer Arbeitnehmerüberlassung für Pflegekräfte und Co.

Wie verhält es sich aber, wenn der Arbeitgeber als Überlassungsfirma seine Angestellten in Krankenhäusern und Gesundheitseinrichtungen einsetzt? In diesem Fall kann der Arbeitgeber des Leiharbeitsunternehmens den Immunnachweis abfragen, auch wenn diese Vorlagepflicht eigentlich nur für Einrichtungen des Gesundheitswesens selbst gilt. Dafür muss aber eine entsprechende Absprache zwischen der Gesundheitseinrichtung und dem Arbeitgeber getroffen worden sein. Die Daten können dann entsprechend ausgetauscht werden. Für Arbeitgeber wird es dafür wohl genügen, der einsetzenden Stelle mitzuteilen, dass Immunisierungsnachweise vorliegen. Die erneute Erhebung der Zertifikate ist keine Aufgabe der einsetzenden Einrichtung selbst. Es besteht wohl schon kein datenschutzrechtliches Bedürfnis, die Daten nochmals zu verarbeiten. Die Mitteilung des Arbeitgebers, dass er die Immunisierung dokumentiert hat, sollte eine sinnvolle und zumutbare Alternative zur erneuten Erhebung darstellen.

Die elektronische Lohnabrechnung

Viele moderne Unternehmen setzen bereits auf die digitale Lohnabrechnung. Dabei kommen häufig Fragen seitens Arbeitgeber auf, wie eine digitale Gehaltsabrechnung datenschutzkonform im Unternehmen genutzt werden kann. Gehaltsabrechnungen werden derzeit noch häufig auf Papier per Post zugestellt. Dieser Prozess ist aber zum einen sehr kostspielig, zum anderen auch sehr aufwändig. Eine digitale Lösung, um Druckkosten und postalischen Versand zu vermeiden, ist daher die elektronische Lohnabrechnung. Arbeitgeber versenden dabei Gehaltsabrechnungen per E-Mail oder übermitteln sie über ein entsprechendes Online-Portal. Die datenschutzrechtliche Relevanz ist dabei nicht von der Hand zu weisen, da Lohnabrechnungen immer personenbezogene Daten enthalten. Unter personenbezogenen Daten fallen hier insbesondere Name und Adresse des Angestellten und die Personalnummer. Darüber hinaus sind auch häufig sensible Daten in der Lohnabrechnung enthalten. Sensible Daten sind zum Beispiel solche, die Aufschluss über die religiöse Überzeugung geben. Gerade bei der Listung der steuerlich relevanten Bezüge sind im Regelfall Angaben zur Religionszugehörigkeit zu finden. Diese Daten sind nach der DSGVO unter einen besonderen Schutz gestellt, da sie mit besonderen Risiken bei deren ungerechtfertigten Verarbeitung für natürliche Personen verbunden sind.

Arbeitgeber dürfen diese Daten nur unter gewissen gesetzlich geregelten Umständen verarbeiten. Das ist unter anderem der Fall, wenn die Verarbeitung aus arbeitsrechtlichen Gründen erforderlich ist. Bei der Auszahlung und Abrechnung des Arbeitsentgelts greift daher eine solche Ausnahme zugunsten der Verarbeitung ein.

Um die digitale Übermittlung der Gehaltsabrechnung dennoch sicher zu ermöglichen, müssen Arbeitgeber für entsprechende Datensicherheit sorgen. Dafür müssen geeignete technische und organisatorische Maßnahmen (TOM) implementiert werden, um möglichen Datenvorfällen entgegenzuwirken und diese zu vermeiden.

Versenden Unternehmen die elektronische Lohnabrechnung beispielsweise per E-Mail, ist die Inhaltsverschlüsselung eine sinnvolle Möglichkeit. Daneben sollte auch eine Transportverschlüsselung implementiert werden, sodass nur der dafür bestimmte Empfänger auf die Lohnabrechnung Zugriff hat.

Digitale Gehaltsabrechnungen könnten auch über ein Online-Portal zugänglich gemacht werden. Auch hier müssen dann aber geeignete TOM implementiert werden, wie beispielsweise eine Zwei-Stufen-Authentifizierung, die ein sicheres Zugangskonzept darstellt. Nutzen Unternehmen ausschließlich ein solches Online-Portal, könnte dies zumindest nach aktueller Rechtsprechung den gesetzlichen Voraussetzungen für die Erteilung der Lohnabrechnung nicht genügen. Laut Gewerbeordnung (GewO) müssen Lohnabrechnungen den Mitarbeitenden tatsächlich erteilt werden. Das heißt, die Abrechnung muss den Angestellten zugehen – also in deren Sphäre bereitstehen, sodass sie Kenntnis von ihr nehmen können. Mit Einwurf in den Briefkasten ist das regelmäßig der Fall. Mit der Frage, ob der Upload in einem Online-Portal den Anforderungen an die Erteilung gerecht wird, hat sich das Landesarbeitsgericht (LAG) Hamm befasst (Urt. v. 23.09.2021, Az. 2 Sa 179/21). Das LAG ist der Ansicht, dass der Upload der Erklärung in einem Online-Portal und die damit verbundene Möglichkeit des Abrufs einer digitalen Lohnabrechnung allein nicht genüge. Vielmehr müsse dem Angestellten die Lohnabrechnung noch anders zugestellt werden. Unternehmen, die ein Online-Portal nutzen wollen, sollten nach aktuellem Stand auch zusätzlich eine E-Mail versenden. Nur so kann gewährleistet werden, dass die digitale Lohnabrechnung den Arbeitnehmer:innen tatsächlich zugeht.

Holen Arbeitgeber von den Mitarbeitenden für die ausschließliche Nutzung eines entsprechenden Online-Portals eine Einwilligung ein, kann das Portal dennoch genutzt werden. Arbeitgeber müssen ihre Mitarbeitenden zuvor jedoch hinsichtlich der Verarbeitung für die digitale Lohnabrechnung entsprechend informieren.

Fazit

Die Fortentwicklung des Datenschutzes im Beschäftigtenkontext ist und bleibt dynamisch. Dabei bieten die vielfältigen Ansatzpunkte und Veränderungsmöglichkeiten viele Chancen auf einen überschaubaren Datenschutz im betrieblichen Umfeld.

Wir unterstützen Sie gerne bei allen Fragen rund um den Beschäftigtendatenschutz! Mit unserem erfahrenen Team stehen wir Ihnen gerne bei jeglichen Fragen zur datenschutzkonformen Umsetzung Ihrer Vorhaben als Arbeitgeber zur Verfügung.

Mehr zum Thema

12. Juli 2023

Die wichtigsten Fragen zu Datenübermittlung an US-Dienste: Was bedeutet der neue EU-US Datenschutzrahmen für Unternehmen?

Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss nach Artikel 45 Abs. 3 der DSGVO für die USA erlassen: Das „EU-US Data Privacy Framework“ (EU-US-Datenschutzrahmen). Damit stellt die Kommission nach dem vom EuGH im Juli 2020 gekippten Privacy Shield erneut fest, dass die USA ein angemessenes Schutzniveau für aus der EU übermittelte personenbezogene Daten gewährleisten können.
Weiterlesen
11. April 2023

KI im Recruiting: Chancen und Datenschutz-Risiken für Unternehmen

Künstliche Intelligenz ist in aller Munde und wird längst auch in HR-Prozessen eingesetzt. Vor allem in der Personaladministration sind KI-Tools statistisch gesehen beliebt. Im folgenden Beitrag wollen wir die populärsten KI-Potenziale im Recruiting vorstellen und einen Überblick über deren Chancen, Risiken und Herausforderungen geben.
Weiterlesen
21. März 2022

Beschäftigtendatenschutz: Herausforderungen und Lösungsansätze für Arbeitgeber

Wie können Arbeitgeber die Chancen der DSGVO & BDSG datenschutzkonform nutzen und von ihnen profitieren? Erfahren Sie es in unserem Beitrag!
Weiterlesen

2. März 2022

Neue EDSA-Guidelines für Auskunftsersuchen – Wie Unternehmen rechtssicher Auskunft erteilen können

Der Europäische Datenschutzausschuss (EDSA) hat am 28.01.2022 Leitlinien bezüglich des Rechts auf Auskunft (Guidelines 01/2022) veröffentlicht. Sie dienen insbesondere als Wegweiser zu einer einheitlichen Anwendung der Datenschutz-Grundverordnung (DSGVO) in allen Mitgliedstaaten der Europäischen Union. Zwar sind sie nicht rechtsverbindlich, jedoch orientieren sich Datenschutzbehörden, Datenschutzberater:innen und unter Umständen auch Gerichte an ihnen, sodass Unternehmen sie unbedingt kennen sollten. Der EDSA geht auf einige Fragen ein, die zuletzt uneinheitlich von Gerichten beantwortet wurden, wie zum Beispiel der konkrete Umfang des Auskunftsrechts. Außerdem lassen sich aus den Leitlinien wichtige Handlungsempfehlungen für Unternehmen entnehmen. In diesem Beitrag stellen wir Ihnen diese Leitlinien vor und geben Unternehmen wertvolle praktische Hinweise zum Vorgehen bei einem Auskunftsersuchen an die Hand.

Wann müssen Unternehmen Auskunft nach Art. 15 DSGVO erteilen?

Zunächst gilt es zu klären, wann Unternehmen überhaupt Auskunft erteilen müssen. Nach dem Gesetzestext kann eine betroffene Person von einem Verantwortlichen Bestätigung darüber verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Verantwortlicher ist, wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Bestimmt ein Unternehmen also, ob, wozu und wie personenbezogene Daten verarbeitet werden, gilt es nach der DSGVO als Verantwortlicher. Für das Auskunftsrecht des Betroffenen ist zu beachten, dass keine Vorbedingungen erfüllt werden müssen. Das heißt, der Verantwortliche überprüft nicht, warum ein Antrag gestellt wurde und ob er gewissen Voraussetzungen gerecht wird. Grundsätzlich dürfen natürliche Personen immer Auskunft verlangen, mit der Folge, dass Unternehmen eine entsprechende Erklärung abgeben müssen.

In einer Art Drei-Schritt-Prüfung sollten Unternehmen dann ermitteln, inwieweit sie Auskunft erteilen müssen. Dabei gilt es zu berücksichtigen,

ob das Unternehmen überhaupt personenbezogene Daten der auskunftsersuchenden Person verarbeitet.
Ist dem nicht so, dann muss das Unternehmen eine Negativauskunft erteilen.
Werden Daten verarbeitet, dann hat die betroffene Person ein Auskunftsrecht über die personenbezogenen Daten und über die in Art. 15 Abs. 1 lit. a-h, Abs. 2 DSGVO genannten Informationen.

Verarbeitet ein Unternehmen personenbezogene Daten, muss es nach Maßgabe des Art. 15 Abs. 3 DSGVO auch eine Kopie dieser personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung stellen. Die erste Kopie ist dabei stets kostenlos – und zwar unabhängig von den tatsächlich angefallenen Kosten. In der Kopie müssen umfassend alle Daten, die in Art. 15 Abs. 1 DSGVO genannt sind, aufgeführt sein. Eine bloße kurzgehaltene Zusammenfassung genügt nicht.

Für weitere Kopien dürfen Unternehmen ein angemessenes Entgelt verlangen. In diesem Zusammenhang ist oft nicht klar, ob der Betroffene eine neue Anfrage startet, die dann wiederum an die kostenlose Kopie gekoppelt wäre, oder ob es sich um die Frage nach einer erneuten Kopie handelt. Der EDSA führt dazu aus, dass es auf die konkrete Anfrage ankommt und in welchem inhaltlichen und zeitlichen Umfang sie zur ersten Anfrage steht. Sollte die betroffene Person zu einem späteren Zeitpunkt einen anderen Umfang an personenbezogenen Daten erfragen, sollte das Unternehmen von einer erneuten Anfrage ausgehen und nicht von dem Verlangen nach einer weiteren Kopie.

Über welche Daten und Informationen muss Auskunft erteilt werden?

Zu den Daten

Bisher ist das Verständnis vom Umfang des Auskunftsrechts durch uneinheitliche Rechtsprechung geprägt. Der EDSA führt aus, dass ein sehr weites Verständnis zugrunde zu legen sei. Ein Antrag auf Auskunft beziehe sich auf alle personenbezogenen Daten der betroffenen Person, so der EDSA. Neben den grundlegenden personenbezogenen Daten wie Name oder Adresse sollen auch eine Vielzahl anderer Daten darunterfallen. Beispielsweise medizinische Befunde, Anhaltspunkte für die Kreditwürdigkeit, Aktivitätsprotokolle oder Suchaktivitäten. Auch pseudonymisierte Daten seien auskunftswürdige personenbezogene Daten. Es fallen auch Kommunikationsverläufe, die häufig bezüglich stattgefundener E-Mail-Kommunikation angefordert werden, unter die auskunftspflichtigen Umstände. Das gelte sogar dann, wenn die E-Mails bereits gelöscht wurden, der Server-Provider aber noch Zugriff auf diese hat. Anders hatte das Landesarbeitsgericht (LAG) Hannover (Urt. v. 9.6.2020, Az. 9 Sa 608/19) noch im Juni 2020 entschieden, als es darauf abstellte, der E-Mail-Verkehr, den ein Mitarbeiter selbst geführt oder erhalten hatte, sei nicht von Art. 15 DSGVO umfasst. Der EDSA stützt seine Ansicht hingegen auf das sehr weite Verständnis von Art. 4 Nr. 1 DSGVO, der eine umfassende Definition von personenbezogenen Daten vorsieht. Das Auskunftsrecht der DSGVO müsse ebenso weit gehen, wie die Definition die Kategorisierung von personenbezogenen Daten erlaubt. Das heißt eben sehr weit und gerade nicht zu restriktiv. Dieses Verständnis hatte ebenfalls das Oberlandesgericht Köln (Urt. v. 23.10.2020, Az. 20 U 57/19) hinsichtlich eines Auskunftsanspruches eines Versicherungsnehmers gegenüber seiner Versicherung zu Grunde gelegt. Auch Auskünfte zum Verlauf des Prämienkontos, zum Zustandekommen des Versicherungsverhältnisses und auf die zum Betroffenen gespeicherte Korrespondenz waren nach Ansicht des Gerichts umfasst.

