3. September 2021

Aktuelles im Datenschutz

Wenige Rechtsgebiete entwickeln sich so schnell und stark wie das Datenschutzrecht. Im Folgenden soll ein Überblick über einige relevante Entwicklungen im Datenschutzrecht der letzten Wochen und Monate gegeben werden. Besprochen werden der neue Angemessenheitsbeschluss für das Vereinigte Königreich, Bußgeldverfahren gegen juristische Personen, eine neue Ausnahme-Verordnung für die ePrivacy-Richtlinie sowie aktuelle höchstrichterliche Rechtsprechung zum Auskunftsanspruch nach Art. 15 DSGVO.

Angemessenheitsbeschluss UK

Am 28. Juni 2021 hat die EU-Kommission einen Angemessenheitsbeschluss nach Art. 45 DSGVO für das Vereinigte Königreich (UK) erlassen (Durchführungsbeschluss C/2021/4800). Das Land wird dadurch als sicheres Drittland mit einem EU-ähnlichen Datenschutzniveau anerkannt, der Austausch von personenbezogenen Daten bleibt also auch nach dem Brexit weiter möglich.

Zuvor unterfielen Datenübermittlungen in das Vereinigte Königreich sowie die verarbeitenden Stellen nach dem Brexit-Abkommen vom 31.12.2020 nur deshalb nicht den von Art. 46 DSGVO geforderten Garantien für eine Datenübermittlung in Drittländer, weil eine Übergangsfrist bis zum 30.04.2021 vereinbart wurde. Durch die Ratifizierung des Brexit-Handelsabkommens am 28.04.2021 wurde die Frist allerdings bis zum 30.06.2021 verlängert. Nunmehr liegt durch den Angemessenheitsbeschluss vom 29.06.2021 eine Grundlage für die Datenübermittlung im Sinne des Art. 45 Abs. 3 DSGVO vor.

Das Datenschutzrecht des Vereinigten Königreichs wird maßgeblich durch den Data Protection Act 2018 (DPA 2018) bestimmt. Der DPA steht neben der auf der DSGVO basierenden UK GDPR und ergänzt diese z.B. durch Ausnahmen für Strafverfolgungsbehörden und Geheimdienste. Besonders in der Kritik steht das sogenannte Five-Eyes-Abkommen, ein Geheimdienst-Abkommen zwischen Großbritannien, den USA, Kanada, Neuseeland und Australien, welches für das knappe Scheitern des Angemessenheitsbeschlusses im EU-Parlament im Mai 2021 mitverantwortlich war. Auch angeführt für das Scheitern des Beschlusses wurden Datentransfers von EU-Daten aus Großbritannien aufgrund eigener Abkommen in Drittstaaten ohne Angemessenheitsbeschluss.

Nach Modifizierung der Angemessenheitsentscheidung durch Einschränkung des Anwendungsbereiches wurde der Beschluss nun doch am 28.06.2021 von der Kommission verabschiedet. Ausgeklammert sind nach dem aktuellen Angemessenheitsbeschluss Datenverarbeitungen zum Zwecke der Einwanderungskontrolle. Sorge bereitet nach EU-Ansicht in dem Fall vor allem das unbillige Beschneiden von Betroffenenrechten. Der Angemessenheitsbeschluss entfaltet hierfür keine legitimierende Wirkung. Notwendig bleibt deshalb weiterhin die eigenständige Implementierung von geeigneten Garantien gem. Art. 46 DSGVO. Der Angemessenheitsbeschluss ist zunächst auf vier Jahre befristet, könnte jedoch schon früher durch ein Urteil des EuGHs für ungültig erklärt werden. Die Kommission muss mit Ablauf der vier Jahre bis zum 27.06.2025 selbstständig prüfen, ob das Datenschutzniveau im Vereinigten Königreich auch weiterhin angemessen ist.

Bußgeld gegen die Deutsche Wohnen SE

LG Berlin, 18.02.2021 – (526 OWi LG) 212 Js-OWi 1/20 (1/20), 526 OWiG LG 1/20

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hatte im Herbst 2019 einen Bußgeldbescheid über 14,5 Millionen Euro gegen die Deutsche Wohnen SE erlassen. Zur Begründung brachte die Behörde an, dass im Archiv des Unternehmens teils Jahre alte personenbezogene Daten von Mieter:innen einzusehen waren. Darunter waren unter anderem Arbeitsverträge, Finanzdaten sowie Sozial- und Krankenversicherungsdaten.

Das LG Berlin stellte das Bußgeldverfahren am 18.02.2021 mittels Beschlusses ein.Das Gericht begründete seinen Beschluss damit, dass die Behörde eine juristische Person (hier die Deutsche Wohnen SE) nicht als Betroffene in einem Bußgeldverfahren behandeln könne. Ordnungswidrigkeiten könnten nur von natürlichen Personen begangen werden. Das LG Berlin wertete die Behandlung der Deutsche Wohnen SE als Betroffene des Bußgeldbescheides als Verfahrenshindernis.

LG Bonn, 11.11.2020 – 29 OWi 1/20

Das LG Bonn hatte im November 2020 in einem ähnlichen Sachverhalt noch anders entschieden. Mit Urteil vom 11.11.2020 reduzierte das Gericht ein gegen 1&1 verhängtes Bußgeld des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) stark. Ein Verfahrenshindernis wurde allerdings nicht angenommen. Das LG Bonn knüpfte für den Sanktionsgegenstand an den Datenschutzverstoß als Erfolg an. Für das Bußgeld komme es gerade nicht auf eine ursächliche Handlung einer natürlichen Person an. Im Bußgeldbescheid müsse nicht angegeben werden, welche natürlichen Personen eines Unternehmens einen Datenschutzverstoß konkret begangen haben. Der Verstoß müsse nur ausreichend konkretisiert werden. Das LG Bonn sah im Gegensatz zum LG Berlin die Grundsätze des supranationalen Kartellrechts als anwendbar an, die eine unmittelbare Verbandshaftung ermöglichen. Unternehmen haften danach als funktionale Einheit nach dem sogenannten Funktionsträgerprinzip. Im Ergebnis müsse die Behörde somit nur den Datenschutzverstoß selbst feststellen. Darüberhinausgehende Ermittlungsarbeit wäre so nicht erfasst.

Verbands- oder Rechtsträgerhaftung

Ausgangspunkt dieses Konflikts ist Art. 83 DSGVO, der für die tatsächliche Verhängung von Bußgeldern den Rückgriff auf das Recht der Mitgliedstaaten ermöglicht. In Deutschland verweist § 41 Abs. 1 BDSG „sinngemäß“ auf das OWiG. Das LG wertet dies als „Analogieverweisung“, was durch das LG Berlin als typische Analogieverweisung verstanden wird. Dies bedeute, dass das OWiG nur dann sinngemäß angewandt wird, wenn der Bezugstext nicht wörtlich passt. Nicht aber ist darunter eine Nichtgeltung bestimmter Normen zu verstehen. Aus dem Begriff „sinngemäß“ ergebe sich also gerade keinesfalls, dass die §§ 30, 130 OWiG nicht oder nur eingeschränkt im datenschutzrechtlichen Bußgeldverfahren anwendbar wären. Damit brauche es also auch eine Anknüpfungstat einer natürlichen Person.

Das LG Bonn führt dagegen an, der europäische Gesetzgeber habe bei Konzipierung der DSGVO das Kartellrecht vor Augen gehabt. Es bedürfe also nach Art. 83 DSGVO gerade nicht der Anknüpfung an die schuldhafte Handlung einer natürlichen Person. Infolgedessen könne § 30 OWiG gerade nicht uneingeschränkt angewendet werden. Nur so könne man dem Haftungskonzept des Art. 83 DSGVO gerecht werden.

Ein solcher staatlicher Strafausspruch ohne die Anknüpfung an eine schuldhafte Handlung sei allerdings nach dem LG Berlin nicht möglich, denn auch im Ordnungswidrigkeitenrecht gelte das Schuldprinzip. Der europäische Effektivitätsgrundsatz könne nicht das verfassungsrechtlich garantierte Schuldprinzip aushebeln.

Die BlnBDI hatte in einer Pressemitteilung vom 03.03.2021 angebracht, dass die Auslegung des deutschen Ordnungswidrigkeitenrechts durch das LG Berlin nicht im Einklang mit dem Willen des europäischen Gesetzgebers stehe. Um eine einheitliche Anwendung der DSGVO in allen Mitgliedstaaten zu gewährleisten, müssten die Regelungen des OWiG im Lichte der europäischen Vorschriften ausgelegt werden. Die BlnBDI trägt zudem vor, dass der Beschluss des LG Berlins die Effektivität des Ordnungswidrigkeitenverfahrens erheblich gefährde. In Deutschland wäre dem LG Berlin folgend anders als in vielen anderen Mitgliedstaaten der Nachweis einer individuellen Handlung besonders bei großen Unternehmen aufgrund ihrer komplexen Struktur für die Behörden nur schwer zu erbringen. Es bestehe die Gefahr der Benachteiligung kleiner und mittlerer Unternehmen sowie des Auseinanderfallens der europaweiten Sanktionierungspraxis bei DSGVO-Verstößen.

Die Staatsanwaltschaft hat gegen den Beschluss des LG Berlin in Einvernehmen mit der BlnBDI Beschwerde beim Kammergericht Berlin eingelegt. Es erscheint denkbar, dass das Kammergericht den Fall dem EuGH im Vorabentscheidungsverfahren vorlegt, um die notwendige und intendierte Auslegung des Art. 83 DSGVO zu klären.

Nun bleibt abzuwarten, wie sich der Streit zwischen den Vertretern der Verbandshaftung bzw. des Funktionsträgerprinzips und dem LG Berlin als Vertreter der Rechtsträgerhaftung durch Entscheidung des Kammergerichts Berlin oder auch des EuGHs auflöst.

Online-Massenüberwachung durch Umgehung der ePrivacy-RL

Am 06.07.2021 hat das Europäische Parlament eine vorübergehende Ausnahmeverordnung von der Richtlinie 2002/58/EG zur Verwendung von Technik zur Verarbeitung von Daten zwecks Bekämpfung des sexuellen Missbrauchs von Kindern im Internet erlassen. Durch die Verordnung wird es künftig
Chat-, E-Mail- und Social-Media-Anbietern erlaubt sein, private Telekommunikationsinhalte zu scannen, auszuwerten und bei Verdacht der Kinderpornographie automatisiert an Strafverfolgungsbehörden zu melden. Die Verordnung gilt hingegen nicht für das Durchsuchen von Audiokommunikation.

Die beschriebene, nun von der Ausnahmeverordnung gedeckte, Praxis gab es bereits zuvor. Durch die Anwendbarkeit des Europäischen Kodexes für die elektronische Kommunikation fielen seit dem 21.12.2020 die entsprechenden „nummernunabhängigen interpersonellen Kommunikationsdienste“ auf einmal unter die ePrivacy-Richtlinie. Die automatische Überprüfung von Kommunikationsinhalten war nicht mehr zulässig. Facebook schaltete seine Scanner daraufhin ab. Google und Microsoft ließen sie zunächst weiterlaufen.

Der Nutzer muss über eine Meldung bei den Strafverfolgungsbehörden oder Organisationen, die im öffentlichen Interesse gegen sexuellen Missbrauch von Kindern vorgehen nicht durch die Dienste informiert werden. Vielmehr sieht die Verordnung einen verbindlichen Hinweis auf die Beschwerdemöglichkeit der Nutzer lediglich dann vor, wenn ihre Inhalte entfernt, das Konto gesperrt oder ein ihnen angebotener Dienst eingestellt wurde.

Sollte eine langfristige Lösung vor Ablauf der drei Jahre gefunden werden, soll der dann geschaffene Rechtsrahmen die Ausnahmeverordnung aufheben.

Rechtsprechung zum Umfang des datenschutzrechtlichen Auskunftsanspruches

In den vergangenen Monaten ergingen zwei wichtige höchstrichterliche Urteile zu den Auskunftsansprüchen nach Art. 15 DSGVO.

1. BAG, 27. April 2021 – 2 AZR 342/20

Das Bundesarbeitsgericht (BAG) entschied am 27.04.2021 über einen Fall, in welchem der Kläger im Rahmen eines Kündigungsrechtstreits einen Auskunftsanspruch dahingehend geltend machte, dass er die Herausgabe von Kopien seiner dienstlichen E-Mails begehrte. Das Landesarbeitsgericht Niedersachsen entschied, dass ihm ein entsprechender Anspruch nicht zustünde, da ihm die durch ihn verschickten E-Mails bekannt seien. Begründet wurde dies damit, dass Sinn und Zweck der Auskunftserteilung sei, den betroffenen Personen eine Überprüfung der Datenverarbeitung zu ermöglichen, nicht aber vollständige Kopien aller Unterlagen zu erhalten, in denen personenbezogene Daten enthalten sind.

Das BAG wies die Revision zurück, da der Klageantrag nicht hinreichend bestimmt gewesen sei. Das Begehren des Klägers müsse im Wege einer sogenannten Stufenklage gem. § 254 ZPO gerichtlich geltend gemacht werden. Auf der ersten Stufe müsse der Kläger auf Auskunft klagen, um auf der zweiten Stufe entsprechend der erteilten Auskunft einen hinreichend bestimmten Leistungsantrag zu stellen. Im Vollstreckungsverfahren müsse dann unzweifelhaft klar sein, auf welche E-Mails sich die Verurteilung bezieht. Nur dann könnte ein entsprechender Auskunftsanspruch geltend gemacht werden.

Zu der umstrittenen Frage der Reichweite des Anspruchs auf Ausgabe von Datenkopien äußerte sich das BAG allerdings nicht. Diesbezüglich herrscht damit weiter Rechtsunsicherheit. Auf Auskunftsbegehren von Arbeitnehmer:innen sollten Arbeitgeber:innen weiterhin vorbereitet sein. Die Entscheidung des BAG verdeutlicht, dass eine grundsätzliche Möglichkeit der Geltendmachung entsprechender Ansprüche besteht.

2. BGH, 15.06.2021 – VI ZR 576/19

Der BGH entschied ebenso über relevante Fragen insbesondere des Umfangs des Auskunftsanspruchs gem. Art. 15 DSGVO i.V.m. Art. 4 Nr. 1 Halbsatz 1 DSGVO in einer Auseinandersetzung zwischen einem Lebensversicherer und dessen Versicherungsnehmer.

Das Landgericht Köln hatte in der Berufungsinstanz entschieden, dass die Versicherung als Beklagte den Auskunftsanspruch des Klägers vollständig erfüllt habe. In einer vorprozessualen Mitteilung habe die Beklagte bereits verschiedene Auskünfte und Informationen erteilt, nach eigenen Angaben seien auch keine weiteren personenbezogenen Daten des Klägers gespeichert bzw. verarbeitet worden. Der Kläger habe dagegen nicht konkret dargelegt, dass die bereits erteilte Auskunft unvollständig sei und inwieweit er weitere Auskunft verlange. Insbesondere unterliege die zurückliegende Korrespondenz der Parteien ebenso wie Datenauskünfte zu internen Bearbeitungsvermerken und das Prämienkonto nicht dem Auskunftsanspruch nach Art. 15 DSGVO. Das LG vertrat die Auffassung, dass sich das Auskunftsrecht nach Art. 15 DSGVO auf solche Daten beschränke, die dem Betroffenen noch nicht bekannt seien. Zurückliegende Korrespondenz zwischen dem Kläger und der Beklagten falle somit nicht unter den Auskunftsanspruch. Auch erstrecke sich der Anspruch nach Auffassung der Kammer nicht auf sämtliche interne Vorgänge der Beklagten wie zum Beispiel Vermerke.