Nur wenn die Menge der Daten zu umfangreich wäre, dürfe der Verantwortliche verlangen, dass der Betroffene seinen Antrag näher spezifiziert. Ein eingeschränkter Umfang kommt auch dann in Betracht, wenn die betroffene Person explizit nur bestimmte Daten angefragt hat.

Der EDSA listet nicht abschließend folgende Daten auf, die unter Berücksichtigung von Rechten und Freiheiten anderer Personen zu offenbaren sind:

Besondere Kategorien von personenbezogenen Daten: sensible Daten wie zum Beispiel Gesundheitsdaten.
Personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten.
Daten, die von der betroffenen Person wissentlich und aktiv zur Verfügung gestellt wurden: zum Beispiel Kontodaten oder Daten, die über Formulare etc. erfasst werden.
Daten, die durch die Nutzung eines Dienstes oder Gerätes beobachtet werden konnten: Beispielsweise Zugriffsprotokolle, die Historie der Webseiten-Nutzung, Suchaktivitäten, Standortdaten, Klickaktivitäten, Tastenanschläge usw.
Daten, die aus anderen Daten abgeleitet werden: etwa die Kreditwürdigkeit, der Wohnsitz aus der Postleitzahl.
Daten, die aus anderen Daten abgeleitet sind, aber nicht von der Person zur Verfügung gestellt wurden, wie algorithmische Ergebnisse, Ergebnisse einer Gesundheitsbewertung oder eines Personalisierungs- oder Empfehlungsprozesses.
Pseudonymisierte Daten.

In Einklang damit urteilte bereits der Bundesgerichtshof (Urt. v. 15.6.2021, Az. VI ZR 579/19) richtungsweisend zu einem weiten Verständnis des Auskunftsrechts. Unter anderem sei über bereits Bekanntes oder interne Vermerke Auskunft zu erteilen.

Sie haben weitergehende Fragen zu den neuen EDSA-Richtlinien? Dann sind Sie hier genau richtig!

Jetzt unverbindlich kontaktieren

Zu Anfragen im Beschäftigtenkontext sollten Unternehmen die Ansicht des EDSA kennen, dass Elemente, die für die Entscheidung über eine Beförderung, eine Gehaltserhöhung oder eine neue Aufgabenzuweisung maßgeblich sind, als auskunftswürdige personenbezogene Daten über den betreffenden Mitarbeiter einzustufen sind. Das könne die jährliche Leistungsbeurteilung, Fortbildungsanträge oder sonstige Karrieremöglichkeiten sein. Das stellte bereits das LAG Hamm mit Urteil vom 11.5.2021 (Az. 2 AZR 363/21) fest, indem es Leistungs- und Verhaltensdaten eines Arbeitnehmers als personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO verstand.

Unternehmen müssen außerdem auch unrichtige oder unrechtmäßig verarbeitete Daten bei einer Anfrage offenlegen. Das hilft betroffenen Personen, sich über alle Verarbeitungen überhaupt im Klaren zu werden. Anders als beim Recht auf Datenportabilität nach Art. 20 DSGVO, bei dem Daten von einem Verantwortlichen zu einem anderen Verantwortlichen mitgenommen werden können, umfasst das Recht auf Auskunft auch abgeleitete Rechte. Bei der Datenportabilität können nur vom jeweiligen Unternehmen selbst generierte Daten mitgenommen werden. Auskunft müssen Unternehmen hingegen auch hinsichtlich abgeleiteter personenbezogener Daten von anderen Providern erteilen.

Die mitzuteilenden Informationen

Die betroffene Person darf die Mitteilung folgender Informationen in Bezug auf die Verarbeitung ihrer angefragten personenbezogenen Daten verlangen:

Die Zwecke, zu denen die Daten verarbeitet werden,
die Kategorien der Daten, also zum Beispiel Gesundheitsdaten, biometrische oder genetische Daten,
Informationen über Empfänger, denen die Daten offengelegt wurden,
soweit möglich die geplante Speicherdauer oder die Kriterien für die Festlegung dieser Dauer,
Information zum Bestehen des Rechts auf Berichtigung oder Löschung, auf Einschränkung der Verarbeitung oder des Widerspruchrechts,
das Bestehen eines Beschwerderechts,
alle verfügbaren Informationen über die Herkunft der Daten,
das Bestehen einer automatisierten Entscheidungsfindung, zum Beispiel mittel Künstlicher Intelligenz,
Informationen im Zusammenhang einer Drittlandübermittlung, soweit die Daten in ein Drittland übermittelt wurden.

Zur Mitteilung dieser Informationen können Unternehmen, so der EDSA, auch auf Textbausteine aus der Datenschutzerklärung oder aus dem Verarbeitungsverzeichnis (vgl. Art. 30 DSGVO) zurückgreifen. Hier sollte jedoch zuerst sehr sorgfältig geprüft werden, ob die Information mittels eines Textbausteins die Anfrage auch spezifisch genug beantworten kann. Gerade bei allgemeinen regelmäßig gleichlautenden Informationen, wie etwa die Mitteilung über das Recht auf Berichtigung, erscheint dies sinnvoll, sodass Unternehmen hier auf automatisierte Prozesse setzen können.

Wie sollten Unternehmen Auskunft erteilten?

Wie können Unternehmen entsprechende Daten abrufen?

Hierfür sollten, so der EDSA, neben den Daten, die in IT-Systemen aufzufinden sind, auch alle Nicht-IT-Dateisysteme berücksichtigt werden. Demnach gilt auch, Daten aus Papierakten zu recherchieren und offenzulegen. Auch personenbezogene Daten, die in einem Computerspeicher mittels Binärcode gesammelt wurden oder solche, die auf einem Videoband gespeichert sind, gelten als potentielle Datenquellen für eine solche Betroffenenanfrage. Dabei sollten Unternehmen bereits vor dem Hintergrund der Datenschutzgrundsätze Privacy by Design und Privacy by Default angemessene Wege in ihre IT-Systeme implementiert haben, um angefragte Daten schnell auffinden zu können. Dabei geht es um datenschutzfreundliche technische Voreinstellungen bei Datenverarbeitungsprozessen.

Form

Unternehmen müssen die Daten sowie die Informationen in schriftlicher oder anderer Form, gegebenenfalls auch elektronisch, mitteilen. Dabei sollte die Auskunft in einer permanenten Form als Kopie erteilt werden. Sollte der Betroffene zum Beispiel eine mündliche Auskunftserteilung wünschen, sollten Unternehmen dem nachkommen. Datenkopien sollten Unternehmen aber dennoch bereitstellen können, soweit der Betroffene dies verlangt. In der Regel werden Auskunftsersuchen über den elektronischen Weg angefragt. Sollte die Anfrage auf elektronischem Wege gesendet worden sein, sollte auch per elektronischem Kommunikationsweg die Datenkopie übermittelt werden, so der EDSA. Zu denken wäre beispielsweise an eine PDF-Datei, die per E-Mail versendet wird. Ein Online-Self-Service-Tool, das automatisiert Anfragen bearbeitet, könnte ebenfalls eingesetzt werden. Anders ist es nur, wenn der Betroffene ausdrücklich die Auskunftserteilung in einer gewissen Form wünscht, zum Beispiel als Schriftstück mit Sendung per Post. Dann sollten Unternehmen diesem Wunsch auch nachkommen.

Art und Weise der Auskunftserteilung

Alle Mitteilungen müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermittelt werden. Besondere Herausforderung für Unternehmen stellt dabei häufig die enorme Menge von offenzulegenden Daten dar, welche in Konflikt mit der prägnanten Mitteilung stehen kann. Als möglichen Ansatz nennt der EDSA eine mehrschichtige Auskunft, bei welcher die Informationen auf verschiedenen Ebenen mitgeteilt werden. Unternehmen könnten auf erster Ebene über die Verarbeitung und die Rechte der betroffenen Person sowie ein erster Teil der verarbeiteten personenbezogenen Daten mitteilen. In einer zweiten Schicht sollten dann detailliertere personenbezogene Daten bereitgestellt werden.

Zeitlicher Rahmen für die Auskunft

Bei Eingang einer Auskunftsanfrage gilt unverzüglicher Handlungsbedarf. Unternehmen müssen so schnell wie möglich, jedenfalls innerhalb eines Monats die Anfrage beantwortet haben. In Ausnahmefällen, wie bei einer hohen Anzahl und sehr komplexen Anträgen, kommt eine Fristverlängerung um weitere zwei Monate in Betracht.

Die Grenzen

Das Recht auf Erhalt einer Kopie über die verarbeiteten Daten und Informationen darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Zu den Grenzen meint der EDSA, dass auch Geschäftsgeheimnisse und geistiges Eigentum des Unternehmens selbst, zu den nicht zu beeinträchtigenden Rechten und Freiheiten anderer Personen gehöre. Dass eine Beeinträchtigung der Freiheit und Rechte anderer vorliegt, muss stets das Unternehmen beweisen.

Sollte es zu einem Interessenkonflikt zwischen dem Auskunftsersuchenden und den Interessen anderer kommen, sieht der EDSA durchaus die Möglichkeit, dass entsprechende Stellen geschwärzt oder anderweitig unkenntlich gemacht werden. So könne die Auskunft dennoch unter Wahrung der Interessen einer anderen Person bzw. des Unternehmens selbst erteilt werden. So entschied bereits das Landgericht Köln (Urt. v. 24.06.2020, Az. 20 O 241/19) hinsichtlich der Datenauskunft durch Übersendung einer Schadensakte. Grundsätzlich sei die vollständige Übersendung der Schadensakte einer Versicherung wegen Interessen Dritter, nicht möglich. Jedoch können personenbezogene Daten Dritter in einem solchen Fall geschwärzt werden, um so dennoch eine Auskunft zu erteilen.

Ein Weigerungsrecht kommt Unternehmen zu, wenn Anträge offenkundig unbegründet sind. Dabei betont der EDSA, dass davon nur in sehr wenigen Fällen auszugehen ist. Unternehmen können eine Auskunft ebenfalls verweigern, wenn Anträge häufig wiederholt gestellt werden und damit einen exzessiven Charakter haben.

Weitere Beschränkungen des Auskunftsrechts finden Unternehmen in § 34 BDSG. Nach dieser Regelung besteht unter anderem kein Auskunftsrecht, wenn die Daten nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher oder satzungsmäßiger Aufbewahrungsvorschriften nicht gelöscht werden dürfen. Insbesondere bei personenbezogenen Daten, die sich in Handelsbüchern, Jahresabschlüssen oder Geschäftsbriefen finden, können Unternehmen ggf. die Auskunft verweigern. Gleiches gilt, wenn Daten ausschließlich zu Zwecken der Datensicherung oder der Datenschutzkontrolle dienen. Das meint etwa Sicherheitskopien oder Logfiles. Hinzutreten muss allerdings auch ein unverhältnismäßiger Aufwand, wobei es in erster Linie auf die Abwägung der Interessen des Betroffenen oder des Verantwortlichen ankommt.

Checkliste für Auskunftsersuchen

Unternehmen sollten Auskunftsersuchen ernst nehmen und sorgfältig bearbeiten. Andernfalls werden Bußgelder oder Schadensersatzforderungen nach der DSGVO riskiert. Folgende Checkliste soll eine strukturierte Bearbeitung erleichtern:

Überprüfen Sie, ob es sich bei einem Antrag um ein Auskunftsersuchen nach Art. 15 DSGVO handelt, das personenbezogene Daten erfragt.
Checken Sie, ob der Antragsteller berechtigt ist, Auskunft zu erlangen – durch Identitätsprüfung, ob er selbst Betroffener ist, oder ob er eine Berechtigung zum Antrag innehat.
Werden Sie sich über den Umfang der Anfrage, über welche Daten Auskunft verlangt wird, bewusst. Falls notwendig, können Sie den Betroffenen auffordern, seinen Antrag zu spezifizieren.
Die Auskunft erstreckt sich auf verarbeitete personenbezogene Daten und weitere Informationen nach Art. 15 Abs. 1 lit. a-h DSGVO. Die Verwendung von vorgefertigten Textmodulen aus der Datenschutzerklärung zur Vermittlung der Informationen aus Art. 15 Abs. 1 lit. a-h DSGVO sieht der EDSA generell als möglich an.
Für die Auskunftserteilung sollte, auch nach Ansicht des EDSA, ein automatisierter Prozess eingerichtet werden. Vor allem bei vielen Anfragen dient dies der Entlastung von Mitarbeitenden im Unternehmen. Es empfiehlt sich eine Liste zu erstellen, die das Datum der Anfrage, die anfragenden Person, den Kontakt der anfragenden Person, das Datum und die Art der Bearbeitung und den zuständigen unternehmensinternen Mitarbeiter dokumentiert. Ansonsten empfiehlt der EDSA die Einrichtung eines Self-Service-Tools, das die Anfragen automatisiert selbständig bearbeitet.
Nehmen Sie Interessen von anderen Personen in den Blick und wägen ab, ob eine Auskunft dennoch erteilt werden kann. Beispielsweise das Schwärzen oder unkenntlich machen gewisser Informationen, könnte ausreichen.
Überprüfen Sie, ob die Anfrage offenkundig unbegründet oder exzessiv gestellt wurde. Dann können Sie ein entsprechendes Entgelt für die Auskunft verlangen oder diese verweigern.

Mehr zum Thema

1. April 2024

Ransomware-Prävention in Zeiten von KI – Wie Unternehmen Attacken vorbeugen können

Ransomware ist nach wie vor eine der größten Bedrohungen für Wirtschaftsunternehmen. Besonders IT-Dienstleister sind in den vergangenen Jahren in den Fokus von Cyberkriminellen gerückt. Durch präventive Maßnahmen der Cybersicherheit werden personenbezogene Daten angemessen und wirksam vor den alltäglichen Gefahren des digitalen Zeitalters geschützt.
Weiterlesen
20. Februar 2024

Die Deadline naht: Machen Sie Ihr Unternehmen noch vor Oktober fit für NIS-2

Mit der nahenden Deadline im Oktober für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS-2) stehen Unternehmen vor der Herausforderung, nicht nur gesetzliche Vorgaben zu erfüllen, sondern auch ihre eigenen Geschäftsprozesse und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern.
Weiterlesen
6. Februar 2024

Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.
Weiterlesen

24. Januar 2022

Unsere Top 10 – Die meistgelesenen Blogartikel des Jahres 2021

Während das Jahr 2022 so langsam seinen Anfang nimmt, ist der richtige Moment, sich noch einmal Zeit für eine kleine Rückschau zu nehmen. Welche Artikel wurden im letzten Jahr auf unserem Blog am meisten gelesen? Welche Themen haben unsere Leser:innen am meisten interessiert? Und was wird wohl im kommenden Jahr weiter spannend bleiben? Dafür haben wir Ihnen unsere zehn beliebtesten Beiträge zusammengestellt.

1. ePrivacy-Verordnung: EU-Rat einigt sich auf einen Entwurf

Eines der Themen, die auch 2022 prägen werden, ist der Prozess um die Ausarbeitung der schon seit langem geplanten ePrivacy-Verordnung. Obwohl sie schon im Mai 2018 zur Anwendung kommen sollte, ist die wichtigste Neuigkeit die Einigung auf einen Entwurf im letzten Jahr gewesen. Worauf sich im Einzelnen geeinigt wurde und in welche Richtung sich die Verordnung bewegt, erläutern wir in unserem Artikel.
Hier mehr erfahren.

2. TTDSG: Gesetzliche Neuregelungen für Telemedien und Telekommunikation

Während der EU-Gesetzgeber die ePrivacy-Verordnung noch nicht verabschieden konnte, wurde auf nationaler Ebene das Telekommunikation-Telemedien-Datenschutzgesetz, kurz TTDSG, zur Anwendung gebracht. Es regelt vor allem die Einwilligungspflicht von Cookies neu und ist eine der wichtigsten Neuerungen im Bereich Datenschutz aus 2021.
Hier mehr erfahren.

3. Neues zum Thema Cookies: Urteile und aktuelle Gesetzesentwürfe

Doch das TTDSG ist längst nicht alles an Änderungen gewesen, die das Thema Cookies betreffen, ein Dauerbrenner im Datenschutz. Wir haben Ihnen daher in einem Überblicksartikel alles zusammengestellt, was beim Einsatz von Cookies aus rechtlicher Perspektive beachtet werden muss.
Hier mehr erfahren.

4. Update: Datenschutz im Krankenhaus: Ein Überblick

Gleich mehrere Artikel aus dem Bereich Health haben es in unsere Top Ten geschafft. Den Auftakt macht ein Überblicksartikel zum Datenschutz im Krankenhaus. Darin informieren wir Sie über die neuesten rechtlichen Anforderungen für Krankenhäuser und zeigen auf, wie sich innerhalb der vielen Gesetze im Gesundheitsbereich die Übersicht behalten lässt.
Hier mehr erfahren.

5. Das neue Patientendaten-Schutz-Gesetz (PDSG): Mehr Datensicherheit für das digitale Gesundheitswesen

Viel verändert hat sich im Gesundheitswesen außerdem durch das neue PDSG. Um die Digitalisierung des Gesundheitswesens weiter voranzubringen und entsprechend mit rechtlicher Regulierung zu flankieren, ist dieses Gesetz auf den Weg gebracht worden. Kern ist neben vielen anderen Neuerungen die Einführung der elektronischen Patientenakte.
Hier mehr erfahren.

6. Beim Mitarbeiterdatenschutz auf Nummer sicher: Ein Überblick zu aktuellen Fragen

Auch im Gesundheitswesen, aber grundsätzlich für alle Unternehmen relevant ist das Thema Mitarbeiterdatenschutz. Häufig befindet man sich hier im Spannungsfeld zwischen den Rechten der Arbeitnehmer:innen und den Interessen des jeweiligen Unternehmens. Entsprechend komplex sind die rechtlichen Anforderungen, etwa wann und ob Daten im Beschäftigungskontext verarbeitet werden dürfen.
Hier mehr erfahren.

7. Digitales 360-Grad-Feedback für Mitarbeiterinnen und Mitarbeiter: Was ist zu beachten?

In diesem Zusammenhang fällt häufig der Begriff des 360-Grad-Feedbacks. Hierbei handelt es sich um ein Instrument zur Bewertung von Mitarbeitenden, mit dem nicht nur Vorgesetzte, sondern etwa auch Kolleg:innen zu Wort kommen. Auch hier handelt es sich um eine rechtlich sensible Thematik, bei der Unternehmen besonders darauf achten müssen, die Rechte ihrer Mitarbeiter:innen nicht zu missachten.
Hier mehr erfahren.

8. Videoüberwachung und Datenschutz: Worauf es wirklich ankommt

Viele Unternehmen nutzen auf ihrem Betriebsgelände, in Ladengeschäften oder Lagerräumen Videoaufzeichnungen zur Überwachung. Auch wenn es sich hier um ein verständliches Interesse handelt, muss auf einige Vorgaben geachtet werden, um nicht in unzulässiger Weise vorzugehen. Wie sich Videoüberwachung rechtlich sicher umsetzen lässt, erläutert unser Beitrag.
Hier mehr erfahren.

9. Joint Controller Agreement: Vorteile und Herausforderungen der gemeinsamen Verantwortlichkeit (Update 2021)

Ein allgemeines Thema, das aber häufig relevant ist, ist das Joint Controller Agreement. Mit unserem Update bringen wir Sie hier auf den neuesten Stand, wann ein JCA erforderlich ist, wie man es abschließt und was daraus für Unternehmen folgt.
Hier mehr erfahren.

10. Betroffenenanfragen und Datenschutzvorfälle: Worauf kommt es an?

Gleiches gilt zudem für Datenschutzvorfälle und entsprechende Anfragen von Betroffenen. Denn Datenschutzvorfälle lassen sich nie vollständig verhindern, und daher ist es umso wichtiger, schnell und effektiv reagieren zu können. Welche Fristen gelten, muss man eine Meldung bei der Behörde abgeben? Diese und weitere Fragen beantworten wir in unserem Beitrag.
Hier mehr erfahren.

TTDSG: Gesetzliche Neuregelungen für Telemedien und Telekommunikation

Das TTDSG ist zum 1.12.2021 in Kraft getreten. Die Datenschutzkonferenz (DSK) hat zur Auslegung des Gesetzes eine Stellungnahme veröffentlicht. Die Orientierungshilfe (OH) für Anbieter:innen für Telemedien vom 20.12.2021 stellt die Auffassungen der DSK zum Verständnis des Gesetzestextes dar. Sie ist zwar nicht rechtsverbindlich. Dennoch enthält sie Empfehlungen wie die Regelungen aus dem TTDSG rechtssicher umgesetzt werden können. Auch Gerichte können die OH heranziehen, weshalb ihr große Bedeutung zukommt. In aller Kürze sollen hier einige Ansichten dargestellt werden.

Die DSK klärt zum einen die Abgrenzung der Anwendungsbereiche des TTDSG und der DSGVO, was seither umstritten ist. Nach der DSK gelten die speziellen Bestimmungen aus § 25 TTDSG vorrangig vor der DSGVO, soweit beim Speichern und Auslesen von Informationen in Endeinrichtungen personenbezogene Daten verarbeitet werden. Kommt es zu einer nachgelagerten Verarbeitung personenbezogener Daten ist selbstverständlich wieder DSGVO zu beachten.

Einige Ausführungen macht die DSK zur Benennung der Schaltflächen in einem Einwilligungsbanner. Ein Button mit „Alles akzeptieren“ soll den Anforderungen der DSK wohl genügen. Besonderen Wert legt die DSK ebenfalls darauf, dass das Ablehnen von Cookies und ähnlichen Technologien genau so einfach sein müsse, wie die Zustimmung. Zentrale stellt die DSK dafür auf Handlungsoptionen mit gleichwertigem Kommunikationseffekt ab. Sie macht einige Ausführungen zur Bannerebene und greift die Wichtigkeit der zu kommunizierenden Informationen im Banner auf. Für den Widerruf fordert sie einen stets sichtbaren Direktlink oder ein Icon, das unmittelbar zu den relevanten Einstellungsmöglichkeiten führt.

Update: 01.12.2021

Zum 01.12.2021 ist nun das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft getreten. Weitere Hinweise zur Gesetzesentwicklung finden Sie im Folgenden.

Das TTDSG („Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“) liegt nun in der endgültigen Fassung vor, die am 20. Mai 2021 im Bundestag beschlossen wurde und am 1. Dezember 2021 in Kraft treten soll. Ziel des Gesetzes ist die Zusammenführung der datenschutzrechtlichen Regelungen aus dem Telemedien- und dem Telekommunikationsgesetz (TMG, TKG). Wichtig ist insbesondere die Festschreibung der Einwilligungspflicht für Cookies und vergleichbare Technologien.

Neue Einwilligungspflicht für Cookies nach TTDSG

Zurzeit wird die Rechtspraxis bei Cookies in Deutschland vor allem durch die unionsrechtskonforme Auslegung des § 15 Abs. 3 TMG bestimmt, die der Bundesgerichtshof in seinem „Planet49“-Urteil in Fortführung der EuGH-Vorlageentscheidungen entwickelt hatte. Entgegen seinem Wortlaut wurde in die schon bestehende TMG-Regelung ein Einwilligungserfordernis für den Cookie-Einsatz hineingelesen, um den Widerspruch mit den europarechtlichen Vorgaben (resultierend aus der ePrivacy-Richtlinie) aufzulösen. Die Einwilligungspflicht für technisch nicht erforderliche Cookies ist nun explizit in § 25 TTDSG geregelt. Abs. 1 S. 1 sieht dementsprechend vor:

„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.“

Der Begriff der Endeinrichtung ist hier ausdrücklich technologieneutral gefasst und meint neben klassischen Endgeräten wie Smartphones oder Notebooks auch weitere internetfähige Geräte wie Smart TVs oder IoT-Geräte („internet of things“). Die Ausgestaltung der Einwilligung richtet sich nach den Vorgaben der DSGVO, insbesondere § 7 DSGVO und Erwägungsgrund 32. Die Einwilligung muss demnach freiwillig, informiert und aktiv erfolgen. Webseitenbetreiber und sonstige Telemedienanbieter müssen daher also weiterhin darauf achten, ein Opt-In-Verfahren zu nutzen und umfassende Informationen über die Umstände der Datenverarbeitung bereitzustellen, insbesondere über die Rechtsgrundlagen, die Verarbeitungszwecke, die Funktionsdauer der Cookies und Zugriffe von Dritten.

Ausnahmen von der Einwilligungspflicht im TTDSG

In § 25 Abs. 2 TTDSG sind Ausnahmen vorgesehen, die Anbieter von der Pflicht zur Einholung einer Einwilligung befreien. Auch die Ausnahmen sind im Vergleich zum Entwurf noch einmal verändert worden und bestehen in zwei Fällen.

Zum einen muss keine Einwilligung eingeholt werden, „wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist“ (§ 25 Abs. 2 Nr. 1 TTDSG). Zum anderen ist eine Einwilligung dann nicht erforderlich, „wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann“ (§ 25 Abs. 2 Nr. 2 TTDSG). Die zweite Ausnahme bezieht sich vor allem auf die technische Erforderlichkeit im Gegensatz zu optionalen Cookies, die etwa für personalisiertes Werbe-Tracking eingesetzt werden.

Personal Information Management Services (PIMS)

Im ursprünglichen TTDSG-Entwurf war noch vorgesehen, die Einwilligung durch eine dafür vorgesehene Auswahl des Browsers oder einer anderen Anwendung erklären zu können. Damit hätten Nutzer nicht mehr, wie bislang vor dem Besuch jeder Webseite Cookie-Banner vor sich gehabt, um die Einwilligung zu erklären. Der Absatz wurde in der jetzigen Fassung allerdings gestrichen. Stattdessen ist in § 26 TTDSG ein Anerkennungsverfahren für PIMS und alle Dienste vorgesehen, die Einwilligungen technisch verwalten. Nutzer können damit vorab für alle Webseiten angeben, ob und unter welchen Bedingungen sie eine Einwilligung erklären wollen. Der jeweilige Dienst gibt diese Informationen daraufhin automatisch auf den besuchen Webseiten weiter. Danach können solche Dienste anerkannt werden, wenn sie

auf einem nutzerfreundlichen und wettbewerbskonformen Verfahren beruhen,
unabhängig von einem wirtschaftlichen Interesse an der Einwilligungserklärung und den verwalteten Daten sind,
die Daten für keine anderen Zwecke verarbeiten und
ein angemessenes Sicherheitskonzept vorlegen.

Eine unabhängige Stelle soll künftig Anwendungen als rechtskonform zertifizieren und freigeben. Damit sollen die Anwendungen besser reguliert und das notwendige Vertrauen der Endnutzer geschaffen werden. Das genaue Verfahren wird die Bundesregierung mit einer Verordnung allerdings erst noch festlegen müssen.

Was gibt es sonst zu beachten?

Mit dem neuen Gesetz befindet wurde das Fernmeldegeheimnis zudem aus dem TKG herausgelöst. Es befindet sich nun in § 3 TTDSG. Hier wurden die entsprechenden Regelungen des § 88 Abs. 1, 3 und 4 TKG wortgleich übernommen, während allerdings in § 3 Abs. 2 TTDSG genauere Angaben über den Kreis der zur Wahrung des Fernmeldegeheimnisses Verpflichteten mit in das Gesetz aufgenommen wurden. Dazu gehören Anbieter von öffentlich zugänglichen sowie ganz oder teilweise geschäftsmäßig angebotenen Telekommunikationsdiensten und natürliche oder juristische Personen, die an der Erbringung solcher Dienste mitwirken, Betreiber öffentlicher Telekommunikationsnetze und Betreiber von Telekommunikationsanlagen.