Der BGH führt an, dass der Auskunftsanspruch nur erfüllt sei, wenn die erteilte Auskunft erkennbar den Gegenstand des berechtigten Auskunftsbegehrens vollständig abdeckt. Daran fehle es gerade, wenn sich der Auskunftspflichtige zu einer bestimmten Kategorie von Auskunftsgegenständen nicht äußere, weil er irrig davon ausgehe, dazu nicht verpflichtet zu sein. Dem Kläger wäre hier also möglich, eine Ergänzung der Auskünfte zu verlangen. Der Kläger präzisierte auch, dass er weitergehende Auskünfte hinsichtlich der Korrespondenz der Parteien, etwaiger interner Vermerke sowie seines Prämienkontos forderte. Das LG hätte eine falsche Auffassung des Begriffs der personenbezogenen Daten, sofern es die begehrten Informationen nicht als von ihm abgedeckt sähe.

Der BGH merkt an, dass der Begriff der „personenbezogenen Daten“ im Sinne des Art. 4 Nr. 1 Halbsatz 1 DSGVO nach der dortigen Definition sowie nach der Rechtsprechung des Europäischen Gerichtshofs weit zu verstehen sei. Zentrale Voraussetzung sei, dass es sich um Informationen über die in Rede stehende Person handele, sie also in irgendeiner Weise mit ihr verknüpft sein müssen.

Insbesondere schließe einen Auskunftsanspruch auch nicht aus, dass etwaige Schreiben dem Kläger schon bekannt sind. Die Auskunft soll ihm die ihn betreffende Datenverarbeitung offenlegen und die Möglichkeit zur Rechtmäßigkeitsprüfung einräumen, ein Auskunftsbegehren könne zudem wiederholt geltend gemacht werden. Auch interne Vermerke seien von Art. 15 Abs. 1 DSGVO erfasst, da der Anspruch nicht voraussetze, dass Daten extern zugänglich sind.

Vom Auskunftsanspruch nach Art. 15 DSGVO i.V.m. Art. 4 DSGVO seien laut BGH also insbesondere auch die Korrespondenz des Verantwortlichen über sowie mit dem Betroffenen, interne Vermerke und Gesprächsnotizen sowie das Prämienkonto bei einer Versicherung und Daten des Versicherungsscheins erfasst.

Ausgenommen von der Pflicht zur Auskunftserteilung seien aber nach der Rechtsprechung des EuGHs rechtliche Analysen über die Betroffenen, die auf Grundlage der personenbezogenen Daten vorgenommen wurden. Die vorgenommene rechtliche Beurteilung stelle gerade kein personenbezogenes Datum dar, der Auskunftsanspruch nach Art. 15 DSGVO greife mithin nicht. Der BGH führte schließlich an, dass Gründe, die zu einem Ausschluss des Auskunftsanspruchs führen könnten, mangels entsprechender tatsächlicher Feststellungen im Berufungsurteil nicht angenommen werden könnten. Es ist daher für Auskunftspflichtige empfehlenswert, etwaige Ausschlussgründe mittels konkreten Sachvortrages vorzutragen.

Mehr zum Thema

6. Februar 2024

Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.
Weiterlesen
26. Januar 2024

Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download

Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.
Weiterlesen
9. Januar 2024

Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling

In Zeiten zunehmender Cyberbedrohungen können Unternehmen durch die Mitigation von Datenschutzrisiken nicht nur sich selbst und ihre Beschäftigten vor Bedrohungen bewahren, sondern vor allem auch den Schutz ihrer Kund:innen effektiver gewährleisten. Ein Schlüsselelement der Risikoanalyse ist das sogenannte Threat Modeling. Wir erläutern, was Threat Modeling beinhaltet und wie es speziell in der Datenschutzberatung eingesetzt wird.
Weiterlesen

15. Juli 2021

Aufbau und Struktur eines effizienten DSMS

Datensicherheit und Datenschutz im Unternehmen angemessen umzusetzen, ist eine komplexe Aufgabe. Aufgrund der vielen Datenverarbeitungen, die tagtäglich an unterschiedlichen Stellen vorgenommen werden, und den ebenso zahlreichen rechtlichen Regelungen, die dafür beachtet werden müssen, lässt sich schnell der Überblick verlieren. Unternehmen sollten daher auf ein umfassendes Datenschutzmanagementsystem (DSMS) setzen, um die Übersicht zu behalten und keine Rechtsverstöße mit Bußgeldern zu riskieren. Wir zeigen Ihnen in diesem Beitrag, worauf es dabei ankommt.

I. DSMS – ein kurzer Einstieg

Mit einem DSMS können alle datenschutzrechtlichen Anforderungen zentral verwaltet und erledigt werden. Dazu werden Prozesse festgelegt, Verantwortlichkeiten bestimmt und Kontrollmaßnahmen eingeführt. Zu den Prozessabläufen gehört es vor allem, ein Verzeichnis der Verarbeitungstätigkeiten (VVT) zu führen, Betroffenenanfragen, Beschwerden sowie Datenschutzvorfälle zu bearbeiten und regelmäßige Schulungen für Mitarbeitende durchzuführen. Bezüglich der Verantwortlichkeiten ist es wichtig, die unterschiedlichen Verantwortlichkeiten auf Team- oder Abteilungsebene klar voneinander zu trennen und Datenschutzkoordinator:innen zu benennen. Darüber hinaus sollte stets eng mit der für Datenschutz beauftragten Person zusammengearbeitet werden. Zur Kontrolle sind regelmäßige Prüfprozesse und interne Audits empfehlenswert.

II. Aufbau eines DSMS

Um eine sinnvolle Struktur für das DSMS festlegen zu können, sollte sich zunächst ein Überblick über die datenschutzrechtlichen Aufgaben für Unternehmen verschafft werden. Jede Erhebung, Nutzung, Archivierung oder auch Löschung personenbezogener Daten stellt einen Verarbeitungsvorgang dar, bei dem die Datenschutz-Grundverordnung (DSGVO) beachtet werden muss. Neben der Festlegung von Verantwortlichkeiten, Rechtsgrundlagen oder der Dokumentation gibt es Anforderungen wie die Umsetzung der datenschutzrechtlichen Grundsätze, von Privacy by Design und Privacy by Default, besondere Regelungen für die Datenübermittlung in Drittstaaten, für Auftragsverarbeitungen und weitere Konstellationen. Daraus ergibt sich eine Vielzahl übergeordneter Ziele, die mit einem DSMS erreicht werden sollten und anhand derer das DSMS strukturiert werden kann. Zu diesen zählen insbesondere:

Transparenz
Zweckbindung
Datenminimierung
Richtigkeit
Speicherbegrenzung
Integrität & Vertraulichkeit
Rechenschaftspflicht

Das Datenschutzmanagement im Unternehmen kann aufgrund der vielen Anforderungen aus dem Datenschutz für die zuständigen Mitarbeiterinnen und Mitarbeiter sehr zeitaufwändig und mühsam werden. Verschiedene Aufgaben mit verschiedenen Fristen, verteilte und unterschiedlich aufgebaute Dokumente sind zudem sehr fehleranfällig. Umso wichtiger ist ein durchdachtes DSMS.

III. Welche Inhalte zu einem vollständigen DSMS gehören

Ein wichtiger Bestandteil des DSMS ist das VVT. Es enthält alle Dokumentationen, die für die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO notwendig sind. Des Weiteren wird es als Grundlage für die Monitoring-Prozesse genommen, die nach Art. 32 DSGVO verpflichtend sind. Es enthält zudem Angaben über das Löschkonzept, das Dienstleistermanagement, zur Dokumentation technischer und/oder organisatorischer Maßnahmen, zur Datensicherheit und Datenschutz-Folgenabschätzung (DSFA). Weitere Punkte, die in das DSMS mit aufgenommen werden sollten, sind Prozesse für Betroffenenrechte, Datenschutzvorfälle und Behördenanfragen sowie Schulungen für Mitarbeitende.

Der Umgang mit Betroffenenrechten ist ein weiterer zentraler Inhalt eines DSMS. Hier kommt es vor allem darauf an, diese Rechte in der rechtlich vorgeschriebenen Form zu gewährleisten. Dazu gehört, betroffene Personen in verständlicher Sprache über die Verarbeitung ihrer personenbezogenen Daten zu informieren und welche Rechte ihnen konkret zustehen, beispielsweise auf Auskunft oder Datenlöschung. Um Anfragen vollständig und fristgerecht zu beantworten, müssen Unternehmen ein effektives System einrichten, zu dem unter anderem Verantwortliche und Ansprechpartner, passende Tools zur Beantwortung oder Weiterleitung der Anfragen sowie Lösch- und Fristensysteme gehören.

Schließlich ist es entscheidend, richtig auf Datenschutzverstöße zu reagieren. Nach der DSGVO müssen solche spätestens innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet werden, bei einem besonders hohen Risiko auch den betroffenen Personen. Zu einem vollständigen DSMS gehören daher auch Prozesse zum Umgang mit Datenschutzverstößen und Meldepflichten. Mitarbeitende müssen wissen, in welcher Konstellation ein Datenschutzverstoß vorliegen kann und wie daraufhin die Meldung erfolgen muss.

Insgesamt sollte hier nicht einmalig eine Liste erstellt werden, sondern ist eine regelmäßige Überprüfung und Aktualisierung entscheidend, um ein funktionierendes DSMS sicherzustellen und außerdem der datenschutzrechtlichen Rechenschaftspflicht nachzukommen.

IV. Der PDCA-Zyklus

Für die Umsetzung ist es empfehlenswert, einen vierphasigen PDCA-Zyklus (Plan Do Check Act) zu implementieren, der sich sehr gut für ein DSMS eignet und daher auch im Standarddatenschutzmodell zu finden ist. Er besteht aus vier Phasen, die sich zum stetigen Lernen und Verbessern wiederholen. Im ersten Schritt sollte sich zunächst ein Überblick über alle Prozesse verschafft werden, in denen personenbezogene Daten verarbeitet werden. Anschließend wird die Einhaltung der datenschutzrechtlichen Vorgaben einer Überprüfung unterzogen. Dabei sollten nicht nur einzelne, bereits erfolgte Datenschutzverstöße erfasst werden, sondern nach einem risikobasierten Ansatz gilt es, die jeweiligen Prozesse im Unternehmen in Bezug auf ihr Risiko von Datenschutzverletzungen zu bewerten. Bei einem hohen Risiko sollte dann noch vor einem Verstoß damit begonnen werden, die gewonnen Ergebnisse zu nutzen und Verbesserungsmaßnahmen zu implementieren. Beispielsweise können Maßnahmen ergriffen werden, um Datenschutzgrundsätze wie den der Datensparsamkeit umzusetzen oder die Erfüllung von Betroffenenrechte sicherzustellen. Wichtig ist zudem, darauf zu achten, dass sich das DSMS in vorhandene Systeme und Prozesse gut einfügt. Daraus ergeben sich folgende Prüfschleifen des PDCA-Zyklus:

Plan: Planung, Spezifikation, Dokumentation
Do: Implementierung, Protokollierung
Check: Kontrolle, Prüfung, Beurteilung
Act: Verbesserung

Mehr zum Thema

Effizienter Datenschutz durch Datenschutzmanagementsysteme
Kriterien für ein effektives Datenschutzmanagementsystem
Datenschutz im Konzern: Best-Practices für ein effizientes Datenschutzmanagement (Beitrag unseres Partners caralegal)

V. Was noch zum DSMS gehört

Im Einzelnen gehört es zu den Vorteilen eines DSMS, auf eine einheitliche Dokumentation zurückgreifen zu können. Damit können unkompliziert Fristen und Prioritäten gesetzt sowie Benachrichtigungen oder Erinnerungen frühzeitig verschickt werden. Durch Change Management können bei unterschiedlichen Dokumentationen wie dem VVT oder einer DSFA schnell Anpassungen vorgenommen werden, während die Dokumente zueinander synchron und aktuell bleiben. Mit dem DSMS können zudem umfangreiche Compliance-Prüfungen und Risikoanalysen durchgeführt werden. Darüber hinaus lässt sich Datenschutz mit einem DSMS gut im Team bearbeiten. Mit eindeutigen Zuständigkeitsverteilungen, direkten Kommunikationswegen und einer einheitlichen Dokumentation lässt sich Missverständnissen und Mehraufwand vorbeugen. Kein Muss, aber von Vorteil ist dabei ein digitales DSMS. Dieses bietet eine zentrale Datenbank als Basis für alle datenschutzrechtlich notwendigen Anforderungen, auf die Mitarbeiter je nach Verantwortlichkeit über ein übersichtliches Dashboard zugreifen können. Zudem lässt sich die Kommunikation untereinander mit Aufgabenvergabe oder Kommentarfunktionen einfacher gestalten.

VI. Fazit

Ein DSMS erleichtert die Einhaltung der datenschutzrechtlichen Verpflichtungen erheblich. Dokumentation und Überprüfung der DSGVO-Vorgaben fördern die Übersichtlichkeit und helfen dabei, Datenschutzverstöße zu vermeiden und zugleich Zeit und Aufwand zu verringern. Mit einem guten DSMS lässt sich zudem schnell auf Veränderungen reagieren. Die ständige Überprüfung des Datenschutzstandards und die Möglichkeit flexibler Anpassungen sorgen dafür, dass alle Maßnahmen stets aktuell bleiben. Zusätzliche Erleichterungen kann da eine DSMS-Software bieten, mit der der gesamte Datenschutz im Unternehmen zentralisiert und automatisiert werden kann. Hierbei können Prozesse insgesamt und nicht nur im Bereich des Datenschutzes nachhaltig verbessert werden. Unternehmen, die ein DSMS implementieren wollen, sollten sich dazu an den Vorgaben der DSGVO orientieren und das VVT als Grundlage für einen passenden und vollständigen Aufbau heranziehen.

Mehr zum Thema

6. Februar 2024

Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.
Weiterlesen
26. Januar 2024

Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download

Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.
Weiterlesen
9. Januar 2024

Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling

In Zeiten zunehmender Cyberbedrohungen können Unternehmen durch die Mitigation von Datenschutzrisiken nicht nur sich selbst und ihre Beschäftigten vor Bedrohungen bewahren, sondern vor allem auch den Schutz ihrer Kund:innen effektiver gewährleisten. Ein Schlüsselelement der Risikoanalyse ist das sogenannte Threat Modeling. Wir erläutern, was Threat Modeling beinhaltet und wie es speziell in der Datenschutzberatung eingesetzt wird.
Weiterlesen

5. Juli 2021

Internationaler Datentransfer – Neue Entwicklungen und Vorgaben für Unternehmen

Nach dem „Schrems II“-Urteil des Europäischen Gerichtshofs vom 16.07.2020 haben sich die Anforderungen an Unternehmen, die personenbezogene Daten in Länder außerhalb des EWR übermitteln, grundlegend geändert. Auch die neuen Standardvertragsklauseln, die die EU-Kommission Anfang Juni angenommen hat, orientieren sich an vielen Stellen an der Entscheidung vom vergangenen Jahr. In diesem Beitrag informieren wir Sie über diese und weitere aktuelle Entwicklungen zum Thema internationale Datentransfers, welche Rechtsgrundlagen Unternehmen nutzen können und welche Vorgaben erfüllt werden müssen.