Darüber hinaus regeln die §§ 22-24 TTDSG das Auskunftsverfahren bei Bestands- und Nutzungsdaten. Bestandsdaten sind personenbezogene Daten, die zur Begründung, inhaltlichen Ausgestaltung oder Änderung des Vertragsverhältnisses zwischen Telemedienanbieter und Nutzer verarbeitet werden müssen. Nutzungsdaten sind personenbezogene Daten, die zur Inanspruchnahme von Telemedien und zur Abrechnung verarbeitet werden müssen. Zu ihnen zählen insbesondere Identifikationsmerkmale, Daten über den Umfang der Telemediennutzung und Angaben über die in Anspruch genommenen Telemedien (§ 2 Abs. 2 Nr. 2, 3 TTDSG). Sowohl für Bestands- als auch für Nutzungsdaten gilt: Alle Personen, die geschäftsmäßig Telemediendienste erbringen, müssen unter den Voraussetzungen von § 22 bzw. 24 Abs. 3 TTDSG Auskünfte auf Verlangen öffentlicher Stellen erteilen. Zu den Voraussetzungen zählen allerdings ausschließlich gewichtige und im öffentlichen Interesse liegende Gründe, unter anderem die Verfolgung bestimmter Straftaten, der Schutz von Leib und Leben oder der öffentlichen Sicherheit. Der Umfang der Auskunftspflicht erstreckt sich auf alle unternehmensinternen Datenquellen, bei Bestandsdaten nach § 22 Abs. 1 S. 1 TTDSG allerdings nicht auf Passwörter oder andere Daten, die den Zugriff auf Endgeräte ermöglichen.

Fazit zum TTDSG

Die durch das TTDSG erfolgten praktischen Änderungen sind für Unternehmen erst einmal überschaubar. Die Regelung zum Einwilligungserfordernis bei Cookies folgt weitestgehend den Vorgaben, die bereits jetzt umgesetzt werden müssen. Dennoch ist eine gesetzliche Festschreibung aus Gründen der Rechtsklarheit zu begrüßen. Gleiches gilt für die Bündelung der unterschiedlichen Vorgaben in einem einheitlichen Gesetz. Allerdings droht bald ein neues Nebeneinander von Gesetzen, sollte es zur Verabschiedung der geplanten ePrivacy-Verordnung kommen.

Wichtig ist darüber hinaus die Neuerung, dass Verstöße gegen die Einwilligungspflicht (und auch gegen andere Vorgaben des TTDSG) mit dem neuen § 28 TTDSG bußgeldbewehrt sind. Die Höhe der Geldbußen ist zwar nicht mit der DSGVO vergleichbar, kann aber dennoch bis zu 300.000 EUR betragen. Es kann daher sinnvoll sein, die bisherige Praxis noch einmal auf die Vorgaben des TTDSG hin zu überprüfen.

Mehr zum Thema

1. April 2024

Ransomware-Prävention in Zeiten von KI – Wie Unternehmen Attacken vorbeugen können

Ransomware ist nach wie vor eine der größten Bedrohungen für Wirtschaftsunternehmen. Besonders IT-Dienstleister sind in den vergangenen Jahren in den Fokus von Cyberkriminellen gerückt. Durch präventive Maßnahmen der Cybersicherheit werden personenbezogene Daten angemessen und wirksam vor den alltäglichen Gefahren des digitalen Zeitalters geschützt.
Weiterlesen
20. Februar 2024

Die Deadline naht: Machen Sie Ihr Unternehmen noch vor Oktober fit für NIS-2

Mit der nahenden Deadline im Oktober für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS-2) stehen Unternehmen vor der Herausforderung, nicht nur gesetzliche Vorgaben zu erfüllen, sondern auch ihre eigenen Geschäftsprozesse und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern.
Weiterlesen
6. Februar 2024

Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.
Weiterlesen

8. Dezember 2021

Cookie-Banner im Blick der Datenschutzbehörden

Im Rahmen einer länderübergreifenden Kontrolle durch die Datenschutzaufsichtsbehörden werden Datenübermittlungen durch Unternehmen in Staaten außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (sogenannte Drittstaaten) überprüft. Ziel dieser speziell eingerichteten Task-Force ist die breite Durchsetzung des vom Europäischen Gerichtshof (EuGH) am 16. Juli 2020 beschiedenen Schrems-II Urteils (C-311/18). In diesem Rahmen schreiben Behörden strichprobenartig Unternehmen auf der Basis eines Fragenkatalogs an. Dabei geht es unter anderem um den Einsatz von Dienstleister:innen zum E-Mail-Versand, zum Hosting von Internetseiten, um den konzerninternen Austausch von Kundendaten und Daten der Beschäftigten oder zum Webtracking. Gerade das Webtracking und die damit verbundene Cookie-Problematik sind stets ein wichtiges Thema. Dies zeigt sich auch darin, dass der Europäische Datenschutzausschuss (EDSA) im September 2021 eine „Cookie-Banner“ Task Force eingerichtet hat. Ziel ist nach eigenen Angaben, die Zusammenarbeit, den Informationsaustausch und die bewährten Verfahren zwischen den Aufsichtsbehörden zu fördern.

In Sachen Cookies bestehen aufgrund der dynamischen Rechtslage viele Unsicherheiten bezüglich der rechtskonformen Umsetzung; dieser Beitrag soll deshalb einen Leitfaden bilden und Handlungsempfehlungen bezüglich Cookies & Co. geben.

Kurzdarstellung Cookie-Banner

Webtracking bedeutet allgemein, dass die Bewegung von Nutzer:innen im Internet beobachtet und ausgewertet wird. Die klassische Technik dafür ist das Abspeichern eines sogenannten Cookies im Browser beim Aufruf einer Website. Eine solche Datei enthält unter anderem eine Nummer, welche die Besucher:innen der Website identifiziert und anschließend das unbemerkte Sammeln von Informationen über diese ermöglicht.

Über die Verwendung von Cookies wird durch Cookie-Banner informiert. Dies geschieht in Form eines schriftlichen Hinweises, der auf einer Website eingeblendet wird. Die rechtlichen Vorgaben in diesem Bereich ergeben sich aus der Datenschutzgrundverordnung (DSGVO), Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG), welches die europäische E-Privacy Richtlinie in nationales Recht umsetzt und – möglicherweise zum Ende des Jahres – aus der ePrivacy-Verordnung. Relevante höchstrichterliche Urteile sind die EuGH- (Oktober 2019) und BGH-Urteile (Mai 2020) zu „Planet49“ sowie das EuGH-Urteil zu Schrems-II, welche neue Anforderungen für den Zugriff auf oder die Speicherung von Informationen im Endgerät wie bei Nutzertracking und Cookies formuliert. Die Rechtslage ist somit stetig in Bewegung. Erschwerend kommt hinzu, dass es bezüglich der Ausgestaltung auch keine umfassende, immer passende Lösung gibt: vielmehr müssen Cookie-Lösungen aufgrund einer auf den konkreten Einzelfall und des jeweiligen Geschäftsmodells angepassten Strategie entwickelt und angepasst werden.

Generell lässt sich aber festhalten, dass bei der Verarbeitung personenbezogener Daten diese Datenverarbeitung den Anforderungen der DSGVO genügen und eine Rechtsgrundlage nach Art. 6 DSGVO haben muss.

Art. 5 Abs. 3 ePrivacy-RL erfordert eine Einwilligungspflicht für die Speicherung von oder den Zugriff auf Informationen im Endgerät. Eine Ausnahme besteht, wenn die zur Verfügungstellung des Dienstes unbedingt erforderlich ist.

Seit Dezember 2021 gilt das TTDSG, welches auf zwei höchstrichterliche Entscheidungen reagiert: zum einen auf das Urteil zu Planet49 (EuGH, Urt. v. 1.10.2019 – C-673/17) und zum anderen auf das sogenannte Cookie-II-Urteil (BGH, Urt. v. 28.05.2020 – I ZR 7/16). Der seit dem 01.12.2021 geltende § 25 TTDSG enthält ein explizites Einwilligungserfordernis bei Speicherung von Informationen in der Endeinrichtung oder bei Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind. Eine (DSGVO-konforme) Einwilligung ist nur nicht erforderlich, wenn (1) die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz alleiniger Zweck der Speicherung oder des Zugriffs ist oder (2) die Speicherung oder der Zugriff unbedingt erforderlich ist, um den gewünschten Telemediendienst zur Verfügung stellen zu können.

Noch ist unklar, wann genau die ePrivacy-VO kommen wird, jedoch ist mit einem Inkrafttreten vor 2022 nicht zu rechnen. Allerdings hält der aktuelle Entwurf viele Ausnahmen gegenüber der aktuellen Rechtslage bereit. Der deutsche Gesetzgeber ist mit dem TTDSG der ePrivacy-Verordnung zuvorgekommen und ist damit ein gewisses Risiko eingegangen, dass mit Inkrafttreten der neuen Verordnung die Regelungen des TTDSG schnell wieder obsolet sein könnten. Die Rechtslage bleibt also weiter dynamisch, sodass aktuelle Entwicklungen im Blick behalten werden sollten.

Behördenverfahren

Die neuen Anforderungen, die das EuGH-Urteil zu Schrems-II formuliert hat, werden seit Juni 2021 durch Datenschutzbehörden kontrolliert. Der erste Schritt war die Versendung von Fragebögen an ausgewählte Unternehmen. Die Entscheidung darüber, welche Themenfelder in den Fokus genommen werden, obliegt jeder Datenschutzbehörde selbst. Im Fokus dieses Beitrages stehen jedoch die Anforderungen bei der Nutzung von Webtracking und Cookies.

Wie reagiert man auf ein solches Anschreiben? Innerhalb einer festgelegten Frist müssen angeschriebene Unternehmen die von der Aufsichtsbehörde vorgegebenen Fragen beantworten. Dennoch hat der EuGH in seiner Schrems-II Entscheidung klar formuliert, dass die Behörden unzulässige Transfers „aussetzen oder verbieten“ sollen. Auch ist die Verhängung von Bußgeldern möglich.

Unternehmen sollten deshalb entsprechende Vorgaben deshalb bereits vor Anschreiben durch eine Behörde bestmöglich umsetzen. Im Hinblick auf Cookie-Banner empfehlen sich folgende Schritte:

Bezüglich Informationen im Banner oder Overlay:

Art der Verarbeitung (= Cookies oder ähnliche Technologien)
Zwecke der Datenverarbeitung der verwendeten Tools (Kategorisierung)
Möglichkeit der Ablehnung der Tools
Nennung der Weitergabe an Dritte
Informationen über Drittlandsübermittlung und Risiken im Drittland
Klarstellung der Freiwilligkeit und Widerrufbarkeit der Einwilligung
Links zu weiteren Informationen, insbesondere zur Speicherdauer (z.B. Datenschutzerklärung oder Cookie-Richtlinie).

Bezüglich technischer Voraussetzungen und Buttons:

Banner darf nicht Links zu Impressum und Datenschutzerklärung überdecken
Erst nach Einwilligung dürfen Tools aktiviert bzw. Cookies gesetzt oder Infos im Local/Session Storage ausgelesen/geschrieben werden
Speicherung der Einwilligung für mindestens ein Jahr
Empfehlung: 3-Button-Lösung
• Allen Tools zustimmen
• Tools individuell auswählen
• Optionale Tools ablehnen.

Weiterhin sollte ein Ablehnen bereits auf erster Ebene möglich sein. Im Footer und in der Datenschutzerklärung sollte ein Button/Link zum erneuten Aufrufen des Banners und zum Widerruf existieren. Essenziell ist auch, dass alle relevanten Abteilungen eines Unternehmens (IT, Marketing, Legal) kooperativ zusammenarbeiten. Zuletzt gilt nochmal zu betonen, dass stets eine Prüfung des Tools im Einzelfall sowie eine individuelle Risikoabwägung nötig ist.

Fazit

Abschließend lässt sich festhalten, dass die Rechtslage bezüglich Cookie-Banner sehr komplex und immer noch im Fluss ist. Erschwerend kommt hinzu, dass Datenschutzbehörden mit ihrer Fragebogenaktion koordiniert auch den Einsatz von Webtracking überprüfen. Dies kann jedoch als Chance begriffen werden, um ein angemessenes Datenschutzniveau zu gewährleisten. Nach eigenen Angaben sind sich die Aufsichtsbehörden der besonderen Herausforderungen, die das EuGH-Urteil zu Schrems-II für die Unternehmen in Deutschland und Europa mit sich bringt, bewusst. Sie stehen für Verständnisfragen auch im weiteren Verlauf des Prüfungsverfahrens zur Verfügung, soweit dies nach Maßgabe der vorhandenen Kapazitäten möglich ist. Trotzdem sollten Unternehmen nicht abwarten, sondern aktiv Maßnahmen ergreifen.

Mehr zum Thema

6. Februar 2024

Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.
Weiterlesen
26. Januar 2024

Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download

Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.
Weiterlesen
9. Januar 2024

Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling

In Zeiten zunehmender Cyberbedrohungen können Unternehmen durch die Mitigation von Datenschutzrisiken nicht nur sich selbst und ihre Beschäftigten vor Bedrohungen bewahren, sondern vor allem auch den Schutz ihrer Kund:innen effektiver gewährleisten. Ein Schlüsselelement der Risikoanalyse ist das sogenannte Threat Modeling. Wir erläutern, was Threat Modeling beinhaltet und wie es speziell in der Datenschutzberatung eingesetzt wird.
Weiterlesen

19. November 2021

Elektronische Patientenakte & Datenschutz: Was Anwendende jetzt beachten sollten

Die ePA muss nach der gesetzlichen Regelung im SGB V – eingeführt durch das Patientendatenschutzgesetz – PDSG – seit dem 01.01.2021 von den gesetzlichen Krankenkassen zur Verfügung gestellt werden. Bei der praktischen Umsetzung müssen sich die Anwender, insbesondere Krankenhäuser, Arztpraxen und Apotheken, mit zahlreichen Fragestellungen auseinandersetzen. Wer die Anwender der ePA und andere Stakeholder sind und was Anwender aus datenschutzrechtlicher Perspektive besonders beachten sollten, haben wir in einem Überblick zusammengestellt.

Überblick über die Stakeholder

An die ePA sind zahlreiche Akteure angebunden, die unterschiedliche Funktionen erfüllen und an die entsprechend unterschiedliche rechtliche Anforderungen gestellt werden. Zudem kommen mit den nächsten Ausbaustufen der ePA ab 01.01.2022 (ePA 2.0) und 01.01.2023 (ePA 3.0) weitere Akteure hinzu. Neben den Krankenkassen, welche die ePA auf Wunsch für ihre Versicherten errichten und betreiben müssen, sowie der Gematik, welche mit der Telematikinfrastruktur (TI) den technischen Rahmen für die ePA vorhält treten weitere wichtige Akteure.

Leistungserbringer

Die Leistungserbringer, d.h. etwa Krankenhäuser und Arztpraxen sind zur Nutzung der ePA verpflichtet, ihnen drohen ansonsten Sanktionen bei der Vergütung. Sie müssen hierfür die ePA über Schnittstellen an ihre Praxisverwaltungssoftware (PVS) bzw. ihr Krankenhausinformationssystem (KIS) anbinden. Im Rahmen der Nutzung der ePA trifft sie eine allgemeine Unterstützungspflicht der Versicherten. Sofern die Versicherten ihnen Zugriff auf die ePA gewähren, haben sie Lese- und Schreibrechte.

Gesetzliche Krankenkassen

Die Gesetzlichen Krankenkassen (GKV) sind zur Bereitstellung der ePA auf Antrag der Versicherten verpflichtet. Auf die ePA haben sie nur schreibenden Zugriff. Gegenüber den Versicherten müssen sie Informationspflichten erfüllen und Informationsmaterial bereitstellen. Für die Datenverarbeitung in der ePA sind sie datenschutzrechtlich verantwortlich.

Private Krankenversicherer

Anders als die GKV trifft die Privaten Krankenversicherer (PKV) keine Pflicht zur Bereitstellung der ePA. Sofern sie diese dennoch bereitstellen, gelten die Regelungen zu den GKV weitgehend entsprechend. Die GKV können ihr ePA-System als Auftragsverarbeiter nach Art. 28 DS-GVO bereitstellen.

Betreiber digitaler Gesundheitsanwendungen

Digitale Gesundheitsanwendungen (DiGA), das sind etwa Gesundheits- oder Medizin-Apps, die Ärzt:innen verordnen und Versicherte direkt bei der Krankenkasse beantragen können, können ab 01.01.23 auch an die ePA angebunden werden. Versicherte können dann Daten aus der DiGA an die ePA übermitteln, sowie Daten aus der ePA an die DiGA übermitteln. Die Ausgabe der Komponenten zur Authentifizierung der DiGA-Hersteller erfolgt nach Bestätigung des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) durch die Gesellschaft für Telematik (Gematik).

Forschungseinrichtungen

Zudem haben Versicherte ab dem 01.01.2023 die Möglichkeit, Daten aus der ePA dem Forschungsdatenzentrum für gesetzlich geregelte Forschungsvorhaben zur Verfügung zu stellen, zusätzlich können sie ihre Daten jedem anderen Forschungsprojekt zur Verfügung stellen.

Datenschutzechtliche Verantwortlichkeit der Anwender

Nach Art. 4 Nr. 7 DSGVO ist „diejenige natürliche oder juristische Person verantwortlich, die … über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet“ (Alt. 1) oder die vom Unionsrecht oder dem Recht der Mitgliedstaaten dazu bestimmt wird (Alt. 2) (sog. Öffnungsklausel). Der Gesetzgeber hat von Alt. 2 Gebrauch gemacht und die Verantwortlichkeit in § 307 SGB V geregelt. Nach § 307 Abs. 3 SGB V ist der Leistungsträger, d.h. die jeweilige GKV, als Anbieter der ePA, datenschutzrechtlich verantwortlich für die Datenverarbeitung in der sog. zentralen Zone der TI. Diese Verantwortung besteht trotz fehlender Zugriffsmöglichkeiten auf die Daten und für alle Datenverarbeitungen im Zusammenhang mit der ePA, mit Ausnahme von Upload und Download von Dokumenten durch Leistungserbringer, d.h. Ärzte, Apotheken und Krankenhäuser oder sonstige Beteiligte.

Die Leistungserbringer sind verantwortlich für die Datenverarbeitung in der sog. dezentralen Zone der TI, d.h. den Bereich, in dem die ePA über Schnittstellen mit den PVS/KIS verbunden ist. Aus Sicht der Leistungserbringer gibt es zwei Formen der Datenverarbeitungen im Zusammenhang mit der ePA: den Upload von Dokumenten aus den PVS/KIS in die ePA, als „Übermittlung“ von Daten in die TI, und den Download von Dokumenten aus der ePA in die PVS/KIS, als „Erhebung“ von Daten. Die datenschutzrechtliche Verantwortung besteht im Rahmen der ePA nur für diese beiden Verarbeitungsformen in der dezentralen Zone.

Mehr Informationen zum Thema:

Einsatz von Auftragsverarbeitern

An verschiedenen Stellen ist der Einsatz von Auftragsverarbeitern nach Art. 28 DS-GVO denkbar. GKV etwa setzen IT-Dienstleister als Auftragsverarbeiter zum Betrieb der ePA-Systeme ein. Und auch auf der Ebene der Leistungserbringer kommen IT-Dienstleister als Auftragsverarbeiter, etwa für den Betrieb der PVS, Konnektoren und Kartenterminals in Betracht.

Diese Auftragsverarbeiter müssen zahlreiche Anforderungen erfüllen. Wenn die Auftragsverarbeiter „Anbieter von Betriebsleistungen“ der TI sind, wie die Anbieter von ePA-Aktensystemen und zugehörigen Komponenten und Diensten, dann müssen sie zunächst durch die Gematik zugelassen werden (§§ 324, 325 SGB V). Neben den allgemeinen Anforderungen (vgl. Art. 28 DSGVO), müssen alle Auftragsverarbeiter im Zusammenhang mit der ePA die Spezifikationen der Gematik im Hinblick auf die technischen Anforderungen an die Schnittstellen, Komponenten und Dienste erfüllen und Komponenten und Dienste auch regelmäßig updaten. Darüber hinaus müssen Auftragsverarbeiter, sofern sie durch die GKV eingesetzt werden, die Komponenten und Dienste entsprechend den Ausbaustufen der ePA weiterentwickeln. Zu beachten ist weiter, dass Auftragsverarbeiter mit Sitz in nicht-EU-Staaten ohne Angemessenheitsbeschluss nach § 80 Abs. 2 SGB X von den GKV nicht eingesetzt werden dürfen. Die vielfältigen Anforderungen an die Anbieter der ePA bzw. der PVS/KIS sollten vertraglich sauber umgesetzt werden. Hierfür sollten die vorgenannten Anforderungen in den Pflichtenheften sorgfältig dokumentiert werden.

Rechtmäßigkeit der Datenverarbeitungen

Ob die Verarbeitung personenbezogener Daten zulässig ist, bestimmt sich im Dreiecksverhältnis zwischen den Versicherten/Patient:innen, dem Leistungsträger und dem Leistungserbringer. Hierbei sind zwei Phasen der Datenverarbeitung zu unterscheiden, die Einrichtung und die Nutzung der ePA. Im Verhältnis zwischen den Versicherten und den GKV erfolgen die Datenverarbeitungen zur Einrichtung der ePA auf Basis einer Einwilligung der Versicherten. Die Errichtung und Nutzung der ePA ist freiwillig, sie erfolgt nur auf Antrag der Versicherten (§ 341 Abs.1 SGB V) und diese können auch jederzeit deren Löschung verlangen (§ 344 Abs. 3 SGB V). Seitens der GKV dürfen an eine nicht gewünschte Nutzung der ePA keine Nachteile geknüpft werden. In der Phase der Nutzung ist ein Zugriff auf die ePA durch die GKV nur zulässig, wenn dies zur Erfüllung ihrer gesetzlichen Aufgaben erforderlich ist.

Im Verhältnis zwischen Versicherten und Leistungserbringern kann der Zugriff nur nach freiwilliger Berechtigungsvergabe durch den Versicherten erfolgen (vgl. § 353 SGB V). Als zusätzliche Voraussetzung für die Rechtmäßigkeit der Datenverarbeitung muss der Zugriff im konkreten Behandlungskontext erforderlich sein (vgl. § 352 Nr. 1 SGB V). Die Einwilligung des Patienten ist demnach notwendig, für sich genommen jedoch nicht hinreichend für die Rechtmäßigkeit der Datenverarbeitung. Unklar ist aufgrund dessen, in welchem Verhältnis die beiden angesprochenen Rechtsgrundlagen, Einwilligung und Erfüllung des Behandlungsvertrages, hier zueinanderstehen.

Anforderungen an die Datensicherheit

Gesundheitsdaten haben einen hohen Schutzbedarf. Ein angemessenes Schutzniveau kann von Verantwortlichen daher gewährleistet werden, wenn zahlreiche technische und organisatorische Maßnahmen der Datensicherheit umgesetzt werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat für den Bereich „eHealth“ Richtlinien und Schutzvorschriften erarbeitet, darunter auch einige, die spezifisch auf die ePA zugeschnitten sind (etwa eine Prüfspezifikation für Konnektoren).

Fazit und Handlungsempfehlung

Die Einführung der ePA bringt neben den zahlreichen Vorteilen einer besseren Verfügbarkeit von behandlungsrelevanten Informationen auch einige neue rechtliche Herausforderungen mit sich. Besondere Sorgfalt sollten die Anwender auf die vertragliche Einbindung ihrer IT-Dienstleister legen. Denn sie sind es, die am Ende für die Umsetzung der ehrgeizigen gesetzgeberischen Ziele zum Ausbau der ePA zuständig sein werden und dabei gleichzeitig ein hohes Schutzniveau für die Gesundheitsdaten umsetzen müssen.

Mehr zum Thema

12. Juli 2023

Die wichtigsten Fragen zu Datenübermittlung an US-Dienste: Was bedeutet der neue EU-US Datenschutzrahmen für Unternehmen?

Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss nach Artikel 45 Abs. 3 der DSGVO für die USA erlassen: Das „EU-US Data Privacy Framework“ (EU-US-Datenschutzrahmen). Damit stellt die Kommission nach dem vom EuGH im Juli 2020 gekippten Privacy Shield erneut fest, dass die USA ein angemessenes Schutzniveau für aus der EU übermittelte personenbezogene Daten gewährleisten können.
Weiterlesen
22. März 2023

Joint Controller Agreement: Vorteile und Herausforderungen der gemeinsamen Verantwortlichkeit

Die Vereinbarung über die gemeinsame Verantwortlichkeit („Joint Controller Agreement“ oder auch kurz „JCA“ genannt) erscheint vielen Verantwortlichen in der Praxis noch immer als kompliziert und umständlich. Doch zu Unrecht: Mit der sorgfältigen Ausgestaltung des Agreements können verantwortliche Unternehmen von vielen Vorteilen profitieren, Effizienzgewinne durch vorausschauende Prozessgestaltung erzielen und ein entsprechendes effektives Risikomanagement betreiben.
Weiterlesen
7. März 2023

Anonymisierung und Pseudonymisierung in der Praxis

Wie der vermeintliche Widerspruch zwischen Datenschutz durch Pseudonymisierung und dem Nutzen personenbezogener Daten in der wissenschaftlichen Praxis bearbeitet werden kann, beleuchten wir in diesem Beitrag. Außerdem werfen wir einen Blick auf die besonderen Herausforderungen, denen Akteur:innen des Gesundheitswesens bei diesem Thema begegnen.
Weiterlesen

26. Oktober 2021

Gesundheitsapps – Anforderungen an Datenschutz und Datensicherheit

An Gesundheitsapps werden viele Anforderungen bezüglich des Datenschutzes und der Datensicherheit gestellt. Das dies wichtig und richtig ist, zeigt zum einen, dass mit der Anwendung naturgemäß sensible und besonders schützenswerte Daten verarbeitet werden und zum anderen eine Untersuchung des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Denn bei dieser wurden in Gesundheitsapps zahlreiche Sicherheitslücken festgestellt: keine der untersuchten Apps hat die Sicherheitsanforderungen der BSI-Richtlinie für Gesundheitsapps vollständig erfüllt. Dies ist datenschutzrechtlich sehr bedenklich, erfreuen sich vergleichbare Anwendungen in letzter Zeit doch starker Beliebtheit. Gesundheitsapps werden von vielen Nutzer:innen zur Gesundheitsvorsorge eingesetzt: Abhilfe bei Migräne, Unterstützung bei Depressionen oder zur Linderung von Arthrose – die Möglichkeiten sind divers und vielfältig. Maßgeblich beeinflusst wurde diese Entwicklung durch das im Jahr 2019 durch den Bundestag verabschiedete Digitale-Versorgungs-Gesetz (DVG), welches die Digitalisierung der deutschen Krankenversorgung voranbringen soll.

Rechtliche Einordnung

Das DVG gibt Patienten nunmehr den Anspruch auf die Versorgung mit digitalen Gesundheitsanwendungen (DiGA) auf Kosten der Krankenkassen (§ 33 a SGB V). Unter eine DiGA fallen nach § 33 a Abs. 1 S. 1 SGB V medizinisch nützliche Apps und damit solche, die insbesondere zur Diagnose und Therapie von Krankheiten eingesetzt werden. Damit eine Gesundheitsapp für Patienten erstattungsfähig ist, muss sie zuvor durch das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) überprüft werden. Zentraler Aspekt ist dabei die Datensicherheit und Datenschutzbestimmungen.

Gesundheitsapps nutzen naturgemäß Gesundheitsdaten. Doch nicht alle Daten, die im Kontext von medizinisch nützlichen Apps verarbeitet werden, sind Gesundheitsdaten. Vielmehr ist zwischen Gesundheitsdaten und „normalen“ personenbezogenen Daten zu unterscheiden, denn nach dieser Unterscheidung richten sich die konkreten Voraussetzungen und vor allem die mögliche Rechtsgrundlage bei der Verarbeitung. Gesundheitsdaten werden in Art. 4 Nr. 15 Datenschutzgrundverordnung (DSGVO) definiert: „Gesundheitsdaten“ [sind] personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“ und in Art. 9 DSGVO unter einen besonderen Schutz gestellt. Entsprechend dieser besonderen Schutzbedürftigkeit werden an DiGA hohe Anforderungen bezüglich des Datenschutzes und Datensicherheit gestellt.