I. Erster Schritt: Die Wahl der Rechtsgrundlage

Welche Rechtsgrundlage jeweils einschlägig ist, hängt von verschiedenen Faktoren wie dem Drittstaat, in den Daten übermittelt werden sollen, oder dem Zweck der Datentransfers ab. Anschließend haben die verschiedenen Rechtsgrundlagen unterschiedliche Anforderungen zur Folge. Hier bietet es sich an, die Rechtsgrundlagen, die die Datenschutz-Grundverordnung (DSGVO) zur Verfügung stellt, nacheinander zu überprüfen.

1. Angemessenheitsbeschluss

Die erste Rechtsgrundlage für Datentransfers in Drittstaaten, die überprüft werden sollte, ist der Angemessenheitsbeschluss nach Art. 45 DSGVO. Die Kommission bescheinigt mit einem solchen Beschluss nach einer Bewertung der Rechtslage einem bestimmten Drittland ein sicheres, dem europäischen Standard entsprechendes Datenschutzniveau. Verantwortliche Unternehmen können in diesem Fall unkompliziert personenbezogene Daten in das jeweilige Land übermitteln – neben Staaten wie unter anderem Kanada (für private Unternehmen), die Schweiz, Argentinien, Israel, Japan, Neuseeland, in Kürze Südkorea und aller Wahrscheinlichkeit nach das Vereinigte Königreich. Liegt kein Angemessenheitsbeschluss vor, muss auf andere geeignete Garantien zurückgegriffen werden.

2. Standardvertragsklauseln

Sollte ein Angemessenheitsbeschluss fehlen, sind das wichtigste Instrument für Datentransfers in Drittstaaten die sogenannten Standardvertragsklauseln bzw. Standard Contractual Clauses (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO, die ebenfalls von der EU-Kommission ausgearbeitet werden. Sie können als Vertragsvorlagen für Vereinbarungen verwendet werden, die den Datenempfänger im Drittland zur Einhaltung des erforderlichen Datenschutzniveaus verpflichten. Während im „Schrems II“-Urteil der Angemessenheitsbeschluss für die USA, der sog. Privacy Shield, für ungültig erklärt worden ist, blieben die SCC ausdrücklich weiterhin wirksam. Im konkreten Fall sollte das allerdings nur dann gelten, wenn die durch die SCC festgelegten Mechanismen tatsächlich zu einem angemessenen Datenschutzniveau für die jeweiligen Datenübermittlungen führen. Dazu bedarf es einer Reihe von Maßnahmen, abhängig von den Umständen des jeweiligen Einzelfalls. Beispielsweise sollte die Aussetzung von Datenübermittlungen ermöglicht werden, wenn manche Vereinbarungen aus den SCC einmal nicht erfüllt werden können.

Unternehmen sollten insbesondere beachten, dass sie die Prüfung des Datenschutzniveaus in eigener Verantwortung vornehmen müssen. Es ist nicht möglich, ohne weitere Prüfung die SCC einfach zu übernehmen. Stattdessen sollten sich die Rechtslage im Drittland sowie die Vertragsvereinbarungen genau angesehen und diese gegebenenfalls ergänzt werden. Für die Beurteilung der Rechtslage im Drittland sind vor allem die Rechte staatlicher Behörden, auf personenbezogene Daten zuzugreifen, relevant. In den USA etwa ist das aufgrund von Sicherheitsgesetzen wie dem CLOUD ACT, FISA 702 oder E.O. 13222 möglich.

In die am 4. Juni angenommenen SCC sind die Vorgaben des „Schrems II“-Urteils bereits mit aufgenommen worden. Nun ist die Prüfung des Datenschutzniveaus für den Datenexporteur eine explizite Verpflichtung. Darüber hinaus ermöglicht ihr modularer Aufbau eine flexible Vertragsgestaltung: Zusätzlich zu den allgemeinen, für alle Datenverarbeitungen umzusetzenden Vorgaben sind unterschiedliche Module vorhanden, die für bestimmte Verarbeitungskonstellationen zwischen Verantwortlichen, Auftrags- und Unterauftragsverarbeitern gelten. Darüber hinaus ermöglichen die SCC die Abbildung unterschiedlicher Verarbeitungsketten und den nachträglichen Beitritt weiterer Verantwortlicher/Auftragsverarbeiter. Schließlich sind die Begrifflichkeiten von Datenexporteur und Datenimporteuer jetzt offener gestaltet.

3. Verbindliche interne Datenschutzvorschriften

Ebenfalls eine wichtige Rechtsgrundlage sind die verbindlichen internen Datenschutzvorschriften oder Binding Corporate Rules (BCR) nach Art. 46 Abs. 2 lit. b DSGVO. Genau wie die SCC wird mit ihnen das Ziel verfolgt, für die geplanten Datenübermittlungen ein ausreichendes Datenschutzniveau zu erreichen. Allerdings legt die BCR nicht die Kommission fest, sondern selbstständig das Unternehmen, das personenbezogene Daten exportieren möchte. Nach der Erstellung von BCR müssen sie von der Aufsichtsbehörde genehmigt werden. Anschließend können sie als Rechtsgrundlage verwendet werden. Da sie nur intern zwischen den Parteien gelten, können sie zum Beispiel für Datenübermittlungen an ein Tochterunternehmen herangezogen werden, das seinen Sitz in einem Drittstaat und die BCR unterzeichnet hat.

4. Einwilligung und Vertragserfüllung

Im Rahmen internationaler Datentransfers stellen die Rechtsgrundlagen der Einwilligung und der Vertragserfüllung (Art. 49 DSGVO) eher Ausnahmen dar. Empfehlenswert ist die Einwilligung für den Betrieb von Webseiten oder Apps, bei welchen die Einwilligungen über Cookie-Banner eingeholt werden können. Hier gelten zudem die allgemeinen Anforderungen der DSGVO für Einwilligungen. Sie müssen ausdrücklich, informiert und freiwillig erklärt werden sowie jederzeit widerruflich sein. Bezüglich der Information der einwilligenden Personen müssen insbesondere die mit der Auslandsübermittlung verbundenen Risiken erläutert werden. Schließlich ist es möglich, einzelne (nicht dauerhafte) Datenübermittlungen auf die objektive Erforderlichkeit für die Anbahnung oder die Erfüllung eines Vertrags zu stützen. Beispiele sind die Durchführung einmaliger grenzüberschreitender Meetings oder die Abwicklung von Zahlungsverkehr.

II. Zusätzliche Maßnahmen ergreifen!

In vielen Fällen wird es dazu kommen, dass Unternehmen eigenverantwortlich zusätzliche Maßnahmen ermitteln und umsetzen müssen, da SCC und BCR die fragliche Rechtslage im Drittland nicht einfach außer Kraft setzen können. Zu den technischen Maßnahmen, die hier ergriffen werden können, gehören in erster Linie Verschlüsselungstechniken wie Transport- und Inhaltsverschlüsselung sowie die Pseudonymisierung personenbezogener Daten. Für die Pseudonymisierung sollte die Identifizierung der Personen ohne Zuhilfenahme von Zuordnungsdaten beim Verantwortlichen sicher ausgeschlossen sein. Darüber hinaus sollte der regelmäßige Datenspeicherort innerhalb der EU liegen und Support- und Wartungsleistungen von dort aus erbracht werden. Grundsätzlich empfiehlt es sich, vorab zu prüfen, welche Sicherheitsmaßnahmen der jeweilige Anbieter ermöglicht.

Des Weiteren sollten organisatorische Maßnahmen umgesetzt werden, die den behördlichen Zugriffen im Drittstaat entgegenwirken und die SCC oder BCR ergänzen. Zu diesem Zweck können Sonderkündigungsrechte vereinbart werden, die greifen, wenn die Vereinbarungen nicht erfüllt werden können. Zudem können Verpflichtungen zur Erstellung von Transparenzberichten oder der Einhaltung von Informationspflichten dazugehören. Auch sollten aktuelle Risikoprüfungen nach Art der Daten und der Wahrscheinlichkeit von Zugriffen erstellt werden. Es empfehlen sich weiterhin Vereinbarungen, dass personenbezogene Daten nur in der EU verarbeitet werden dürfen.

III. Fazit

Aufgrund der vielen und komplexen Vorgaben können internationale Datentransfers für Unternehmen einen erheblichen Mehraufwand bedeuten. Es kann hier eine Lösung sein, auf europäische Dienstleister umzusteigen. Wenn das nicht praktikabel ist, sollten Unternehmen bei der Wahl der richtigen Rechtsgrundlage, der Prüfung der Rechtslage im Drittstaat sowie den zusätzlichen Garantien und Maßnahmen sorgfältig vorgehen. Die neuen SCC schaffen zwar eine klarere Rechtslage, verringern den Aufwand aber kaum. Die alten SCC gelten zwar für bereits geschlossene Verträge noch 18 Monate fort, doch sollten Unternehmen sich schon jetzt auf den Wechsel vorbereiten. Abgeschlossene SCC sollten überprüft und alle Schutzmaßnahmen erfasst und dokumentiert werden. Es empfiehlt sich, die Rollen aller Akteure zu erfassen und am Ende einen Prozess zu definieren, der die neuen SCC umsetzt.

Neues zum Thema Cookies: Urteile und aktuelle Gesetzesentwürfe

Das Thema Cookies ist weiterhin in Bewegung. Neben den vielen Neuerungen der letzten Jahre, von der Einführung der Datenschutz-Folgenabschätzung (DSFA) bis zu den verschiedenen Urteilen des BGH und EuGH, sind für Unternehmen vor allem zwei Entwicklungen relevant: Der neue Entwurf für das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) auf nationaler und der EU-Ratsentwurf für die ePrivacy-Verordnung auf europäischer Ebene. In diesem Beitrag geben wir Ihnen einen Überblick über die Vorgaben für den Einsatz von Cookies und andere Tools sowie den aktuellen Stand zum TTDSG und der ePrivacy-Verordnung.

Worauf muss geachtet werden beim Einsatz von Cookies?

Zentral für die Verwendung von Cookies ist Art. 5 Abs. 3 ePrivacy-Richtlinie. Die Bestimmung sieht eine Einwilligungspflicht vor, wenn in einem Endgerät Informationen gespeichert oder auf Informationen des Endgeräts zugegriffen wird. Diese Regelung gilt unabhängig von der verwendeten Technologie und kommt daher nicht nur für Cookies, sondern zum Beispiel auch für Tracking Web Storage (Local / Session Storage), Pixel, Tags oder Fingerprints zum Tragen. Eine Ausnahme wird nur in den Fällen zugelassen, in denen die Speicherung oder der Zugriff unbedingt (technisch) erforderlich ist, um den Dienst bereitzustellen. Wichtig ist zudem § 15 Abs. 3 TMG, der nach der europarechtskonformen Auslegung des BGH für die Erstellung von Nutzungsprofilen für Werbung oder Marktforschung eine Einwilligung fordert (BGH, „Planet49“, Az. I ZR 7/16). Darüber hinaus werden durch die Verwendung von Cookies häufig personenbezogene Daten verarbeitet. Dann müssen die Anforderungen der DSGVO umgesetzt und die Verarbeitungsvorgänge auf eine Rechtsgrundlage nach Art. 6 DSGVO gestützt werden. Des Weiteren muss die Einwilligung den Vorgaben der DSGVO genügen, also vor allem aktiv, freiwillig und informiert erteilt werden. Für Cookies bedeutet das konkret, dass die freiwillige und aktive Zustimmung durch ein Opt-In-Verfahren gewährleistet und Informationen über die Funktionsdauer der Cookies und Zugriffe von Dritten bereitgestellt werden müssen (EuGH, „Planet 49“, Az. C-673/17). Im Rahmen der Freiwilligkeit ist insbesondere darauf zu achten, dass keine Cookie-Walls eingesetzt werden sollten. Zudem ist es wichtig, die Nutzer über die Umstände der Datenverarbeitung umfassend zu informieren, also vor allem über die Rechtsgrundlagen, die Zwecke der Datenverarbeitungen sowie Übermittlungen an Dritte oder ins Ausland.

Wie immer, wenn personenbezogene Daten außerhalb des EWR übermittelt werden, sind auch bei Cookies die Anforderungen für Drittstaatenübermittlungen und vor allem das EuGH-Urteil „Schrems II“ (Az. C-311/18) relevant. Wichtig ist dafür unter anderem die Wahl der richtigen Rechtsgrundlage. Hier kann die Übermittlung, beispielsweise mittels Angemessenheitsbeschluss oder Standardvertragsklausel, möglich sein. Gegebenenfalls müssen zusätzliche Schutzmaßnahmen für die personenbezogenen Daten ergriffen werden. Nähere Informationen zu Datenübermittlungen ins Nicht-EWR-Ausland finden Sie auch im FAQ zu Schrems II unserer Partnerkanzlei Schürmann Rosenthal Dreyer Rechtsanwälte.

Wann sollte eine Einwilligung eingeholt werden?

Die Einwilligungspflicht gilt für alle Tools, die nicht unbedingt erforderlich sind. Eine genaue und gesetzlich festgelegte Abgrenzung gibt es jedoch nicht, weshalb in jedem Einzelfall eine gesonderte Abwägung und eine Risikobewertung vorgenommen werden müssen. Beispiele, in denen eine Einwilligung regelmäßig nicht erforderlich ist, sind etwa Funktionen eines Webshops und des Warenkorbs zur Bestell- und Zahlungsabwicklung. Auch Login-, Registrierungs- und Authentifizierungsfunktionen, Spracheinstellung oder Sicherheitsmaßnahmen können in der Regel ohne Einwilligung vorgenommen werden. Auf eine Einwilligungspflicht sollten sich Unternehmen in den Fällen einstellen, in denen Nutzungsanalysen durch Drittanbieter oder seiten- und geräteübergreifende Analysen wie Cross-Site-Targeting, Cross-Device-Targeting und Re-Targeting eingesetzt werden. Ebenfalls dürfte eine Einwilligung verpflichtend sein, wenn personalisierte Werbung oder Bewegungsprofile erstellt werden.

Wenn Google Analytics verwendet wird, sollte ebenfalls eine Einwilligung eingeholt werden. Auch mit der Einwilligung ist es sinnvoll, zusätzlich die Datenschutzeinstellungen zu prüfen und die Datenfreigaben an Google zu deaktivieren. Darüber hinaus ist für die Einbindung von YouTube-Inhalten in aller Regel eine Einwilligung erforderlich, da Daten zu Werbezwecken verarbeitet und in die USA übermittelt werden. Eine Alternative stellt die Verlinkung auf das Video statt einer Einbindung dar. Datenverarbeitungen in großem Umfang und die Übermittlung in die USA erfolgen zudem bei Google reCAPTCHA. Hier kann neben der Einwilligung die Nutzung gegebenenfalls auch auf die Erforderlichkeit für die Erfüllung eines Vertrags oder die Durchführung vorvertraglicher Maßnahmen gestützt werden, etwa im Rahmen der Registrierung, eines Kontaktformulars oder der Anmeldung.

Wie sollte die Einwilligung eingeholt werden?

Grundsätzlich muss die Einwilligung wie eingangs erwähnt nach den Vorgaben der DSGVO erfolgen. Unternehmen sollten daher darauf achten, dass sie freiwillig, informiert und aktiv durch ein Opt-In-Verfahren eingeholt wird. Zudem ist sie jederzeit widerrufbar. Wenn eine Einwilligung nach Art. 7 DSGVO und Art. 5 Abs. 3 ePrivacy-RL eingeholt werden muss, sollte für permanent aktive Tools (vor allem für Analyse, Tracking und Marketing) zu diesem Zweck ein Cookie-Banner eingesetzt werden. Für die zusätzliche Einbindung von Tools wie Videos und Karten externer Anbieter oder Social- und Login-Plugins empfiehlt sich die Einwilligung mittels Overlay, das als gesondertes Banner über den Bereich des jeweiligen Tools gelegt werden kann. Damit ist es möglich, speziell für dieses Tool eine informierte Einwilligung des Nutzers einzuholen. Wenn für die informierte Einwilligung wie bei technisch erforderlichen Tools nicht verpflichtend ist, reicht eine Information über den Einsatz in der Datenschutzerklärung aus. Das Banner oder Overlay sollte alle relevanten Informationen beinhalten. Zu diesen gehören die Art und die Zwecke der Datenverarbeitung, die Möglichkeit der Ablehnung und der jederzeitigen Widerrufbarkeit sowie Datenübermittlungen an Dritte und ins Nicht-EWR-Ausland. Zudem sollten für den Nutzer die Freiwilligkeit klargestellt und Links zu weiteren Informationen, zum Beispiel in der Datenschutzerklärung, bereitgestellt werden.

Mehr zum Thema Cookies

Whitepaper: Cookie-Banner – Leitfaden zur sachgerechten Umsetzung
ePrivacy-Verordnung: EU-Rat einigt sich auf einen Entwurf
Cookies & Einwilligungspflicht: Ratgeber nach BGH-Urteil

Was gibt es zum Thema Cookies sonst zu beachten?

Webseitenbetreiber sollten darauf achten, dass das bloße Scrollen des Nutzers auf der Webseite nicht als Einwilligung angenommen wird, da dies nicht den Anforderungen einer aktiv, per „Opt-In“ erteilten Einwilligung genügt. Des Weiteren sollten keine Cookie-Walls eingesetzt werden. Der Europäische Datenschutzausschuss hat in seinen Leitlinien 05/2020 Cookie-Walls als unzulässig erachtet, da anderenfalls die Freiwilligkeit der Einwilligung nicht mehr gewahrt werden könne. Eine Ausnahme besteht nur dann, wenn gleichwertige alternative Zugangsmöglichkeiten zum Webangebot bestehen. Die Aufsichtsbehörde Niedersachsen hält insofern sogenannte Pay-Walls für zulässig. Während eine Pay-Wall Angebote von einer Bezahlung abhängig macht, also eine Cookie-freie Variante gegen Bezahlung anbietet, hat eine Cookie-Wall zur Folge, dass eine Webseite erst nach der Zustimmung zum Cookie-Einsatz aufgerufen werden kann.

Darüber hinaus sollte die Auswirkung für den Nutzer, wenn er auf einen Button oder Link klickt, deutlich sein. Die entsprechenden Informationen sollten auf dem Banner daher vollständig und gut verständlich aufgeführt sein. Des Weiteren ist das sogenannte Nudging, bei dem durch eine bestimmte Banner-Gestaltung der Nutzer in seiner Entscheidung gelenkt werden soll, nicht grundsätzlich unzulässig. Es sollte aber nicht zu kompliziert sein, die Einwilligung nicht zu erteilen. Im Ergebnis sollte die Zustimmung genauso einfach sein wie die Ablehnung bzw. die Ablehnung sollte sich für den Nutzer nicht schwieriger gestalten als die Zustimmung. Auch mehrfache erneute Nachfragen nach einer Ablehnung sollten unterbleiben.

Weiterhin auf dem Weg zum TTDSG und zur ePrivacy-Verordnung

Update zum TTDSG:

Am 20. Mai 2021 hat der Bundestag das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) beschlossen. Informationen zum aktuellen Stand finden Sie hier.

Um die unterschiedlichen Datenschutzregelungen aus dem TMG und dem TKG in einem Gesetz zusammenzufassen und einheitliche Vorgaben für den Einsatz von Cookies und ähnlicher Technologien zu schaffen, hat die Bundesregierung am 10.02.2021 einen Gesetzentwurf für das TTDSG vorgestellt. Für Cookies ist vor allem § 24 TTDSG relevant. Die Bestimmung sieht eine Einwilligungspflicht für den Einsatz von Cookies und aller anderen vergleichbaren Technologien vor, die Informationen in der Endeinrichtung des Nutzers speichern oder auf bereits gespeicherte Informationen zugreifen. Der Begriff der Endeinrichtung ist ausdrücklich technologieneutral gefasst und umfasst laut Gesetzesbegründung neben klassischen Endgeräten wie Smartphones und Notebooks auch Gegenstände des „internet of things“. Sollte das TTDSG nach dem aktuellen Stand verabschiedet werden, wird die Rechtsprechung des BGH gesetzlich verankert und es bleibt im Rahmen der Einwilligung grundsätzlich bei der bisherigen Rechtslage.

In diesem Jahr ist darüber hinaus wieder Bewegung in den bereits seit Jahren andauernden Prozess der ePrivacy-Verordnung gekommen. Sie würde im Gegensatz zur e-Privacy-Richtlinie in der gesamten EU unmittelbar gelten und daher für mehr Rechtsklarheit sorgen. Der Rat der EU hat sich ebenfalls am 10.02.2021 auf den Entwurf der portugiesischen Ratspräsidentschaft geeinigt. Nach dem Entwurf soll die Möglichkeit, Cookie-Walls zur Wahl zwischen Tracking und Bezahl-Abo zuzulassen, gesetzlich festgelegt werden. Zudem sollen der Zugriff auf oder die Speicherung von Informationen auf einem Endgerät, insbesondere für die Bereitstellung elektronischer Kommunikationsdienste, vom Nutzer gewünschter Dienste, zur Zielgruppen-Messung, zu Sicherheitszwecken und zur Verhinderung von Betrug und technischen Fehlern ohne Einwilligung zulässig sein. Schließlich sollen Speicherung und Zugriff bereits dann erlaubt sein, wenn eine zulässige Zweckänderung vorliegt. Welche Regelungen es in die endgültige Version schaffen und wo noch Anpassungen vorgenommen werden, ist zum jetzigen Zeitpunkt allerdings noch nicht abzusehen.

Fazit

Die Bestrebungen zur Vereinheitlichung der Rechtslage und zur Klärung der vielen Einzelheiten kommen zwar Schritt für Schritt voran, doch nach wie vor ergeben sich die rechtlichen Vorgaben aus unterschiedlichen Gesetzen und Gerichtsurteilen und die Rechtsentwicklung im Bereich Cookies ist noch nicht abgeschlossen. Unternehmen sollten daher die aktuelle Lage weiterhin aufmerksam verfolgen. Das TTDSG wurde am 26.03.2021 im Bundesrat beraten und dürfte die nächste anstehende Neuerung sein. Sollte die ePrivacy-Verordnung verabschiedet werden, würde sie sowohl die ePrivacy-Richtlinie als auch das TTDSG ablösen. Der Entwurf wird allerdings erst noch mit dem EU-Parlament und der Kommission diskutiert, weitere Anpassungen sind zu erwarten. Zudem ist davon auszugehen, dass für die ePrivacy-Verordnung eine zweijährige Übergangsphase vereinbart wird. Der Prozess dürfte also noch einige Zeit andauern. Über Neuigkeiten rund um das Thema Cookies informieren wir Sie selbstverständlich an dieser Stelle und gerne in der digitalen Sprechstunde von Schürmann Rosenthal Dreyer Rechtsanwälte oder einem unserer Frühstücks-Workshops.

Mehr zum Thema

18. September 2023

Alternativen zum klassischen Cookie-Banner – Paywalls, PUR-Modelle und PIMS

Das Werbetracking bietet Telemedienanbieterinnen und -anbietern die Möglichkeit, den Nutzerinnen und Nutzern personalisierte Werbung auszuspielen und damit die Darstellung ihrer Inhalte zu finanzieren. Der folgende Beitrag untersucht die rechtlichen Herausforderungen personalisierter Werbung und zeigt praktische Lösungsansätze auf.
Weiterlesen
28. März 2022

Google Analytics in der EU: So gelingt der datenschutzkonforme Einsatz

Was Sie bei der Nutzung beachten müssen, und wie Sie Google Analytics dennoch rechtssicher auf ihrer Webseite einbinden können, stellen wir Ihnen im Folgenden dar.
Weiterlesen
24. Januar 2022

Unsere Top 10 – Die meistgelesenen Blogartikel des Jahres 2021

Unser Jahresrückblick 2021: Welche Themen haben Sie am meisten in unserem Blog interessiert? Finden Sie es in unserer Auflistung heraus.
Weiterlesen

6. Mai 2021

Digitales 360-Grad-Feedback für Mitarbeiterinnen und Mitarbeiter: Was ist zu beachten?

360-Grad-Feedback für Mitarbeiterinnen und Mitarbeiter wird in der modernen digitalen Arbeitswelt immer beliebter. Die ursprünglich nur für Führungskräfte eingesetzte Methode wird durch die Verfügbarkeit digitaler Tools kostensparender und effizienter. Daher werden auch immer öfter Mitarbeiter und Mitarbeiterinnen mit einbezogen. Mit dem zunehmenden Einsatz von digitalen 360-Grad-Feedback-Lösungen stellen sich auch vermehrt Fragen des Datenschutzrechts. Im folgenden Beitrag wollen wir Ihnen deshalb einen kurzen Überblick über die rechtlichen Fragestellungen geben.

Wie 360-Grad-Feedback für Mitarbeiter funktioniert

Das klassische Top-Down-Feedback, also eine Leistungsbewertung allein durch Vorgesetzte, hat den Nachteil, dass es sehr einseitig sein kann. Diese Feedback-Form ist stark subjektiv geprägt. 360-Grad-Feedback kann da Abhilfe schaffen. Durch eine Gegenüberstellung von Selbst- und Fremdbild kann Leistung objektiver erfasst und die Entwicklungspotenziale von Mitarbeitenden besser identifiziert werden. Dazu werden die Einschätzungen zu Mitarbeitenden von allen Seiten eingeholt.

Als Workshop ist eine 360-Grad-Feedback-Runde sehr zeit- und ressourcenintensiv. Dieses Problem lässt sich durch einfach skalierbare digitale Tools lösen. Für die konkrete Ausgestaltung der Tools gibt es keine definitiv beste Form. Die Anwendung kann auf das jeweilige Bedürfnis des Unternehmens zugeschnitten werden. Während die Details variieren, bleibt das Grundprinzip gleich: Mit dem Tool wird eine Rundumbeurteilung der Mitarbeiterinnen und Mitarbeiter aus mehreren, möglichst unterschiedlichen Perspektiven, also eine Mischung aus Selbst- und Fremdeinschätzung, vorgenommen. Dabei gibt der Mitarbeitende eine Selbsteinschätzung ab. Die Fremdeinschätzung erfolgt durch Vorgesetzte, Teammitglieder, sonstige Mitarbeitende und gegebenenfalls sogar die Kundschaft.

Die Feedbacks sind im besten Fall Beurteilungen in Textform. Standardisierte Fragebögen eignen sich zu diesem Zweck sehr gut. Durch die Standardisierung kann trotz der individuellen Einträge eine gewisse Vergleichbarkeit hergestellt werden. Möglich ist auch der Einsatz von Punktskalen, um Ergebnisse in der Auswertung grafisch darstellen zu können. Inhaltlich können die Fragebögen so ausgestaltet werden, dass sie Feedback zu einzelnen definierten Kategorien erlauben: Kontakt- und Kommunikationsfähigkeit, Konflikt- und Kritikfähigkeit, Reflexionsfähigkeit, Belastbarkeit, Lern- und Entwicklungsfähigkeit, etc. Die Kategorien sollten auf den jeweiligen Anwendungsfall angepasst werden. Zahlreiche Tools sind daher so konzipiert, dass sie das Anlegen verschiedener Fragebögen bzw. das Abfragen individueller Qualitäten zulassen. Alle Einträge werden zusammengefasst und den Vorgesetzten zur Auswertung zur Verfügung gestellt. Diese können mit dem jeweiligen Mitarbeitenden die Ergebnisse besprechen.

Das Erfassen der zahlreichen Aspekte einer Mitarbeiterin oder eines Mitarbeiters durch unterschiedliche Personen weckt allerdings datenschutzrechtliche Bedenken. Auch wenn die Feedback-Tools sich in den Details unterscheiden, tauchen aus Datenschutzperspektive regelmäßig dieselben Probleme auf.

Rechtsgrundlage für das 360-Grad-Feedback

360-Grad-Feedback stellt eine Datenverarbeitung dar und bedarf deshalb nach Art. 6 DSGVO einer Rechtsgrundlage. Für die Erhebung, Verwendung und Speicherung von Mitarbeiterdaten ist § 26 Abs. 1 BDSG i. V. m. Art. 88 Abs. 2 DSGVO die maßgebliche Norm.

Nach dieser Vorschrift dürfen Daten für Zwecke des Beschäftigungsverhältnisses nur verarbeitet werden, wenn dies für die Durchführung des Verhältnisses erforderlich ist. Erforderlichkeit ist hier im Sinne einer Verhältnismäßigkeit zwischen Mittel und Zweck zu verstehen.

Der Zweck von 360-Grad-Feedback ist die möglichst objektive und konstruktive Erfassung der Entwicklungspotenziale der Kollegenschaft. Unternehmen wollen ihre Mitarbeitenden schließlich möglichst effektiv einsetzen können. Das erfordert einen Überblick über den Leistungsstand der Beschäftigten. Insofern findet eine auf die Vergangenheit bezogene Leistungs- und Verhaltenskontrolle statt. Dieser Vorgang ist als zur Durchführung von Beschäftigungsverhältnissen gehörend anerkannt. 360-Grad-Feedback ist eine Möglichkeit diese Kontrolle vorzunehmen.

In der modernen Arbeitskultur wird es von Mitarbeitenden auch erwartet, regelmäßig zeitnahes Feedback zu erhalten. So gehört es derweil zum Selbstverständnis bzw. zu den Bedürfnissen und Erwartungen vor allem der Generation Y, dass ihnen regelmäßig aufgaben- und teambezogenes Feedback mitgeteilt wird. 360-Grad-Feedback ist daher auch gefordert, um als Unternehmen wettbewerbsfähig zu bleiben.