Datenschutzrechtliche Anforderungen

Werden personenbezogene Daten verarbeitet sind die DSGVO, das Bundesdatenschutzgesetz (BDSG) sowie zahlreiche bereichspezifische Regelungen zur Zulässigkeit und Verarbeitung von Gesundheitsdaten zu beachten. Solche speziellen Regelungen finden sich unter anderem in den Sozialgesetzbüchern, im Infektionsschutzgesetz, im Medizinproduktgesetz und auf Landesebene im Landesgesundheitsgesetz. Die Anforderungen der DSGVO werden zusätzlich konkretisiert und ergänzt durch die Gesundheitsanwendungen-Verordnung (DiGAV).

Zunächst muss eine Rechtsgrundlage nach der DSGVO vorliegen, damit die Verarbeitung personenbezogener Daten erlaubt ist. Damit Gesundheitsdaten verarbeitet werden können, muss eine spezielle Rechtsgrundlage vorliegen – dies normiert Art. 9 Abs. 1 DSGVO durch ein grundsätzliches Verbot der Verarbeitung von Gesundheitsdaten. Zentrale Vorschriften sind Art. 9 Abs. 2 DSGVO bzw. § 22 BDSG.

Auch wird die Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 Abs. 3 lit. b DSGVO in der Regel notwendig sein, da die Verarbeitung von Gesundheitsdaten in Gesundheitsapps naturgemäß umfangreich ist. Berücksichtigt werden müssen auch immer die allgemeinen Datenschutzprinzipien wie die Datenminimierung, Zweckbindung oder Speicherbegrenzung (Art. 5 Abs. 1 DSGVO), Betroffenenrechte und Informationspflichten (Art. 13 ff. DSGVO). Auch der Transparenzgrundsatz der DSGVO muss ausreichend beachtet werden: dem Nutzer muss zu jeder Zeit in einer einfachen und verständlichen Sprache erklärt werden, welche Daten verarbeitet werden und was mit seinen Daten geschieht.

Weitere besondere Voraussetzungen werden von der DiGAV formuliert – diese bilden zugleich auch die wesentlichen Prüfungspunkte bei der Prüfung der Erstattungsfähigkeit der Gesundheitsapps durch die BfArM. In § 4 DiGAV werden Anforderungen an Datenschutz und Datensicherheit definiert, welche insbesondere die Vorgaben aus der DSGVO ergänzen und konkretisieren. Diese Anforderungen werden gemäß § 4 Abs. 6 DiGAV in Anlage 1 der DiGAV näher bestimmt. Zu beachten ist, dass die Verarbeitung personenbezogener Daten aufgrund einer Einwilligung i. S.v. Art. 9 Abs. 2 lit. a) DSGVO nach § 4 Abs. 2 DiGAV auf bestimmte Zwecke beschränkt ist. Die Datenverarbeitung außerhalb Deutschlands ist in § 4 Abs. 3 DiGAV geregelt.

Mehr Informationen zum Thema:

Anforderungen an die Datensicherheit

Darüber hinaus müssen sämtliche über eine DiGA – und damit auch über Gesundheitsapps – verarbeiteten Daten in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit geschützt werden. Es müssen die Anforderungen an die Datensicherheit nach dem Stand der Technik unter Berücksichtigung der Art der verarbeiteten Daten und der damit verbundenen Schutzstufen sowie des Schutzbedarfs gewährleistet sein.

Die dazu erforderlichen, wesentlichen Anforderungen finden sich in der Anlage 1 zur DiGVA. Hier wird eine Checkliste zur Datensicherheit formuliert und in zwei Rubriken unterteilt –Basisanforderungen und Zusatzanforderungen. Hier finden sich Punkte wie Stand der Technik, Informationsmanagementsystem gemäß ISO 27000-Reihe oder BSI-Standard 200-2, Schutzbedarfsanalyse, „Data Leakage Prevention“, u.a. Verschlüsselung und Anforderungen an das Produkt, wie zum Beispiel Authentisierung und Autorisierung, Protokollierung, Härtung.

Die Zusatzanforderungen gelten für DiGA mit sehr hohem Schutzbedarf. Dazu sind sieben zusätzliche Anforderungen im Bereich Verschlüsselung gespeicherter Daten, Authentisierung, Ergreifen der Maßnahmen gegen DoS und DDoS sowie Vorkehrungen im Zusammenhang mit eingebetteten Webservern normiert.

Technische Richtlinie BSI TR-03161

Das BSI hat in der Technischen Richtlinie BSI TR-03161 weitere Sicherheitsanforderungen formuliert. Die TR gilt als Mindestanforderungen für den sicheren Betrieb einer Anwendung und ist grundsätzlich anwendbar für alle mobilen Anwendungen, welche sensible Daten verarbeiten und speichern. Grundsätzliche Schutzziele der IT-Sicherheit umfassen: Vertraulichkeit, Integrität und Verfügbarkeit. Diese Sicherheitsanforderungen sollen von Anfang an und damit ab Software-Entwicklung berücksichtigt werden. Die Richtlinie wurde in einem „trial use“-Status veröffentlicht, doch sie kann bereits jetzt von Entwicklern genutzt werden, um zu zeigen, dass die Anforderungen des Zulassungsverfahren des BfArM eingehalten wurden. Nach Angaben des BSI werden in zukünftigen Versionen auf Grundlage der Erfahrungen und der Rückmeldungen aus der Industrie, Erweiterungen vorgenommen, die eine Zertifizierung von Apps nach dieser Technischen Richtlinie ermöglichen.

Fazit

Es lässt sich festhalten, dass Gesundheitsapps naturgemäß sehr sensible und schützenswerte Daten verarbeiten. Um ein sicheres Produkt für Anwender:innen zu gewährleisten, müssen Hersteller deshalb viele Anforderungen bei der Entwicklung und Umsetzung der Apps erfüllen. Schwerpunkt liegt auf der Datensicherheit und dem Datenschutz. Die Voraussetzungen sind zuweilen etwas unübersichtlich, denn sie ergeben sich aus der DSGVO, dem BDSG und auch aus einschlägigen bereichsspezifischen datenschutzrechtlichen Vorschriften im Gesundheitswesen wie den Sozialgesetzbüchern oder dem Infektionsschutzgesetz – insbesondere auch aus Vorgaben der DiGAV.

Mehr zum Thema

12. Juli 2023

Die wichtigsten Fragen zu Datenübermittlung an US-Dienste: Was bedeutet der neue EU-US Datenschutzrahmen für Unternehmen?

Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss nach Artikel 45 Abs. 3 der DSGVO für die USA erlassen: Das „EU-US Data Privacy Framework“ (EU-US-Datenschutzrahmen). Damit stellt die Kommission nach dem vom EuGH im Juli 2020 gekippten Privacy Shield erneut fest, dass die USA ein angemessenes Schutzniveau für aus der EU übermittelte personenbezogene Daten gewährleisten können.
Weiterlesen
22. März 2023

Joint Controller Agreement: Vorteile und Herausforderungen der gemeinsamen Verantwortlichkeit

Die Vereinbarung über die gemeinsame Verantwortlichkeit („Joint Controller Agreement“ oder auch kurz „JCA“ genannt) erscheint vielen Verantwortlichen in der Praxis noch immer als kompliziert und umständlich. Doch zu Unrecht: Mit der sorgfältigen Ausgestaltung des Agreements können verantwortliche Unternehmen von vielen Vorteilen profitieren, Effizienzgewinne durch vorausschauende Prozessgestaltung erzielen und ein entsprechendes effektives Risikomanagement betreiben.
Weiterlesen
7. März 2023

Anonymisierung und Pseudonymisierung in der Praxis

Wie der vermeintliche Widerspruch zwischen Datenschutz durch Pseudonymisierung und dem Nutzen personenbezogener Daten in der wissenschaftlichen Praxis bearbeitet werden kann, beleuchten wir in diesem Beitrag. Außerdem werfen wir einen Blick auf die besonderen Herausforderungen, denen Akteur:innen des Gesundheitswesens bei diesem Thema begegnen.
Weiterlesen

4. Oktober 2021

Datenschutz und KI-Systeme: Wie Unternehmen die Vorteile der DSFA nutzen

Auch wenn die KI-Verordnung der EU-Kommission, deren Entwurf am 21. April 2021 vorgestellt wurde, sich noch in der Planung befindet, müssen sich Unternehmen für die Entwicklung und den Einsatz von KI-Systemen mit einigen rechtlichen Fragen auseinandersetzen. Denn neben anderen Gesetzen, die auch für KI Vorgaben enthalten, stellt die DSGVO das maßgebliche Gesetz für KI-Systeme dar. Denn nur mit einer ausreichenden Menge an Trainingsdaten sind KI-Systeme funktionsfähig und zu Lernprozessen in der Lage. In den meisten Fällen weisen diese Daten einen Personenbezug auf, da oft bereits schon aufgrund der großen Datenmenge die Identifikation der jeweiligen Personen möglich ist. Dann müssen die Vorgaben der DSGVO und gegebenenfalls weiterer einschlägiger Vorschriften umgesetzt werden. Dazu gehören unter anderem Informationspflichten gegenüber den betroffenen Personen oder die Erstellung und Pflege eines Verzeichnisses von Verarbeitungstätigkeiten – und eine weitere Vorgabe ist im Rahmen von KI häufig die Durchführung einer Datenschutz-Folgenabschätzung (DSFA). Viele Unternehmen nehmen diese als reinen Zusatzaufwand wahr, den die DSGVO ihnen auferlegt. Die Praxis zeigt jedoch, dass eine DSFA als hilfreiches Instrument genutzt werden kann, um KI-Projekte erfolgreich durchzuführen. Denn es geht nicht um eine bloße Dokumentation, sondern um die Begleitung des Entwicklungsprozesses von Beginn an, um die Anwendungen datenschutzkonform und sicher zu gestalten. Somit lassen sich mit einer sorgfältig durchgeführten DSFA das Kund:innenvertrauen gewinnen und Wettbewerbsvorteile sichern.

Die DSFA zur Identifizierung von Risiken

Die Risiken, die sich aus dem Einsatz von KI-Systemen ergeben können, sind oft ganz unterschiedlicher Natur. Mit einer DSFA, die einen umfassenden Überblick über alle Datenverarbeitungstätigkeiten ermöglicht, können diese jedoch schnell erkannt und mitigiert werden. Ein für KI-Systeme typisches Risiko besteht in der Diskriminierung von Personen oder Personengruppen. Denn die Algorithmen verwenden das anfänglich bereitgestellte Datenmaterial für die Lernprozesse und nehmen es als Grundlage für Entscheidungen. Bereits dieses Datenmaterial kann, beabsichtigt oder unbeabsichtigt, menschliche Vorurteile (sog. bias) enthalten. Beispielsweise kann das mit einer KI passieren, die in einer ersten Durchsicht Bewerbungsunterlagen ablehnt oder weiterleitet. Handelt es sich etwa um einen technischen Beruf, für den sich in der Vergangenheit, aus der die Daten stammen, hauptsächlich Männer beworben und die ausgeschriebenen Stellen erhalten haben, kann ein Algorithmus einen Zusammenhang zwischen Berufsgruppe herstellen und Männer bevorzugen. Eine DSFA hilft dabei, diese und weitere Risiken festzustellen, indem alle mit der KI-Anwendung verbundenen Datenverarbeitungsvorgänge erfasst und auf den Prüfstand gestellt werden.

Wie eine DSFA durchgeführt wird

Das richtige Vorgehen bei der DSFA beginnt jeweils mit der Vorabprüfung, ob sie gesetzlich verpflichtend durchgeführt werden muss. Nach Art. 35 Abs. 1 DSGVO ist das immer der Fall, wenn Risiken für die Rechte und Freiheiten natürlicher Personen bestehen. Das kann zwar nur im Einzelfall beurteilt werden, wird bei KI-Anwendungen jedoch meist zutreffen. Die eigentliche DSFA beginnt mit einer systematischen Beschreibung aller Verarbeitungsvorgänge. Hier sollten Art, Umfang, Umstände und Zwecke der Verarbeitung zusammen mit technischen und organisatorischen Maßnahmen erfasst werden. So kann der gesamte Lebenszyklus der Daten von der Erhebung bis zur Löschung jederzeit nachverfolgt werden. Darüber hinaus wird festgestellt, welche unterschiedlichen Kategorien an Personen und an Daten betroffen sind. Dabei kann es sich etwa um Daten von Mitarbeitenden oder Kundschaft, Inhalts- und Metadaten, Anmeldedaten oder beispielsweise auch Gesundheitsdaten handeln. Nach einer rechtlichen Bewertung der Datenverarbeitungsvorgänge – hier geht es um die Rechtsgrundlagen sowie die Notwendigkeit und Verhältnismäßigkeit der Verarbeitungen – wird eine Risikoanalyse durchgeführt, die den Hauptbestandteil der DSFA bildet. Sie setzt sich aus einer Risikobewertung, der Risikobehandlung und der Ermittlung des Restrisikos zusammen. Für die Identifizierung und Beurteilung von Risiken haben sich gerade für neue Technologien wie KI Threat Modeling Workshops bewährt, die alle Beteiligten miteinschließen und über den gesamten Entwicklungsprozess einer Anwendung hinweg durchgeführt werden, um Risiken zu erkennen und direkt anzugehen.