Kein permanenter Überwachungsdruck

Die Erforderlichkeit der Leistungskontrolle findet dort eine Grenze, wo „permanenter Überwachungsdruck“ droht (wie es bei dauerhafter Videoüberwachung der Fall ist). Ein solcher Druck könnte entstehen, wenn etwa die gesamte Belegschaft eine Person in einer Feedback-Runde bewerten müsste.

Eine Reduzierung der Feedback-Geber ist daher sinnvoll. Dadurch kann auch der Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO eingehalten werden. Die Mitarbeitenden sollten für den Umgang mit 360-Grad-Feedback geschult werden, sowohl im Hinblick auf die Abgabe von Feedback als auch im Umgang mit dem Tool selbst. Die Feedbackrunden sollten auch nicht zu kurz gewählt werden, sondern auf eine möglichst kleine Zahl pro Jahr beschränkt sein. Das verhindert, dass vereinzelt auftretendes Verhalten eine Feedbackrunde dominiert, was auch die Objektivität gefährden würde. Ein solches Vorgehen verhindert aber effektiv dauerhaften Überwachungsdruck, da Mitarbeitende nicht befürchten müssen, dass ein einmaliges Verhalten sich sofort auf die Leistungsbewertung auswirkt.

Gewährleistung der Betroffenenrechte

Die Betroffenenrechte müssen gewahrt bleiben, insbesondere das Auskunftsrecht nach Art. 15 DSGVO. Den Betroffenen steht eine Auskunft über das Feedback zu ihrer Person zu.

Auskunft über die einzelnen Feedbacks während der Feedbackrunde zu erteilen, kann jedoch den Feedback-Prozess gefährden. Eine laufende Feedback-Runde könnte dadurch beeinflusst werden.

Zudem besteht die Gefahr, dass kein ehrliches Feedback gegeben wird, wenn Vorgesetzte Einblick in die Einzelfeedbacks von untergeordneten Mitarbeiterinnern und Mitarbeitern erhalten. Die Mitarbeitenden könnten durch nicht wohlwollendes Feedback von Seiten der vorgesetzten Person Nachteile befürchten.

Eine zulässige Datenverarbeitung durch Ausübung des Auskunftsrechts zu gefährden, ist aber nicht im Sinn der DSGVO. Daher kann das Auskunftsrecht nach Art. 23 Abs. 1 DSGVO eingeschränkt werden, sofern der Wesensgehalt der Grundrechte und Grundfreiheiten geachtet wird und die jeweilige einschränkende Vorschrift selbst verhältnismäßig ist. Sofern eine Auskunft also nicht per se ausgeschlossen wird, dürften gewisse Einschränkungen zulässig sein. Auch der Erhalt einer Kopie der verarbeiteten Daten nach Art. 15 Abs. 4 DSGVO darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Das bedeutet nicht, dass Vorgesetzten der Einblick in Mitarbeiterfeedback grundsätzlich verwehrt ist.

Naheliegend ist daher die Beschränkung des Auskunftsrechts auf ein zeitliches Fenster nach Abschluss der Feedbackrunde. Auch die anonymisierte Bereitstellung von Feedback sollte man in Betracht ziehen.

Das Recht der Betroffenen auf Berichtigung bzw. Vervollständigung aus Art. 16 DSGVO kommt bei der Durchführung von 360-Grad-Feedbacks regelmäßig nicht zur Anwendung. Bei den verarbeiteten Daten handelt es sich um die subjektiven Einschätzungen von mehreren verschiedenen Personen, die aus Betroffenensicht keiner Berichtigung bedürfen.

Das Recht auf Löschung aus Art. 17 Abs. 1 DSGVO ist ebenfalls regelmäßig nicht relevant. Die Speicherdauer der Feedbacks orientiert sich unabhängig davon streng am Verarbeitungszweck. Eine Löschung erfolgt nach Art. 17 Abs. 1 lit. a DSGVO nur, wenn die erhobenen Daten für die Verarbeitung nicht mehr benötigt werden. Das bedeutet, dass die Daten erst nach Besprechung mit der zu bewertenden Person gelöscht werden müssen. Das gilt auf jeden Fall hinsichtlich der konkreten Einzelbewertungen. Eine erstellte Gesamtbewertung kann wie ein Arbeitszeugnis zur Personalakte genommen werden und unterliegt den dafür vorgesehen Speicherfristen.

Art. 12 Abs. 2 S. 1 DSGVO enthält die Vorgabe, dass der Verantwortliche den betroffenen Personen die Ausübung ihrer Rechte erleichtert. Die Vorgabe lässt sich durch die Einrichtung entsprechender Funktionen in den für das 360-Grad-Feedback verwendeten Tools erfüllen.

Sonstige Anforderungen im 360-Grad-Feedback

Im Übrigen sind die Grundsätze der DSGVO einzuhalten. Der Grundsatz der Integrität und Vertraulichkeit nach Art. 5 Abs. 1 lit. f DSGVO gilt auch für 360-Grad-Feedback. Daher sollten mit dem 360-Grad-Feedback-Tool auch Berechtigungskonzepte, sowie technische und organisatorische Maßnahmen eingerichtet werden. So kann für ein angemessenes Schutzniveau gesorgt werden. Werden Tools von externen Dienstleistern verwendet ist darauf zu achten, dass ein Auftragsverarbeitungsvertrag abgeschlossen wird. Hat der Dienstleister seinen Sitz in einem Drittstaat (oder findet auf andere Weise eine Drittlandübermittlung von Daten statt), müssen die Vorgaben des Art. 44 ff. DSGVO und die Rechtsprechung des Europäischen Gerichtshofs (insb. das Schrems II – Urteil) beachtet werden.

Fazit

Zusammenfassend lässt sich sagen, dass digitales 360-Grad-Feedback datenschutzkonform betrieben werden kann, wenn man die datenschutzrechtlichen Probleme vorwegnimmt und die digitalen Anwendungen entsprechend einrichtet. Vielen Problemen kann durch Anonymisierung und Steuerung der zeitlichen Abläufe des Feedbacks begegnet werden.

Daneben sollte man Wert auf Transparenz gegenüber den Mitarbeitenden legen. Das kann durch Schulungen und Informierung über die konkrete Datenverarbeitung und den Verarbeitungszweck geschehen. Dann lassen sich die Vorteile von 360-Grad-Feedback nutzen, ohne sich dem Risiko fehlenden Datenschutzes auszusetzen.

Mehr zum Thema

12. Juli 2023

Die wichtigsten Fragen zu Datenübermittlung an US-Dienste: Was bedeutet der neue EU-US Datenschutzrahmen für Unternehmen?

Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss nach Artikel 45 Abs. 3 der DSGVO für die USA erlassen: Das „EU-US Data Privacy Framework“ (EU-US-Datenschutzrahmen). Damit stellt die Kommission nach dem vom EuGH im Juli 2020 gekippten Privacy Shield erneut fest, dass die USA ein angemessenes Schutzniveau für aus der EU übermittelte personenbezogene Daten gewährleisten können.
Weiterlesen
11. April 2023

KI im Recruiting: Chancen und Datenschutz-Risiken für Unternehmen

Künstliche Intelligenz ist in aller Munde und wird längst auch in HR-Prozessen eingesetzt. Vor allem in der Personaladministration sind KI-Tools statistisch gesehen beliebt. Im folgenden Beitrag wollen wir die populärsten KI-Potenziale im Recruiting vorstellen und einen Überblick über deren Chancen, Risiken und Herausforderungen geben.
Weiterlesen
21. März 2022

Beschäftigtendatenschutz: Herausforderungen und Lösungsansätze für Arbeitgeber

Wie können Arbeitgeber die Chancen der DSGVO & BDSG datenschutzkonform nutzen und von ihnen profitieren? Erfahren Sie es in unserem Beitrag!
Weiterlesen

12. April 2021

Betroffenenanfragen und Datenschutzvorfälle: Worauf kommt es an?

Zur Umsetzung der Datenschutz-Grundverordnung (DSGVO) müssen Unternehmen sichere und funktionierende Prozesse ausgestalten, um den rechtskonformen Umgang mit Datenschutzvorfällen und Betroffenenanfragen zu gewährleisten. Dafür kommt es vor allem darauf an, im Vorfeld die richtigen Vorkehrungen zu treffen. Welche das sind und wie Sie nicht nur Bußgelder, sondern darüber hinaus Schäden für Ihr Unternehmen und betroffene Personen vermeiden, zeigen wir Ihnen in diesem Beitrag.

Im Vorfeld: Einen Datenschutzvorfall erkennen

Datenschutzvorfälle können im Unternehmen auf ganz unterschiedliche Weise auftreten. Daher ist es im ersten Schritt wichtig, sie erst einmal als solche zu erkennen. Rechtlich handelt es sich um Sicherheitsverletzungen, die unbeabsichtigt oder unrechtmäßig zu Vernichtung, Verlust oder Veränderung bzw. zur unbefugten Offenlegung personenbezogener Daten führen (Art. 4 Nr. 12 DSGVO). Ein Beispiel ist der Verlust eines Datenträgers, auf dem personenbezogene Daten gespeichert waren. Hier hängt die Bewertung als Datenschutzvorfall auch davon ab, ob und wie sicher die Daten verschlüsselt wurden und um welche Datenkategorien es sich handelt. In jedem Fall sollte man von einem Datenschutzvorfall ausgehen, wenn unverschlüsselte Daten verlorengegangen sind. Auch dann, wenn sie im Unternehmen noch an anderer Stelle gespeichert sind. Selbst ein kurzzeitiger Stromausfall ohne dauerhaften Datenverlust kann einen Datenschutzvorfall darstellen, wenn die Daten nur vorübergehend nicht verfügbar waren. Die Beurteilung, ob ein Datenschutzvorfall vorliegt, hängt also von ganz unterschiedlichen Faktoren ab und muss immer gesondert im konkreten Fall vorgenommen werden. Sobald ein Datenschutzvorfall festgestellt wurde, muss die Meldung an die Behörde innerhalb von 72 Stunden erfolgen und Maßnahmen ergriffen werden, die sich gegen das durch den Vorfall verursachte Schadensrisiko richten.

Wie muss ein Datenschutzvorfall gemeldet werden?

Mit der Meldung an die Behörde wird vor allem die Einhaltung der Transparenz der Datenverarbeitung bezweckt, zu der verantwortliche Unternehmen verpflichtet sind. Daher müssen in der Meldung alle Umstände des Datenschutzvorfalls beschrieben werden. Sie dient darüber hinaus der Prävention von Schäden für die betroffenen Personen, indem Unternehmen angehalten werden, sofort tätig zu werden und in Zusammenarbeit mit der Behörde Abhilfemaßnahmen zu ergreifen. Fast alle Schäden, die betroffene Personen erleiden können, sind hier aus datenschutzrechtlicher Sicht relevant. Darunter fallen materielle als auch immaterielle Nachteile von Diskriminierung bis hin zu wirtschaftlichen Verlusten.

Für die Identifizierung von Datenschutzvorfällen sollten technische und organisatorische Maßnahmen genutzt werden, etwa entsprechende Mitarbeiterschulungen und die regelmäßige Analyse aller Datenverarbeitungsvorgänge im Unternehmen. Von entscheidender Bedeutung sind zudem funktionierende Prozesse für die umgehende Meldung. Die gesetzliche Frist von 72 Stunden gibt keine starre Grenze vor, sondern kann je nach konkreter Situation variieren. Sind Daten an die falsche Person gesendet worden, die sich daraufhin umgehend meldet und das Versehen aufklärt, erfordert die Meldung weniger Zeit als etwa nach einem Hackerangriff, durch den eine große und im Einzelnen unklare Menge an Daten betroffen ist. Unternehmen müssen in solchen Fällen schrittweise melden und der Behörde immer nur die jeweils aktuellen Informationen zur Verfügung stellen. Eine verzögerte Meldung muss allerdings begründet werden. Die Frist beginnt ab Kenntnis des potenziellen Datenschutzvorfalls. Hier sollte berücksichtigt werden, dass es dabei nicht auf erst auf die Kenntnis des Datenschutzkoordinators oder Datenschutzbeauftragten, sondern jeder Stelle im Unternehmen ankommt.

Welche Ausnahmen bestehen von der Meldepflicht?

In diesem Zusammenhang ist es wichtig zu beachten, dass nicht jeder Datenschutzvorfall gemeldet werden muss. Ausnahmen sind für die Fälle vorgesehen, in denen der Vorfall „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“ (Art. 33 Abs. 1 DSGVO). Darunter ist ein niedriges Risiko zu verstehen. Demnach müssen Unternehmen bei einem mindestens mittleren Risiko eine Meldung an die Behörde vornehmen. Nur bei keinem oder einem nur geringfügigen Risiko können Unternehmen die Meldung an die Behörde unterlassen. Dazu sollten eine geringe Schadenswahrscheinlichkeit und gleichzeitig eine geringe erwartete Schadenshöhe angenommen werden können. Dabei sollten alle Umstände berücksichtigt werden, wie etwa die Art der Daten, die Anzahl der betroffenen Personen oder welche Abhilfemaßnahmen im gegebenen Fall zur Verfügung stehen. Ein geringes Risiko kann etwa beim verlorengegangenen Datenträger vorliegen, dessen Daten verschlüsselt sind und der Schlüssel sicher aufbewahrt ist. Dennoch kann im Einzelfall ein höheres Risiko und damit eine Meldepflicht bestehen, etwa wenn ein Datenträger bewusst gestohlen wurde und darauf sensible Daten wie Kundenkontaktdaten enthalten waren. Auch in Zweifelsfällen ist sinnvoll, eine vorsorgliche Meldung vorzunehmen.

Was muss in der Meldung enthalten sein?

Welchen Inhalt die Meldung an die Behörde im Einzelnen haben muss, hängt von den Gegebenheiten des Einzelfalls ab. Art. 33 DSGVO nennt allerdings einige Mindestinformationen, die Unternehmen mit aufnehmen sollten:

Welche Datenkategorien und welche Personen sind betroffen?
Wie hoch ist die Anzahl der betroffenen Personen und Datensätze?
Welche Folgen sind nur durch den Vorfall zu erwarten und welche Maßnahmen werden dagegen eingesetzt?
An welche Kontaktperson (Datenschutzbeauftragter) können sich betroffene Personen wenden?

In der Regel stellen die Aufsichtsbehörden für die Meldung ein Formular bereit, auf das Unternehmen zurückgreifen können. Des Weiteren sollten alle Umstände der Datenschutzverletzung einschließlich des darauffolgenden Vorgehens dokumentiert werden; selbst dann, wenn keine Meldung erfolgt.

Mehr zum Thema

Meldung eines Datenschutzvorfalls – ein Leitfaden
Die Betroffenenrechte nach der DSGVO: Ein Überblick

Wann müssen auch betroffene Personen informiert werden?

Die DSGVO sieht nicht nur eine Meldung an die Behörde vor, sondern es ist auch möglich, dass Unternehmen zur Meldung eines Datenschutzvorfalls an die betroffene Person verpflichtet sind (Art. 34 DSGVO). Sie muss dann erfolgen, wenn nicht nur ein mittleres, sondern voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zu erwarten ist. Dafür müssen sich bereits erhebliche Konsequenzen und schwerwiegende Schäden abzeichnen. Solche sind beispielsweise denkbar bei einem Hackerangriff auf einen Online-Händler, bei dem Kreditkartendaten der Kunden abgegriffen wurden. Hier kann es für die Beurteilung des Risikos auch eine Rolle spielen, ob die betroffenen Personen selbst auf die Situation Einfluss nehmen können, etwa indem sie ihre Kreditkarten sperren. Unternehmen sollten ihnen so schnell wie möglich entsprechende Hinweise geben.

Was tun bei einer Betroffenenanfrage?

Auch die Betroffenenanfrage ist als praktische Umsetzung des Rechts auf Auskunft (Art. 15 DSGVO) ein Instrument zur Gewährleistung transparenter Datenverarbeitungen. Es muss kein Datenschutzvorfall vorliegen, sondern Betroffene haben jederzeit und grundsätzlich das Recht auf die umfassende Information über die Verarbeitung ihrer personenbezogenen Daten. Unternehmen sollten daher sorgfältig vorgehen: Jede Person kann sich gleichzeitig an die Aufsichtsbehörde wenden, die daraufhin verpflichtet ist, tätig zu werden und die fraglichen Verarbeitungsvorgänge zu überprüfen. In der Praxis gilt es zu ermitteln, ob die Anfrage tatsächlich berechtigt ist und in welchem Umfang das Auskunftsrecht im Einzelfall besteht. Daher sollte vorab eine Prüfung vorgenommen werden, am besten unter Einschluss des Datenschutzbeauftragten. Zu diesem Zweck sollten Mitarbeiter geschult werden, Anfragen zu erkennen und umgehend an die Anlaufstelle im Unternehmen zu senden. Die Antwort muss unverzüglich, jedenfalls aber innerhalb eines Monats abgegeben werden. Auch bei der Betroffenenanfrage ist eine Verlängerung möglich, mit einer Begründung gegenüber der betroffenen Person um nochmals zwei Monate.

Unternehmen müssen bei Zweifeln überprüfen, ob die Identität des Antragstellers stimmt, ob die tatsächlichen Datenverarbeitungen den in der Anfrage beschriebenen entsprechen und welche anderen Rechte (zum Beispiel auf Löschung oder Berichtigung) die betroffene Person außerdem geltend macht. Das Bestehen dieser Rechte muss gesondert geklärt werden. So können einem Löschungsanspruch gesetzliche Aufbewahrungspflichten oder dem Auskunftsrecht die Rechte Dritter oder ein Geschäftsgeheimnis entgegenstehen. Hier kommt es vorrangig auf umfangreiche und effektive Prozesse und Vorgaben für alle zuständigen Abteilungen und Mitarbeiter an. Auf diese Weise können alle Betroffenenanfragen vollständig, richtig und fristgerecht beantwortet werden. Neben diesen Vorkehrungen, die zu den Organisationspflichten des verantwortlichen Unternehmens gehören, müssen auch die technischen Voraussetzungen geschaffen werden, um zum Beispiel Daten nachhaltig löschen und Informationen sicher übermitteln zu können. Dafür kann eine rechtliche Beratung sinnvoll sein, um rechtskonforme Prozesse, die alle Vorgaben mitberücksichtigen, zu erarbeiten und umzusetzen.

caralegal - Die smarte Plattform, die Datenschutz zentralisiert und automatisiert.

Fazit

Die Umsetzung der datenschutzrechtlichen Grundsätze sowie die Gewährleistung der Betroffenenrechte sind zentrale Bestandteile für die Einhaltung der DSGVO. Praktisch realisiert wird das nicht zuletzt durch den richtigen Umgang mit Datenschutzvorfällen und Betroffenenanfragen. Unternehmen sollten daher sicherstellen, dass beides schnell erfasst und überprüft wird. Ganz entscheidend ist erstens die Implementierung eindeutiger Prozesse, die regelmäßig überprüft werden sollten. Zweitens sollten Mitarbeiter für die Problemstellungen sensibilisiert werden, indem Unternehmen regelmäßig entsprechende Schulungen durchführen. Auf diese Weise lässt sich ein rechtskonformer Umgang mit Datenschutzverletzungen und Anfragen sicherstellen.

Mehr zum Thema

6. Februar 2024

Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.
Weiterlesen
26. Januar 2024

Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download

Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.
Weiterlesen
9. Januar 2024

Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling

In Zeiten zunehmender Cyberbedrohungen können Unternehmen durch die Mitigation von Datenschutzrisiken nicht nur sich selbst und ihre Beschäftigten vor Bedrohungen bewahren, sondern vor allem auch den Schutz ihrer Kund:innen effektiver gewährleisten. Ein Schlüsselelement der Risikoanalyse ist das sogenannte Threat Modeling. Wir erläutern, was Threat Modeling beinhaltet und wie es speziell in der Datenschutzberatung eingesetzt wird.
Weiterlesen

25. März 2021

ePrivacy-Verordnung: EU-Rat einigt sich auf einen Entwurf

Die ePrivacy-Verordnung soll die Privatsphäre bei der Nutzung elektronischer Kommunikationsdienste wie Websites im Internet unmittelbar EU-einheitlich regeln und würde nationale Regelungen wie z.B. zur Nutzung von Cookies und ähnlichen Technologien ablösen und ersetzen (so auch das TTDSG, das sich in Deutschland gerade noch parallel im Gesetzgebungsprozess befindet).

Bisher gab es vor allem Uneinigkeit und lange Verzögerungen bei der ePrivacy-Verordnung. Letztes Jahr wurde der deutsche Entwurf für die ePrivacy-Verordnung vom Rat abgelehnt – wie auch schon die vorangegangenen Entwürfe der anderen Mitgliedsländer, die den Ratsvorsitz innehatten. Nun aber hat sich der Europäische Rat überraschend schnell am 10.02.2021 auf den portugiesischen Entwurf zur ePrivacy-Verordnung geeinigt. Dieser enthält vielfältige Ausnahmen von der bisher enthaltenen Einwilligungspflicht für die Nutzung von Cookies und ähnlichen Technologien, die auf Informationen im Endgerät (wie einem Computer oder Smartphone) zugreifen oder diese darauf speichern. Der Entwurf geht damit weit über den strengeren deutschen Entwurf hinaus.

Zunächst wird im Entwurf klargestellt, dass sog. Cookie-Walls, welche den Nutzer zwischen Cookie-Tracking oder einem Bezahl-Abo wählen lassen, grundsätzlich zulässig sind. Ohne Einwilligung soll laut dem Entwurf der Zugriff auf oder die Speicherung von Informationen im Endgerät insbesondere für die Bereitstellung eines elektronischen Kommunikationsdienstes, zur Bereitstellung eines vom Nutzer gewünschten Dienstes (also in der Regel zur Vertragserfüllung), zur Zielgruppen-Messung, zu Sicherheitszwecken und zur Verhinderung von Betrug und technischen Fehlern zulässig sein. Insbesondere die Ausnahme für die Zielgruppen-Messung wird viele Werbetreibende aufatmen lassen.

Besonders sticht jedoch die Ausnahme hervor, dass die Speicherung oder der Zugriff auf Informationen im Endgerät erlaubt ist, wenn eine zulässige Zweckänderung vorliegt. Dies stellt – auch wenn nach dem Entwurf bestimmte Anforderungen erfüllt sein müssen – die wohl wichtigste Regelung im neuen Entwurf dar, denn sie würde eine relativ offene Abwägung für den Einsatz verschiedenster Dienste ermöglichen. Zugleich wäre sie aber auch mit einer gewissen Rechtsunsicherheit verbunden, da die genaue Reichweite dieser Ausnahme noch unklar ist.

Der Bundesdatenschutzbeauftragte kritisierte den neuen Entwurf angesichts der zahlreichen Ausnahmen scharf. Er sei ein „schwerer Schlag für den Datenschutz“ und es mache ihn fassungslos, „wie schwerwiegend hier in Grundrechte“ eingegriffen werde. Die Wirtschaft hingegen wird den Entwurf zweifellos wohlwollend zur Kenntnis genommen haben. Denn er würde den Betrieb von Websites und Apps, die auf Werbeeinnahmen angewiesen sind, deutlich vereinfachen.

Wann die ePrivacy-Verordnung tatsächlich kommt, wird sich jedoch noch zeigen müssen. Der portugiesische Entwurf wird nun zunächst gemeinsam mit dem EU-Parlament und der EU-Kommission verhandelt. In diesem Prozess werden sicherlich noch Anpassungen an der ePrivacy-Verordnung vorgenommen werden. Insbesondere das EU-Parlament vertritt eine strengere Ansicht. Aber selbst, wenn die finale ePrivacy-Verordnung verabschiedet wird, könnte es noch länger dauern, bis sie tatsächlich Anwendung findet. Der aktuelle Entwurf sieht nämlich eine zweijährige Übergangsphase vor. Demzufolge wird also auch noch einige Zeit die strenge Einwilligungspflicht, die aus der ePrivacy-Richtlinie herrührt, Maßstab für die Nutzung von Cookies und ähnlichen Technologien sein. Wir halten Sie hinsichtlich der ePrivacy-Verordnung und der Nutzung von Cookies auf dem Laufenden!

Mehr zum Thema

18. September 2023

Alternativen zum klassischen Cookie-Banner – Paywalls, PUR-Modelle und PIMS

Das Werbetracking bietet Telemedienanbieterinnen und -anbietern die Möglichkeit, den Nutzerinnen und Nutzern personalisierte Werbung auszuspielen und damit die Darstellung ihrer Inhalte zu finanzieren. Der folgende Beitrag untersucht die rechtlichen Herausforderungen personalisierter Werbung und zeigt praktische Lösungsansätze auf.
Weiterlesen
12. Juli 2023

Die wichtigsten Fragen zu Datenübermittlung an US-Dienste: Was bedeutet der neue EU-US Datenschutzrahmen für Unternehmen?

Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss nach Artikel 45 Abs. 3 der DSGVO für die USA erlassen: Das „EU-US Data Privacy Framework“ (EU-US-Datenschutzrahmen). Damit stellt die Kommission nach dem vom EuGH im Juli 2020 gekippten Privacy Shield erneut fest, dass die USA ein angemessenes Schutzniveau für aus der EU übermittelte personenbezogene Daten gewährleisten können.
Weiterlesen
24. April 2023

Digitales Marketing und Datenschutz – Handlungsempfehlungen für E-Commerce-Unternehmen

Gerade aufgrund des riesigen Online-Angebots für sämtliche Produkte und Dienstleistungen sowie der in der Vergangenheit aufgetretenen Datenschutzvorfälle bei großen Online-Händlern, kann effektiver und gut umgesetzter Datenschutz für E-Commerce-Unternehmen bei der Ansprache von Kund:innen ein unersetzliches Asset darstellen. Wir geben einen Überblick!
Weiterlesen

15. März 2021

Das neue Patientendaten-Schutz-Gesetz (PDSG): Mehr Datensicherheit für das digitale Gesundheitswesen

Mit dem am 20. Oktober 2020 in Kraft getretenen Patientendaten-Schutz-Gesetz (PDSG) soll die Digitalisierung des Gesundheitswesens in Deutschland weiter vorangetrieben werden. Um auf diesem Weg die Sicherheit der Patientendaten weiter sicherzustellen, kommen auf Krankenhäuser, Ärzte, Krankenkassen und andere Akteure des Gesundheitswesens neue Vorgaben in den Bereichen Datenschutz und Datensicherheit zu – einige müssen bereits ab 2022 umgesetzt werden. Dabei geht es vor allem, aber nicht nur, um die Einführung der elektronischen Patientenakte (ePA), die sich seit dem 1. Januar in ihrer Testphase befindet. Genaueres zur ePA und den anderen Regelungen des PDSG finden Sie hier in diesem Beitrag.

Besonders schutzwürdig: Patientendaten

Als Gesundheitsdaten (vgl. Art. 9 Datenschutz-Grundverordnung, DSGVO) unterliegen Patientendaten aufgrund ihrer persönlichen Bedeutung für die Patientendaten einem besonderen rechtlichen Schutz. Zu ihnen gehören alle Informationen über den Gesundheitszustand eines Patienten. Das sind selbstverständlich Merkmale wie das Gewicht und die Körpergröße, Informationen über Vorerkrankungen und die Häufigkeit von Arztbesuchen, aber auch schon die Patienteneigenschaft einer Person selbst. Zum erhöhten rechtlichen Schutz gehören die Vorgaben für ihre Verarbeitung. Die Erhebung, Speicherung, Nutzung oder die Weitergabe an Dritte ist in aller Regel nur mit der Einwilligung der Patienten zulässig. Daneben gibt es gesetzliche Ausnahmen, wenn die Verarbeitung beispielsweise zur Behandlung oder (pseudonymisiert und anonymisiert) für Forschungszwecke notwendig ist und bestimmte weitere, diesbezügliche Voraussetzungen erfüllt sind. Zudem unterliegen Patientendaten dem Arztgeheimnis und sind strafrechtlich geschützt. Aufgrund der Sensibilität von Patientendaten ist es besonders wichtig, dass Unbefugte keinen Zugriff und keine Einsicht in die Daten erhalten können. Krankenhäuser und auch Ärzte sollten daher sicherstellen, dass ausreichende Sicherheitsmaßnahmen zum Schutz dieser Daten getroffen sind.

Höhere Sicherheitsanforderungen für Krankenhäuser

Das Patientendaten-Schutz-Gesetz hält einige Anforderungen an die IT-Sicherheit für Krankenhäuser bereit, die im ersten Entwurf noch nicht enthalten waren. Mit dem Gesetz wurde ein neuer § 75c in das Sozialgesetzbuch (SGB) V eingefügt, nach dem ab dem 1. Januar 2022 Maßnahmen zur IT-Sicherheit in Krankenhäusern verpflichtend umgesetzt werden müssen. Nach dem Wortlaut der Vorschrift handelt es sich dabei um angemessene technisch-organisatorische Maßnahmen nach dem aktuellen Stand der Technik. Sie sollen Störungen der Verfügbarkeit, Integrität und Vertraulichkeit und die weiteren Sicherheitsziele der IT-Systeme, -Komponenten und -Prozesse von Krankenhäusern vermeiden, die für die Funktionsfähigkeit der Krankenhäuser und der Sicherheit der Patientendaten maßgeblich sind. Der aktuelle Stand der Technik muss alle zwei Jahre überprüft werden.