Mehr Informationen zum Thema:

Die Datenschutz-Folgenabschätzung im Health-Bereich: (Fast) unverzichtbar?
Die Datenschutz-Folgenabschätzung am Beispiel von Microsoft 365 – ein Beitrag unseres Partner SRD Rechtsanwälte
Kriterien & Anforderungen an die Datenschutz-Folgenabschätzung – ein Beitrag unseres Partner SRD Rechtsanwälte

Gewährleistungsziele und Schutzmaßnahmen festlegen

Auch wenn das hier beschriebene Vorgehen gesetzlich nicht zwingend vorgeschrieben ist, ist es sinnvoll, um der DSFA eine sinnvolle und umfassende Struktur zu verleihen. So ist es anzuraten, anhand der Gewährleistungsziele des Standard-Datenschutzmodells (SDM) die relevanten Datenschutzvorgaben zu bestimmen und auf ihrer Grundlage entsprechende technische und organisatorische Schutzmaßnahmen festzulegen. Zu den Gewährleistungszielen gehören unter anderem die Integrität, Vertraulichkeit und Transparenz der Daten. Wenn die Risiken, die mit der KI-Anwendung verbunden sind, erfasst und beschrieben worden sind, werden sie zunächst ohne Schutzmaßnahmen in Bezug auf Eintrittswahrscheinlichkeit eines Schadens und Schadenshöhe bewertet. Aufgrund dieser Risikobewertung werden dann die passenden Abhilfemaßnahmen erst geprüft und umgesetzt. Als Schutzmaßnahmen kommen zum Beispiel die Transport- und Inhaltsverschlüsselung der Daten sowie umfassende Zugriffs- und Berechtigungskonzepte in Betracht, Schulungen, Richtlinien und Datenschutzhinweise. Für KI-Anwendungen ist es besonders wichtig, die „Kontrolle“ der KI-Entscheidungen sicherzustellen. Denn je „intelligenter“ ein Algorithmus agiert, desto schwieriger ist es, die detaillierte Kenntnis über die Entscheidungsprozesse zu behalten. Es besteht die Gefahr, dass sie in der sogenannten Black Box erfolgen. Um dadurch entstehende Nachteile zu verhindern, kann eine Kontroll-KI als Mitigations-Maßnahme implementiert werden. Nach der Umsetzung der Abhilfemaßnahmen folgt eine weitere Risikobewertung, um das verbleibende Restrisiko zu ermitteln.

Die DSFA für KI-Systeme: Der Aufwand lohnt sich

Die Vorstellung, die DSFA sei ein reiner Zusatzaufwand, stimmt daher nicht – zumindest dann, wenn Unternehmen mit dem richtigen Vorgehen die Vorteile zu nutzen wissen du die DSFA als Instrument einsetzen, mit dem KI-Anwendungen über den gesamten Entwicklungsprozess hinweg datenschutzkonform ausgestaltet werden können. Die fortwährende Überprüfung und gegebenenfalls Anpassung der Verarbeitungsvorgänge und der Schutzmaßnahmen erlaubt es, einen positiven Einfluss auf die KI-Systeme zu nehmen. Durch regelmäßige Abstimmung können Risiken von Anfang an erkannt und schnell behoben werden. Die DSFA hilft daher, durch nachhaltigen Datenschutz und technische Sicherheit Kund:innenvertrauen zu erlangen, nachträglichen Aufwand zu vermeiden und somit Wettbewerbsvorteile zu gewinnen.

Mehr zum Thema

12. Juli 2023

Die wichtigsten Fragen zu Datenübermittlung an US-Dienste: Was bedeutet der neue EU-US Datenschutzrahmen für Unternehmen?

Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss nach Artikel 45 Abs. 3 der DSGVO für die USA erlassen: Das „EU-US Data Privacy Framework“ (EU-US-Datenschutzrahmen). Damit stellt die Kommission nach dem vom EuGH im Juli 2020 gekippten Privacy Shield erneut fest, dass die USA ein angemessenes Schutzniveau für aus der EU übermittelte personenbezogene Daten gewährleisten können.
Weiterlesen
12. Mai 2023

KI in der Logistik: Chancen, Herausforderungen und Datenschutzstrategien

Die Logistikbranche in Deutschland hat die Chancen und Möglichkeiten der Künstlichen Intelligenz (KI) erkannt und ist vielen anderen Wirtschaftszweigen bereits weit voraus. Dieser Blogbeitrag zeigt auf, welche konkreten Einsatzmöglichkeiten KI in der Logistik bietet und wie Datenschutzanforderungen bei der Implementierung von KI-Lösungen erfüllt werden können.
Weiterlesen
11. April 2023

KI im Recruiting: Chancen und Datenschutz-Risiken für Unternehmen

Künstliche Intelligenz ist in aller Munde und wird längst auch in HR-Prozessen eingesetzt. Vor allem in der Personaladministration sind KI-Tools statistisch gesehen beliebt. Im folgenden Beitrag wollen wir die populärsten KI-Potenziale im Recruiting vorstellen und einen Überblick über deren Chancen, Risiken und Herausforderungen geben.
Weiterlesen

3. September 2021

Aktuelles im Datenschutz

Wenige Rechtsgebiete entwickeln sich so schnell und stark wie das Datenschutzrecht. Im Folgenden soll ein Überblick über einige relevante Entwicklungen im Datenschutzrecht der letzten Wochen und Monate gegeben werden. Besprochen werden der neue Angemessenheitsbeschluss für das Vereinigte Königreich, Bußgeldverfahren gegen juristische Personen, eine neue Ausnahme-Verordnung für die ePrivacy-Richtlinie sowie aktuelle höchstrichterliche Rechtsprechung zum Auskunftsanspruch nach Art. 15 DSGVO.

Angemessenheitsbeschluss UK

Am 28. Juni 2021 hat die EU-Kommission einen Angemessenheitsbeschluss nach Art. 45 DSGVO für das Vereinigte Königreich (UK) erlassen (Durchführungsbeschluss C/2021/4800). Das Land wird dadurch als sicheres Drittland mit einem EU-ähnlichen Datenschutzniveau anerkannt, der Austausch von personenbezogenen Daten bleibt also auch nach dem Brexit weiter möglich.

Zuvor unterfielen Datenübermittlungen in das Vereinigte Königreich sowie die verarbeitenden Stellen nach dem Brexit-Abkommen vom 31.12.2020 nur deshalb nicht den von Art. 46 DSGVO geforderten Garantien für eine Datenübermittlung in Drittländer, weil eine Übergangsfrist bis zum 30.04.2021 vereinbart wurde. Durch die Ratifizierung des Brexit-Handelsabkommens am 28.04.2021 wurde die Frist allerdings bis zum 30.06.2021 verlängert. Nunmehr liegt durch den Angemessenheitsbeschluss vom 29.06.2021 eine Grundlage für die Datenübermittlung im Sinne des Art. 45 Abs. 3 DSGVO vor.

Das Datenschutzrecht des Vereinigten Königreichs wird maßgeblich durch den Data Protection Act 2018 (DPA 2018) bestimmt. Der DPA steht neben der auf der DSGVO basierenden UK GDPR und ergänzt diese z.B. durch Ausnahmen für Strafverfolgungsbehörden und Geheimdienste. Besonders in der Kritik steht das sogenannte Five-Eyes-Abkommen, ein Geheimdienst-Abkommen zwischen Großbritannien, den USA, Kanada, Neuseeland und Australien, welches für das knappe Scheitern des Angemessenheitsbeschlusses im EU-Parlament im Mai 2021 mitverantwortlich war. Auch angeführt für das Scheitern des Beschlusses wurden Datentransfers von EU-Daten aus Großbritannien aufgrund eigener Abkommen in Drittstaaten ohne Angemessenheitsbeschluss.

Nach Modifizierung der Angemessenheitsentscheidung durch Einschränkung des Anwendungsbereiches wurde der Beschluss nun doch am 28.06.2021 von der Kommission verabschiedet. Ausgeklammert sind nach dem aktuellen Angemessenheitsbeschluss Datenverarbeitungen zum Zwecke der Einwanderungskontrolle. Sorge bereitet nach EU-Ansicht in dem Fall vor allem das unbillige Beschneiden von Betroffenenrechten. Der Angemessenheitsbeschluss entfaltet hierfür keine legitimierende Wirkung. Notwendig bleibt deshalb weiterhin die eigenständige Implementierung von geeigneten Garantien gem. Art. 46 DSGVO. Der Angemessenheitsbeschluss ist zunächst auf vier Jahre befristet, könnte jedoch schon früher durch ein Urteil des EuGHs für ungültig erklärt werden. Die Kommission muss mit Ablauf der vier Jahre bis zum 27.06.2025 selbstständig prüfen, ob das Datenschutzniveau im Vereinigten Königreich auch weiterhin angemessen ist.

Bußgeld gegen die Deutsche Wohnen SE

LG Berlin, 18.02.2021 – (526 OWi LG) 212 Js-OWi 1/20 (1/20), 526 OWiG LG 1/20

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hatte im Herbst 2019 einen Bußgeldbescheid über 14,5 Millionen Euro gegen die Deutsche Wohnen SE erlassen. Zur Begründung brachte die Behörde an, dass im Archiv des Unternehmens teils Jahre alte personenbezogene Daten von Mieter:innen einzusehen waren. Darunter waren unter anderem Arbeitsverträge, Finanzdaten sowie Sozial- und Krankenversicherungsdaten.

Das LG Berlin stellte das Bußgeldverfahren am 18.02.2021 mittels Beschlusses ein.Das Gericht begründete seinen Beschluss damit, dass die Behörde eine juristische Person (hier die Deutsche Wohnen SE) nicht als Betroffene in einem Bußgeldverfahren behandeln könne. Ordnungswidrigkeiten könnten nur von natürlichen Personen begangen werden. Das LG Berlin wertete die Behandlung der Deutsche Wohnen SE als Betroffene des Bußgeldbescheides als Verfahrenshindernis.

LG Bonn, 11.11.2020 – 29 OWi 1/20

Das LG Bonn hatte im November 2020 in einem ähnlichen Sachverhalt noch anders entschieden. Mit Urteil vom 11.11.2020 reduzierte das Gericht ein gegen 1&1 verhängtes Bußgeld des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) stark. Ein Verfahrenshindernis wurde allerdings nicht angenommen. Das LG Bonn knüpfte für den Sanktionsgegenstand an den Datenschutzverstoß als Erfolg an. Für das Bußgeld komme es gerade nicht auf eine ursächliche Handlung einer natürlichen Person an. Im Bußgeldbescheid müsse nicht angegeben werden, welche natürlichen Personen eines Unternehmens einen Datenschutzverstoß konkret begangen haben. Der Verstoß müsse nur ausreichend konkretisiert werden. Das LG Bonn sah im Gegensatz zum LG Berlin die Grundsätze des supranationalen Kartellrechts als anwendbar an, die eine unmittelbare Verbandshaftung ermöglichen. Unternehmen haften danach als funktionale Einheit nach dem sogenannten Funktionsträgerprinzip. Im Ergebnis müsse die Behörde somit nur den Datenschutzverstoß selbst feststellen. Darüberhinausgehende Ermittlungsarbeit wäre so nicht erfasst.

Verbands- oder Rechtsträgerhaftung

Ausgangspunkt dieses Konflikts ist Art. 83 DSGVO, der für die tatsächliche Verhängung von Bußgeldern den Rückgriff auf das Recht der Mitgliedstaaten ermöglicht. In Deutschland verweist § 41 Abs. 1 BDSG „sinngemäß“ auf das OWiG. Das LG wertet dies als „Analogieverweisung“, was durch das LG Berlin als typische Analogieverweisung verstanden wird. Dies bedeute, dass das OWiG nur dann sinngemäß angewandt wird, wenn der Bezugstext nicht wörtlich passt. Nicht aber ist darunter eine Nichtgeltung bestimmter Normen zu verstehen. Aus dem Begriff „sinngemäß“ ergebe sich also gerade keinesfalls, dass die §§ 30, 130 OWiG nicht oder nur eingeschränkt im datenschutzrechtlichen Bußgeldverfahren anwendbar wären. Damit brauche es also auch eine Anknüpfungstat einer natürlichen Person.

Das LG Bonn führt dagegen an, der europäische Gesetzgeber habe bei Konzipierung der DSGVO das Kartellrecht vor Augen gehabt. Es bedürfe also nach Art. 83 DSGVO gerade nicht der Anknüpfung an die schuldhafte Handlung einer natürlichen Person. Infolgedessen könne § 30 OWiG gerade nicht uneingeschränkt angewendet werden. Nur so könne man dem Haftungskonzept des Art. 83 DSGVO gerecht werden.

Ein solcher staatlicher Strafausspruch ohne die Anknüpfung an eine schuldhafte Handlung sei allerdings nach dem LG Berlin nicht möglich, denn auch im Ordnungswidrigkeitenrecht gelte das Schuldprinzip. Der europäische Effektivitätsgrundsatz könne nicht das verfassungsrechtlich garantierte Schuldprinzip aushebeln.

Die BlnBDI hatte in einer Pressemitteilung vom 03.03.2021 angebracht, dass die Auslegung des deutschen Ordnungswidrigkeitenrechts durch das LG Berlin nicht im Einklang mit dem Willen des europäischen Gesetzgebers stehe. Um eine einheitliche Anwendung der DSGVO in allen Mitgliedstaaten zu gewährleisten, müssten die Regelungen des OWiG im Lichte der europäischen Vorschriften ausgelegt werden. Die BlnBDI trägt zudem vor, dass der Beschluss des LG Berlins die Effektivität des Ordnungswidrigkeitenverfahrens erheblich gefährde. In Deutschland wäre dem LG Berlin folgend anders als in vielen anderen Mitgliedstaaten der Nachweis einer individuellen Handlung besonders bei großen Unternehmen aufgrund ihrer komplexen Struktur für die Behörden nur schwer zu erbringen. Es bestehe die Gefahr der Benachteiligung kleiner und mittlerer Unternehmen sowie des Auseinanderfallens der europaweiten Sanktionierungspraxis bei DSGVO-Verstößen.

Die Staatsanwaltschaft hat gegen den Beschluss des LG Berlin in Einvernehmen mit der BlnBDI Beschwerde beim Kammergericht Berlin eingelegt. Es erscheint denkbar, dass das Kammergericht den Fall dem EuGH im Vorabentscheidungsverfahren vorlegt, um die notwendige und intendierte Auslegung des Art. 83 DSGVO zu klären.

Nun bleibt abzuwarten, wie sich der Streit zwischen den Vertretern der Verbandshaftung bzw. des Funktionsträgerprinzips und dem LG Berlin als Vertreter der Rechtsträgerhaftung durch Entscheidung des Kammergerichts Berlin oder auch des EuGHs auflöst.