Für Krankenhäuser mit kritischer Infrastruktur (KRITIS), die diese Vorgaben ohnehin erfüllen, ist diese Verpflichtung explizit ausgeschlossen. Zu den KRITIS-Krankenhäuser zählen alle Einrichtungen, deren IT-Systeme mindestens 30.000 vollstationäre Fälle pro Jahr verwalten (siehe Anhang 5 Teil 3 BSI-KRITIS-Verordnung). Das zeigt im Umkehrschluss, dass sich alle Krankenhäuser unabhängig von ihrer Größe darauf einstellen sollten, ab 2022 die IT-Sicherheitsvorgaben an KRITIS-Krankenhäuser erfüllen zu müssen. Das gilt übrigens nicht nur für an die Telematikinfrastruktur angeschlossenen IT-Systeme, sondern allgemein im Rahmen der Verarbeitung von Patientendaten. § 75c Abs. 2 SGB V empfiehlt, zur Erfüllung der Verpflichtungen, die Anwendung des vom BSI bestätigten branchenspezifischen Sicherheitsstandards (B3S) für Krankenhäuser. Auch wenn es sich dabei um keine zwingende Verpflichtung handelt, ist dieser Standard zur Umsetzung der Vorgaben des § 75c SGB V künftig zu empfehlen – auch deshalb, da der Aufwand, eigene Sicherheitsstandards zu entwickeln und umzusetzen, in der Regel der größere sein dürfte.

Die Neuerungen für das digitale Gesundheitswesen

Dazu soll das Gesundheitswesen durch die Verwendung spezieller, im PDSG genannter Anwendungen digitaler werden. Von ganz wesentlicher Bedeutung ist in diesem Zusammenhang die Einführung der ePA. Nach der flächendeckenden Vernetzung im Rahmen der aktuellen Testphase, besteht für Ärzte bereits ab dem 1. Juli 2021 die Pflicht, sich an die ePA anzuschließen. Die ePA bündelt digital die Informationen aus Patientenakten wie Diagnosen, Therapiemaßnahmen, Medikationspläne oder Behandlungsverläufe. Röntgenbilder können ebenso in der ePA abgespeichert werden, wie auch der Impfausweis oder ein Zahn-Zusatzheft. Darüber hinaus können auch eigene Informationen, wie etwa Tagebücher über Messungen, in der ePA hinterlegt werden. Die ePA soll einen schnellen Informationsaustausch im Gesundheitssystem ermöglichen und die Einsicht in die gesamte Krankengeschichte eines Patienten soll Ärzten dabei helfen, die Wahl der Behandlungsmethode leichter zu treffen. Mit der ePA können Mehrfachuntersuchungen bei einem Arztwechsel leichter vermieden werden und im Notfall haben die Behandelnden schnell Einsicht in Informationen über den Patienten, die sie ohne die ePA möglicherweise nicht gehabt hätten.

Die Speicherung erfolgt nur mit dem entsprechenden Wunsch des Patienten, gegen dessen Willen keine ePA erstellt wird. Der Patient kann auch in Bezug auf einzelne Daten in der ePA gesondert entscheiden, ob sie gespeichert oder wieder gelöscht werden sollen und wer wann auf die ePA zugreifen darf – allerdings wird die Einwilligung für jedes einzelne Dokument erst ab 2022 möglich sein. Damit alle Informationen der verschiedenen Akteure – von den einzelnen Arztpraxen bis zu den Krankenhäusern – in der ePA zusammengeführt werden können, müssen sie an die Telematikinfrastruktur (TI) angeschlossen sein. Die TI ist ein geschlossenes Netz verschiedener IT-Systeme, die alle Akteure des Gesundheitswesens im Bereich der Gesetzlichen Krankenversicherung miteinander vernetzt. Dazu gehören die Leistungserbringer genauso wie Kostenträger und Versicherte. Die gematik GmbH steuert die TI, soll sie stetig ausbauen und dient als Anlaufstelle für Verantwortliche.

Darüber hinaus sind mit dem Patientendaten-Schutz-Gesetz digitale Überweisungen oder das E-Rezept ermöglicht worden. Der neue § 360 SGB V legt fest, dass das E-Rezept ab dem 1. Januar 2022 verpflichtend von Kassenärzten bei der Verordnung verschreibungspflichtiger Medikamente verwendet werden muss. Dafür vorgesehen ist eine App, mit der jeder Patient sich beispielsweise sein Rezept auf dem Smartphone anzeigen und es digital an Apotheken übermitteln lassen kann. Ab 2022 soll die Nutzung des E-Rezepts bei der Verordnung verschreibungspflichtiger Arzneimittel verpflichtend sein. Patienten soll es allerdings weiterhin möglich sein, ein ausgedrucktes Rezept zu verwenden. Dazu muss der Aussteller des Rezepts dem Patienten einen Ausdruck der Zugangsdaten geben, die zum Abruf des E-Rezepts benötigt werden. Diese Zugangsdaten kann dann die Apotheke verwenden. Die Übertragung des Rezepts an die Apotheke bleibt so digital, ohne dass zum Beispiel Patienten ohne Smartphone einen Nachteil haben. Schließlich können Patienten nach dem neuen § 363 SGB V die sogenannte „Datenspende“ vornehmen. Mit ihr ist Patienten die freiwillige Freigabe ihrer Daten zu Zwecken der medizinischen Forschung möglich.

Datenschutzrechtliche Kritik am Patientendaten-Schutz-Gesetz

Obwohl das Gesetz ausdrücklich dem Schutz der Patientendaten dient, blieb Kritik von Datenschützern nicht aus. Die Datenschutzkonferenz (DSK), das gemeinsame Gremium der Bundes- und Landesdatenschutzbehörden, übte einige Kritik an den Regelungen des PDSG. Problematisch sei vor allem das zu grob ausgestaltete Zugriffsmanagement, da die ePA bisher nur den Zugriff auf die gesamten Daten zulasse. Daher kann momentan beispielsweise ein Psychiater auch die Informationen über die Behandlung beim Hautarzt in der ePA einsehen. In der Testphase können Patienten ihre Einwilligung nicht in die Einsicht einzelner Informationen abgeben, sondern nur in die ePA insgesamt. Vielfach wird darin ein Verstoß gegen das Gebot der Erforderlichkeit sowie den datenschutzrechtlichen Grundsatz der Zweckbindung gesehen. Zudem sei der Authentifizierungsprozess nach Ansicht der DSK nicht ausreichend und die Vertreterlösung unzulässig, die für Versicherte vorgesehen ist, die kein geeignetes Endgerät besitzen. Nach der Vertreterlösung können diese Patienten ihre Rechte auf dem Endgerät eines Vertreters ausüben. Dem Vertreter müssen sie dafür allerdings den vollständigen Zugriff auf ihre Gesundheitsdaten der ePA erlauben. Kritik wurde auch an der Datenspende laut: Die Anforderungen an die datenschutzrechtliche Einwilligung seien nicht sicher festgelegt und einmal übermittelte Daten müssen nach der Rücknahme der Einwilligung nicht wieder gelöscht werden, sobald sie einmal für konkrete Forschungsvorhaben verwendet wurden.

Neben der Kritik sieht das Patientendaten-Schutz-Gesetz aber auch einige Rahmenbedingungen für einen erhöhten Patientendatenschutz vor. Dazu regelt etwa der neue § 307 SGB V die datenschutzrechtlichen Verantwortlichkeiten der Telematikinfrastruktur. Danach sind Leistungserbringer dann verantwortlich, wenn sie Komponenten ihrer dezentralen Infrastruktur zur Authentifizierung und zur sicheren Übertragung von Daten in die zentrale Infrastruktur der TI nutzen und über Mittel der Datenverarbeitung mitentscheiden. Damit sind sie auch verpflichtet, bei der Nutzung bestimmter Komponenten der TI entsprechende technische und organisatorische Schutzmaßnahmen zu ergreifen. Nach der Gesetzesbegründung zählen dazu beispielsweise der Schutz der TI-Konnektoren gegen unbefugten Zugang Dritter und die Verwendung geeigneter Verschlüsselungsstandards nach dem aktuellen Stand der Technik.

Fazit

Da es sich bei den Ausführungen der DSK und anderen um nicht unberechtigte Kritik handelt, die zudem von den Aufsichtsbehörden stammt, sollten insbesondere Krankenkassen versuchen, im Dialog mit den Behörden die Problemfelder anzugehen. Für die Zukunft ist allerdings zu erwarten, dass die Probleme auch von technischer Seite schnell angegangen werden. Die Einwilligung für einzelne Dokumente etwa ist wie erwähnt für 2022 angekündigt. Neben der datenschutzrechtlichen Kritik an den genannten Punkten lässt sich aber insgesamt festhalten, dass mit dem PDSG wichtige und auch sichere Anwendungen ermöglicht worden sind, die mit Sicherheit wichtige Schritte für die Digitalisierung des Gesundheitswesens darstellen. Beteiligte sollten sich vor allem mit Blick auf die kurzen Fristen bis Anfang 2022 möglichst schnell darauf einstellen, neue Vorgaben umzusetzen und Leistungen wie das E-Rezept zu ermöglichen. So kann eine Verbesserung der medizinischen Versorgung in der Zukunft erreicht werden.

Mehr zum Thema

23. April 2024

Informationssicherheit im Gesundheitssektor – neue Regeln für die Cybersecurity

Mit der zunehmenden Vernetzung und der fortschreitenden Digitalisierung des Gesundheitswesens ist der Schutz informationstechnischer Systeme zu einem zentralen Anliegen der Branche geworden. Denn funktionierende IT-Systeme sind eine wesentliche Voraussetzung für die Sicherheit der Versorgung im Allgemeinen und die Patientensicherheit im Besonderen.
Weiterlesen
12. Juli 2023

Die wichtigsten Fragen zu Datenübermittlung an US-Dienste: Was bedeutet der neue EU-US Datenschutzrahmen für Unternehmen?

Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss nach Artikel 45 Abs. 3 der DSGVO für die USA erlassen: Das „EU-US Data Privacy Framework“ (EU-US-Datenschutzrahmen). Damit stellt die Kommission nach dem vom EuGH im Juli 2020 gekippten Privacy Shield erneut fest, dass die USA ein angemessenes Schutzniveau für aus der EU übermittelte personenbezogene Daten gewährleisten können.
Weiterlesen
22. März 2023

Joint Controller Agreement: Vorteile und Herausforderungen der gemeinsamen Verantwortlichkeit

Die Vereinbarung über die gemeinsame Verantwortlichkeit („Joint Controller Agreement“ oder auch kurz „JCA“ genannt) erscheint vielen Verantwortlichen in der Praxis noch immer als kompliziert und umständlich. Doch zu Unrecht: Mit der sorgfältigen Ausgestaltung des Agreements können verantwortliche Unternehmen von vielen Vorteilen profitieren, Effizienzgewinne durch vorausschauende Prozessgestaltung erzielen und ein entsprechendes effektives Risikomanagement betreiben.
Weiterlesen

25. Februar 2021

Aktuelle Datenschutz-Entwicklungen beim Brexit: Womit müssen Unternehmen rechnen?

Am 31.12.2020 endete die Übergangszeit für den Austritt des Vereinigten Königreichs aus der EU mit weitreichenden praktischen Folgen für viele Lebensbereiche. Auch im Bereich des Datenschutzrechts fehlt es an einer langfristigen Lösung, auf die sich betroffene Unternehmen verlassen können. Zurzeit gelten Übergangsregelungen von begrenzter Dauer. Wir stellen Ihnen in diesem Beitrag die aktuellen Bestimmungen vor, wagen einen Blick in die Zukunft des Datenschutzrechts im UK und zeigen auf, welche Maßnahmen Unternehmen jetzt schon treffen sollten.

Wie ist der aktuelle Stand für Datenübermittlungen nach Großbritannien?

Mit dem Ende der Frist bis zum 31. Dezember 2020 ist Großbritannien endgültig nicht mehr Mitglied der EU. Da bislang allerdings keine Einigung für langfristige Anschlussregelungen erzielt werden konnte, gilt seit dem 1. Januar 2021 eine erneute Übergangsphase für zunächst vier Monate bis zum 30. April 2021. In dieser Übergangsphase unterliegen Datenübermittlungen ins UK (noch) nicht den verschärften Voraussetzungen an sog. Drittstaatenübermittlungen aus Art. 44 DSGVO. Die Übergangsphase kann nochmals stillschweigend um zwei Monate verlängert werden. Weitere Verlängerungsoptionen sieht das Abkommen jedoch nicht vor. Unternehmen müssen sich daher darauf einstellen, dass Großbritannien spätestens ab Juli 2021 definitiv als EU-Drittland behandelt wird und Datentransfers den erhöhten Anforderungen für Datenexporte außerhalb der EU unterliegen werden.

Weitere Themen:

Welche Lösung ist künftig vorgesehen?

Der Handlungsbedarf für Unternehmen hängt maßgeblich davon ab, welche Lösung nach Ablauf der Übergangsphase für Datenübermittlungen nach Großbritannien gefunden wird. Die im Austrittsabkommen vorgesehene Lösung ist der Erlass eines Angemessenheitsbeschlusses innerhalb der vier- bzw. sechsmonatigen Übergangsfrist. Der Angemessenheitsbeschluss nach Art. 45 DSGVO soll von der EU-Kommission festgelegt werden, die dazu in Verhandlungen mit UK steht. Mit einem solchen Beschluss bestimmt die Kommission, dass ein Drittland oder auch eine internationale Organisation ein angemessenes, der DSGVO vergleichbares Datenschutzniveau aufweist. Auf dieser Basis dürfen Unternehmen aus der EU personenbezogene Daten in das Drittland übermitteln, ohne eine Genehmigung der Aufsichtsbehörden einzuholen (Art. 45 Abs. 1 S. 2 DSGVO). Datenübermittlungen in Drittländer mit Angemessenheitsbeschluss sind daher verhältnismäßig unproblematisch und an nur wenige Voraussetzungen gebunden. Vorab sollte geprüft werden, ob die konkret geplante Datenübermittlung vom Angemessenheitsbeschluss gedeckt ist und welche Vorgaben gegebenenfalls zusätzlich umgesetzt werden müssen. Betroffene Personen sollten entsprechend informiert werden und zum Beispiel Drittstaatenübermittlungen in die Datenschutzerklärung und das Verzeichnis der Verarbeitungstätigkeiten (VVT) aufgenommen werden. Die allgemeinen Anforderungen der DSGVO an die Rechtmäßigkeit von Datenverarbeitungen müssen selbstverständlich trotz Angemessenheitsbeschluss eingehalten werden. Angemessenheitsbeschlüsse veröffentlicht die EU-Kommission in einer Liste und bestehen bislang für Länder wie unter anderem die Schweiz, Neuseeland oder Japan. Der Beschluss für Großbritannien ist geplant und wird seit März 2020 verhandelt. Aktuell (Stand Februar 2021) sieht es nach Presseberichten danach aus, dass die Kommission den Angemessenheitsbeschluss erlassen wird.

Standardvertragsklauseln: Welche Alternativen gibt es?