Online-Massenüberwachung durch Umgehung der ePrivacy-RL

Am 06.07.2021 hat das Europäische Parlament eine vorübergehende Ausnahmeverordnung von der Richtlinie 2002/58/EG zur Verwendung von Technik zur Verarbeitung von Daten zwecks Bekämpfung des sexuellen Missbrauchs von Kindern im Internet erlassen. Durch die Verordnung wird es künftig
Chat-, E-Mail- und Social-Media-Anbietern erlaubt sein, private Telekommunikationsinhalte zu scannen, auszuwerten und bei Verdacht der Kinderpornographie automatisiert an Strafverfolgungsbehörden zu melden. Die Verordnung gilt hingegen nicht für das Durchsuchen von Audiokommunikation.

Die beschriebene, nun von der Ausnahmeverordnung gedeckte, Praxis gab es bereits zuvor. Durch die Anwendbarkeit des Europäischen Kodexes für die elektronische Kommunikation fielen seit dem 21.12.2020 die entsprechenden „nummernunabhängigen interpersonellen Kommunikationsdienste“ auf einmal unter die ePrivacy-Richtlinie. Die automatische Überprüfung von Kommunikationsinhalten war nicht mehr zulässig. Facebook schaltete seine Scanner daraufhin ab. Google und Microsoft ließen sie zunächst weiterlaufen.

Der Nutzer muss über eine Meldung bei den Strafverfolgungsbehörden oder Organisationen, die im öffentlichen Interesse gegen sexuellen Missbrauch von Kindern vorgehen nicht durch die Dienste informiert werden. Vielmehr sieht die Verordnung einen verbindlichen Hinweis auf die Beschwerdemöglichkeit der Nutzer lediglich dann vor, wenn ihre Inhalte entfernt, das Konto gesperrt oder ein ihnen angebotener Dienst eingestellt wurde.

Sollte eine langfristige Lösung vor Ablauf der drei Jahre gefunden werden, soll der dann geschaffene Rechtsrahmen die Ausnahmeverordnung aufheben.

Rechtsprechung zum Umfang des datenschutzrechtlichen Auskunftsanspruches

In den vergangenen Monaten ergingen zwei wichtige höchstrichterliche Urteile zu den Auskunftsansprüchen nach Art. 15 DSGVO.

1. BAG, 27. April 2021 – 2 AZR 342/20

Das Bundesarbeitsgericht (BAG) entschied am 27.04.2021 über einen Fall, in welchem der Kläger im Rahmen eines Kündigungsrechtstreits einen Auskunftsanspruch dahingehend geltend machte, dass er die Herausgabe von Kopien seiner dienstlichen E-Mails begehrte. Das Landesarbeitsgericht Niedersachsen entschied, dass ihm ein entsprechender Anspruch nicht zustünde, da ihm die durch ihn verschickten E-Mails bekannt seien. Begründet wurde dies damit, dass Sinn und Zweck der Auskunftserteilung sei, den betroffenen Personen eine Überprüfung der Datenverarbeitung zu ermöglichen, nicht aber vollständige Kopien aller Unterlagen zu erhalten, in denen personenbezogene Daten enthalten sind.

Das BAG wies die Revision zurück, da der Klageantrag nicht hinreichend bestimmt gewesen sei. Das Begehren des Klägers müsse im Wege einer sogenannten Stufenklage gem. § 254 ZPO gerichtlich geltend gemacht werden. Auf der ersten Stufe müsse der Kläger auf Auskunft klagen, um auf der zweiten Stufe entsprechend der erteilten Auskunft einen hinreichend bestimmten Leistungsantrag zu stellen. Im Vollstreckungsverfahren müsse dann unzweifelhaft klar sein, auf welche E-Mails sich die Verurteilung bezieht. Nur dann könnte ein entsprechender Auskunftsanspruch geltend gemacht werden.

Zu der umstrittenen Frage der Reichweite des Anspruchs auf Ausgabe von Datenkopien äußerte sich das BAG allerdings nicht. Diesbezüglich herrscht damit weiter Rechtsunsicherheit. Auf Auskunftsbegehren von Arbeitnehmer:innen sollten Arbeitgeber:innen weiterhin vorbereitet sein. Die Entscheidung des BAG verdeutlicht, dass eine grundsätzliche Möglichkeit der Geltendmachung entsprechender Ansprüche besteht.

2. BGH, 15.06.2021 – VI ZR 576/19

Der BGH entschied ebenso über relevante Fragen insbesondere des Umfangs des Auskunftsanspruchs gem. Art. 15 DSGVO i.V.m. Art. 4 Nr. 1 Halbsatz 1 DSGVO in einer Auseinandersetzung zwischen einem Lebensversicherer und dessen Versicherungsnehmer.

Das Landgericht Köln hatte in der Berufungsinstanz entschieden, dass die Versicherung als Beklagte den Auskunftsanspruch des Klägers vollständig erfüllt habe. In einer vorprozessualen Mitteilung habe die Beklagte bereits verschiedene Auskünfte und Informationen erteilt, nach eigenen Angaben seien auch keine weiteren personenbezogenen Daten des Klägers gespeichert bzw. verarbeitet worden. Der Kläger habe dagegen nicht konkret dargelegt, dass die bereits erteilte Auskunft unvollständig sei und inwieweit er weitere Auskunft verlange. Insbesondere unterliege die zurückliegende Korrespondenz der Parteien ebenso wie Datenauskünfte zu internen Bearbeitungsvermerken und das Prämienkonto nicht dem Auskunftsanspruch nach Art. 15 DSGVO. Das LG vertrat die Auffassung, dass sich das Auskunftsrecht nach Art. 15 DSGVO auf solche Daten beschränke, die dem Betroffenen noch nicht bekannt seien. Zurückliegende Korrespondenz zwischen dem Kläger und der Beklagten falle somit nicht unter den Auskunftsanspruch. Auch erstrecke sich der Anspruch nach Auffassung der Kammer nicht auf sämtliche interne Vorgänge der Beklagten wie zum Beispiel Vermerke.

Der BGH führt an, dass der Auskunftsanspruch nur erfüllt sei, wenn die erteilte Auskunft erkennbar den Gegenstand des berechtigten Auskunftsbegehrens vollständig abdeckt. Daran fehle es gerade, wenn sich der Auskunftspflichtige zu einer bestimmten Kategorie von Auskunftsgegenständen nicht äußere, weil er irrig davon ausgehe, dazu nicht verpflichtet zu sein. Dem Kläger wäre hier also möglich, eine Ergänzung der Auskünfte zu verlangen. Der Kläger präzisierte auch, dass er weitergehende Auskünfte hinsichtlich der Korrespondenz der Parteien, etwaiger interner Vermerke sowie seines Prämienkontos forderte. Das LG hätte eine falsche Auffassung des Begriffs der personenbezogenen Daten, sofern es die begehrten Informationen nicht als von ihm abgedeckt sähe.

Der BGH merkt an, dass der Begriff der „personenbezogenen Daten“ im Sinne des Art. 4 Nr. 1 Halbsatz 1 DSGVO nach der dortigen Definition sowie nach der Rechtsprechung des Europäischen Gerichtshofs weit zu verstehen sei. Zentrale Voraussetzung sei, dass es sich um Informationen über die in Rede stehende Person handele, sie also in irgendeiner Weise mit ihr verknüpft sein müssen.

Insbesondere schließe einen Auskunftsanspruch auch nicht aus, dass etwaige Schreiben dem Kläger schon bekannt sind. Die Auskunft soll ihm die ihn betreffende Datenverarbeitung offenlegen und die Möglichkeit zur Rechtmäßigkeitsprüfung einräumen, ein Auskunftsbegehren könne zudem wiederholt geltend gemacht werden. Auch interne Vermerke seien von Art. 15 Abs. 1 DSGVO erfasst, da der Anspruch nicht voraussetze, dass Daten extern zugänglich sind.

Vom Auskunftsanspruch nach Art. 15 DSGVO i.V.m. Art. 4 DSGVO seien laut BGH also insbesondere auch die Korrespondenz des Verantwortlichen über sowie mit dem Betroffenen, interne Vermerke und Gesprächsnotizen sowie das Prämienkonto bei einer Versicherung und Daten des Versicherungsscheins erfasst.

Ausgenommen von der Pflicht zur Auskunftserteilung seien aber nach der Rechtsprechung des EuGHs rechtliche Analysen über die Betroffenen, die auf Grundlage der personenbezogenen Daten vorgenommen wurden. Die vorgenommene rechtliche Beurteilung stelle gerade kein personenbezogenes Datum dar, der Auskunftsanspruch nach Art. 15 DSGVO greife mithin nicht. Der BGH führte schließlich an, dass Gründe, die zu einem Ausschluss des Auskunftsanspruchs führen könnten, mangels entsprechender tatsächlicher Feststellungen im Berufungsurteil nicht angenommen werden könnten. Es ist daher für Auskunftspflichtige empfehlenswert, etwaige Ausschlussgründe mittels konkreten Sachvortrages vorzutragen.

Mehr zum Thema

6. Februar 2024

Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.
Weiterlesen
26. Januar 2024

Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download

Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.
Weiterlesen
9. Januar 2024

Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling

In Zeiten zunehmender Cyberbedrohungen können Unternehmen durch die Mitigation von Datenschutzrisiken nicht nur sich selbst und ihre Beschäftigten vor Bedrohungen bewahren, sondern vor allem auch den Schutz ihrer Kund:innen effektiver gewährleisten. Ein Schlüsselelement der Risikoanalyse ist das sogenannte Threat Modeling. Wir erläutern, was Threat Modeling beinhaltet und wie es speziell in der Datenschutzberatung eingesetzt wird.
Weiterlesen

Wir melden uns bei Ihnen!

Vielen Dank für Ihre Nachricht. Wir melden uns bei Ihnen.

Es ist ein Fehler aufgetreten.

Ausgangslage

Newsletter

Die neusten Entwicklungen

Angemessenheitsbeschluss

Sie und Ihr Unternehmen benötigen unsere Expertise bei Datenübermittlungen in Drittstaaten? Dann sind Sie bei ISiCO genau richtig!

Standardvertragsklauseln

Fragebögen von Datenschutzbehörden

Neuer „Transatlantischer Datenschutzrahmen“

Mehr Informationen zum Thema:

Fazit

Mehr zum Thema

Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download

Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling

Hintergrund

Ihr Unternehmen ist im Gesundheitswesen tätig und benötigt rechtliche Unterstützung bei der Umsetzung neuer IT-Sicherheitsanforderungen?

Warum bestand Handlungsbedarf?

Datenschutz und IT-Sicherheit im Verhältnis

Newsletter

Das könnte Sie auch interessieren:

Umsetzung der gesetzlich vorgeschriebenen IT-Sicherheit

Probleme in der Umsetzung

Fazit

Mehr zum Thema

Ransomware-Prävention in Zeiten von KI – Wie Unternehmen Attacken vorbeugen können

Die Deadline naht: Machen Sie Ihr Unternehmen noch vor Oktober fit für NIS-2

Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

Was ist Google Analytics?

Sie benötigen unsere Unterstützung bei der rechtssicheren Implementierung von Google Analytics in Ihrem Unternehmen?

Welche Daten werden mittels Google Analytics erhoben?

Newsletter

Das Aus für Google Analytics in der EU? – Die Entscheidungen der Behörden

Das könnte Sie auch interessieren:

Datenschutzkonforme Nutzung von Google Analytics – Worauf müssen Webseitenbetreiber achten?

Fazit

Mehr zum Thema

Alternativen zum klassischen Cookie-Banner – Paywalls, PUR-Modelle und PIMS

Die wichtigsten Fragen zu Datenübermittlung an US-Dienste: Was bedeutet der neue EU-US Datenschutzrahmen für Unternehmen?

Digitales Marketing und Datenschutz – Handlungsempfehlungen für E-Commerce-Unternehmen

Stand der Gesetzgebung: gibt es bald ein Beschäftigtendatenschutzgesetz?

Wie können Sie und Ihr Unternehmen die Chancen von DSGVO & BDSG nutzen und von ihnen profitieren?

Aktueller Schwerpunkt: Auskunftsrecht

Wie Arbeitgeber auf Auskunftsersuchen reagieren sollten

Auswirkungen der Pandemie

Newsletter

Die elektronische Lohnabrechnung

Fazit

Mehr zum Thema

Die wichtigsten Fragen zu Datenübermittlung an US-Dienste: Was bedeutet der neue EU-US Datenschutzrahmen für Unternehmen?

KI im Recruiting: Chancen und Datenschutz-Risiken für Unternehmen

Beschäftigtendatenschutz: Herausforderungen und Lösungsansätze für Arbeitgeber

Wann müssen Unternehmen Auskunft nach Art. 15 DSGVO erteilen?

Newsletter

Über welche Daten und Informationen muss Auskunft erteilt werden?

Zu den Daten

Sie haben weitergehende Fragen zu den neuen EDSA-Richtlinien? Dann sind Sie hier genau richtig!

Die mitzuteilenden Informationen

Das könnte Sie auch interessieren:

Wie sollten Unternehmen Auskunft erteilten?

Wie können Unternehmen entsprechende Daten abrufen?

Form

Art und Weise der Auskunftserteilung

Zeitlicher Rahmen für die Auskunft

Die Grenzen

Checkliste für Auskunftsersuchen

Mehr zum Thema

Ransomware-Prävention in Zeiten von KI – Wie Unternehmen Attacken vorbeugen können

Die Deadline naht: Machen Sie Ihr Unternehmen noch vor Oktober fit für NIS-2

Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

Newsletter

Mehr zum Thema

Neue Einwilligungspflicht für Cookies nach TTDSG

Ausnahmen von der Einwilligungspflicht im TTDSG

Das könnte Sie auch interessieren:

Personal Information Management Services (PIMS)

Newsletter

Was gibt es sonst zu beachten?

Fazit zum TTDSG

Mehr zum Thema

Ransomware-Prävention in Zeiten von KI – Wie Unternehmen Attacken vorbeugen können