Da der Ablauf der Übergangsfrist spätestens zu Ende Juni 2021 ansteht, sollten Unternehmen dennoch Fall-Back-Optionen erarbeiten, für den Fall, dass keine Angemessenheitsbeschluss ergeht. Die wichtigste Alternative zum Angemessenheitsbeschluss für Großbritannien sind die sog. Standardvertragsklauseln (standard contractual clause, SCC) gestützte Datenübermittlungen (Art. 46 Abs. 2 lit. c DSGVO). Die SCC werden ebenfalls von der EU-Kommission erlassen oder auch von einer nationalen Aufsichtsbehörde initiiert und anschließend von der Kommission genehmigt. Anders als ein Angemessenheitsbeschluss sind SCC nicht speziell für einen bestimmten Drittstaat erarbeitet, sondern es handelt sich um vertragliche Regelungen, die der Datenexporteur und der Datenempfänger im Drittland miteinander abschließen können. Auf diese Weise sollen rechtssichere Datentransfers in einen Drittstaat ohne angemessenes Datenschutzniveau ermöglicht werden.

Die SCC enthalten angemessene Garantien, für die sich sowohl Exporteur als auch Empfänger der Daten im Drittstaat verpflichten und somit ein angemessenes Datenschutzniveau für die jeweiligen Datenverarbeitungen zusichern. Das geschieht etwa durch besondere Haftungs- und Informationsvorgaben oder die Pflicht zum umgehenden Aussetzen der Datenübermittlung, sobald die Vorgaben der SCC nicht mehr eingehalten werden können. Ein Vorteil der SCC ist, dass auch hier die Datenübermittlungen nicht von der Aufsichtsbehörde genehmigt werden müssen. Diese Privilegierung gilt allerdings nur, wenn Unternehmen von den von der Kommission erlassenen SCC nicht für die betroffenen Personen in negativer Weise abweichen. Nachteilig ist hingegen der Umstand, dass Verantwortliche bei der Verwendung von SCC für die Umsetzung der enthaltenen Garantien sowie die Sicherstellung des angemessenen Datenschutzniveaus selbst verantwortlich sind. In diesem Zusammenhang hat der Europäische Gerichtshof (EuGH) im „Schrems II“-Urteil Unternehmen zu Datentransfers in die USA vorgegeben, für den Einsatz von SCC zusätzliche Maßnahmen zu ergreifen, die ein ausreichendes Datenschutzniveau für die beabsichtigten Datenübermittlungen gewährleisten.

Benennung eines UK Representative

Unternehmen müssen sich zudem darauf einstellen, die Vorgaben des neuen britischen Datenschutzrechts zu beachten, welches der DSGVO nachfolgt. Bislang ist dieses mit der DSGVO weitgehend identisch und entsprechend als UK-GDPR bezeichnet. Die Änderungen beschränken sich vor allem auf redaktionelle Bearbeitungen, indem etwa die Institutionen der EU im Gesetzestext durch die entsprechenden britischen Behörden ersetzt wurden. Wichtig für Unternehmen aus der EU ist vor allem Art. 27 UK-GDPR, dem Pendant zu Art. 27 DSGVO. Demnach müssen alle Unternehmen aus der EU, die keine Niederlassung in Großbritannien haben, die dort jedoch Waren oder Dienstleistungen anbieten oder das Verhalten betroffener Personen beobachten, einen UK Representative (Datenschutzvertreter) ernennen. Dieser dient als Anlaufstelle für betroffene Personen in Großbritannien sowie für die britische Aufsichtsbehörde, dem British Information Commissioner’s Office (ICO) und vertritt dort EU-Unternehmen in datenschutzrechtlichen Angelegenheiten. Die Pflicht zur Bestellung eines UK Representative besteht beispielsweise, wenn eine Website (etwa ein Online-Shop) betrieben wird, die sich an britische Unternehmen oder Verbraucher richtet und über die Tracking mit Cookies o. Ä. erfolgt. Er muss in Großbritannien niedergelassen sein, schriftlich benannt sowie über alle datenschutzrechtlich relevanten Informationen wie das VVT verfügen.

Fazit und Ausblick

Da die Übergangsfrist spätestens ab Juli 2021 nicht mehr gelten wird, sollten Unternehmen vorbereitet sein, um sich über die Frist hinaus auf die neue datenschutzrechtliche Lage einzustellen. Wie diese aussehen wird, ist leider weiterhin unklar. Einerseits ist ein Angemessenheitsbeschluss geplant und laut dem Brexit-Abkommen vorgesehen, andererseits könnte die Rechtslage in Großbritannien – vor allem mit Hinblick auf die Zugriffsrechte der Sicherheitsbehörden – dagegensprechen. Des Weiteren könnte es auch sein, dass die Verhandlungen nicht rechtzeitig bis zum Ablauf der Frist zum Abschluss kommen. Es ist daher ratsam, sich nicht auf die Vereinbarung über einen Angemessenheitsbeschluss zu verlassen und sich auf den Abschluss von SCC vorzubereiten, um bei Bedarf schnell reagieren zu können und die Datenübermittlungen nicht aussetzen zu müssen. Zudem ist es empfehlenswert zu prüfen, bei welchen Partnern oder Dienstleistern ein Wechsel möglich ist, um mit Unternehmen aus der EU zusammenzuarbeiten. In jedem Fall sollte die Entwicklung sorgfältig beobachtet werden, damit die bisher zulässigen Datenübermittlungen zu keinem Zeitpunkt zu Rechtsverstößen führen.

Mehr zum Thema

6. Februar 2024

Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.
Weiterlesen
26. Januar 2024

Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download

Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.
Weiterlesen
9. Januar 2024

Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling

In Zeiten zunehmender Cyberbedrohungen können Unternehmen durch die Mitigation von Datenschutzrisiken nicht nur sich selbst und ihre Beschäftigten vor Bedrohungen bewahren, sondern vor allem auch den Schutz ihrer Kund:innen effektiver gewährleisten. Ein Schlüsselelement der Risikoanalyse ist das sogenannte Threat Modeling. Wir erläutern, was Threat Modeling beinhaltet und wie es speziell in der Datenschutzberatung eingesetzt wird.
Weiterlesen

14. Januar 2021

Beim Mitarbeiterdatenschutz auf Nummer sicher: Ein Überblick

Mit der Stärkung des Datenschutzrechts innerhalb der EU mit der Datenschutz-Grundverordnung (DSGVO) hat speziell auch der Mitarbeiterdatenschutz an Bedeutung gewonnen. Viele verschiedene Einzelfragen werden rechtlich anhand unterschiedlicher Bestimmungen in verschiedenen Gesetzen geregelt. Ein zentrales Gesetz für den Mitarbeiterdatenschutz ist zwar angedacht, allerdings bis auf Weiteres nicht zu erwarten. Daher sind vor allem die allgemeinen Regelungen der DSGVO und des Bundesdatenschutzgesetzes (BDSG) maßgeblich. Deren zentrale Vorgaben sind Gegenstand dieses Beitrags.

Wer darf wie und wann Mitarbeiterdaten verarbeiten?

Für personenbezogene Mitarbeiterdaten sieht § 26 BDSG einige Fälle vor, in denen diese verarbeitet werden dürfen. Nach Abs. 1 ist das beispielsweise für Zwecke des Beschäftigungsverhältnisses der Fall, also für die Begründung, Durchführung und Beendigung eines Beschäftigungsverhältnisses oder zur Erfüllung von Pflichten aus einem Tarifvertrag oder einer Betriebsvereinbarung. Es sind auch Datenverarbeitungen aufgrund von Kollektivvereinbarungen möglich. Weiterhin ist die Datenverarbeitung vor allem dann zulässig, wenn sie aufgrund einer Einwilligung erfolgt (§ 26 Abs. 2 BDSG), der Aufdeckung von Straftaten dient (§ 26 Abs. 1 S. 2 BDSG) oder bei der Verarbeitung besonderer Kategorien von Daten etwa wegen rechtlicher Pflichten aus dem Arbeitsrecht oder des Sozialschutzes (§ 26 Abs. 3 BDSG).

Der Begriff des Mitarbeiters (bzw. Beschäftigten) wird in § 26 Abs. 8 BDSG weit gefasst, sodass darunter alle Arbeitnehmer einschließlich Leiharbeiter zu verstehen sind, Auszubildende, Freiwillige im Jugend- oder Bundesfreiwilligendienst, Beamte, Zivildienstleistende etc. Zu beachten ist, dass sogar Bewerber sowie aus dem Unternehmen Ausgeschiedene zu den Mitarbeitern gezählt werden. Daher müssen Unternehmen die datenschutzrechtlichen Regelungen bereits vor der Begründung eines Beschäftigungsverhältnisses sowie nach dessen Beendigung beachten. Auf der anderen Seite verpflichten die Bestimmungen sowohl öffentliche Stellen wie Behörden als auch private Unternehmen als Arbeitgeber.

Der Mitarbeiterdatenschutz muss beachtet werden, wenn Mitarbeiterdaten verarbeitet und in einem Dateisystem im Sinne des Art. 4 Nr. 6 DSGVO gespeichert werden sollen, d. h. in jeder strukturierten Sammlung personenbezogener Daten, „die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob die Sammlung zentral, dezentral oder funktionalen oder geografischen Gesichtspunkten zugeordnet geführt wird. Damit sind etwa Akten, Aktensysteme oder Deckblätter erfasst.“ Wichtig ist, dass der Anwendungsbereich damit noch nicht erschöpft ist. Auch, wenn ein Angestellter oder auch ein Bewerber persönlich befragt oder beobachtet wird, ohne dass seine Äußerungen und Handlungen in einer Personalakte erfasst werden.

Wann handelt es sich um Datenverarbeitungen zum Zwecke des Beschäftigungsverhältnisses?

Nach dem genauen Wortlaut des § 26 Abs. 1 BDSG muss die Datenverarbeitung für die Entscheidung über die Begründung eines Arbeitsverhältnisses, für dessen Durchführung oder Beendigung oder zur Erfüllung der Rechte und Pflichten der Interessenvertretung der Mitarbeiter erforderlich sein. An dieser Stelle kommt es darauf an, die eingangs erwähnten Interessen von Arbeitgeber und Arbeitnehmer zu einem angemessenen Ausgleich zu bringen. Je nach der in der Regelung genannten Situation des Mitarbeiters können unterschiedliche Interessen wichtig sein.

Datenverarbeitung zur Begründung eines Arbeitsverhältnisses

Der Mitarbeiterdatenschutz beginnt bereits im Bewerbungsprozess, und in der Praxis ergeben sich hier auch tatsächlich häufig Konstellationen, bei denen datenschutzrechtliche Vorgaben beachtet werden müssen. Aufgrund der weiten Verbreitung sozialer Netzwerke, wie LinkedIn oder Xing, kommt es beispielsweise zu der Situation, dass nicht der Interessent einer Stelle das jeweilige Unternehmen, sondern dass umgekehrt dieses aufgrund eines passenden Bewerberprofils den Erstkontakt vornimmt. Schon die Suche von Unternehmen auf solchen Portalen nach passenden Bewerbern stellt eine Datenerhebung dar, die im Sinne des Gesetzes erforderlich ist. In die Bewertung mit einfließen können der Umstand, ob es sich um Berufsnetzwerke wie die oben erwähnten oder „normale“ soziale Netzwerke handelt, wie öffentlich das Bewerberprofil ist und inwieweit dieses gerade darauf ausgelegt ist, sich potenziellen Arbeitgebern vorzustellen. Wird daraufhin (oder auch nach einem anderen Bewerbungsprozess) ein Mitarbeiter eingestellt, lässt sich gut damit argumentieren, dass die Verarbeitung seiner Daten für die Durchführung des Beschäftigungsverhältnisses erforderlich ist. Darüber hinaus sind die Vorgaben des Gesetzes gegen den unlauteren Wettbewerb (UWG) zu beachten, da eine Kontaktaufnahme potenzieller Mitarbeiter grundsätzlich eine Werbung für das eigene Unternehmen darstellt. Nach § 7 Abs. 2 Nr. 3 UWG ist die Werbung mit Nachrichten über die Netzwerke oder E-Mails eine unzumutbare Belästigung, sofern nicht eine vorherige Einwilligung des Kandidaten vorliegt. Aus der bloßen Mitgliedschaft in einem berufsorientierten Netzwerk lässt sich rechtlich keine Einwilligung in Ansprachen von Unternehmen herleiten. Das Verschicken einer Vielzahl allgemeiner Nachrichten an Kandidaten sollte daher vermieden werden. Etwas anderes kann gelten, wenn sich aus dem Bewerberprofil eine solche Einwilligung ergibt und der Kandidat individuell angeschrieben wird. Grundsätzlich sollte hier aber vorsichtig vorgegangen und die Umstände genau dokumentiert werden.

Problematisch sind auch die vielen Fälle abgelehnter Bewerber. Hier haben Bewerber einerseits das Recht, dass ihre Daten nicht auf unbestimmte Zeit bei allen Unternehmen gespeichert sind, bei denen sie sich beworben haben. Andererseits haben Unternehmen ein berechtigtes Interesse daran, diese noch eine gewisse Zeit zu behalten, um Doppelbewerbungen zu vermeiden oder bei einem Rechtsstreit mit dem abgelehnten Bewerber die notwendigen Nachweise vorlegen zu können. Spätestens nach sechs Monaten sollten die Daten allerdings gelöscht werden. Unternehmen, die auf die Daten noch einmal zurückgreifen wollen, falls zum Beispiel ein gewünschter Bewerber unerwartet absagt, bedarf es einer entsprechenden Einwilligung des Bewerbers. Hier sollte dieser darüber informiert werden, zu welchen Zwecken die Daten genau gespeichert werden, wie lange dies der Fall ist und dass dem Bewerber ein jederzeitiges Widerrufsrecht zusteht.

Datenverarbeitung zur Durchführung und Beendigung eines Arbeitsverhältnisses

Für die Durchführung des Arbeitsverhältnisses gibt es einige Datenverarbeitungen, die eindeutig erforderlich sind. Selbstverständlich benötigt der Arbeitgeber die Kontaktdaten des Mitarbeiters, muss das Gehalt auf ein Konto einzahlen oder Sozialversicherungsbeiträge abführen. Die Praxis in den meisten Unternehmen bleibt dabei aber selten stehen. Ein häufiges Beispiel sind die Veröffentlichung der Fotos von Betriebsfeiern im Intranet oder gar auf der öffentlichen Website des Unternehmens. Hier dürfte in den seltensten Fällen davon auszugehen sein, dass es sich um für die Durchführung des Beschäftigungsverhältnisses erforderliche Datenverarbeitungen handelt. Für die Veröffentlichung im Intranet sollte auf die Rechtsgrundlagen der DSGVO zurückgegriffen werden, etwa auf die berechtigten Interessen des Arbeitgebers nach Art. 6 Abs. 1 lit. f DSGVO oder die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Welche Rechtsgrundlage im Einzelfall die richtige ist, hängt davon ab, wofür die Fotos genau verwendet werden. Bei der Veröffentlichung auf der Webseite dürfte in den allermeisten Fällen eine gesonderte Einwilligung notwendig sein.

Welche Datenverarbeitungen sind im Rahmen der Corona-Pandemie zulässig?

Auch im Zusammenhang mit der Corona-Pandemie stellen sich für Unternehmen einige Fragen in Bezug auf den Mitarbeiterdatenschutz. Unternehmen sind seit dem Frühjahr 2020 praktisch zum Ergreifen von Maßnahmen gezwungen, um gegen das Ansteckungsrisiko vorzugehen. Vor allem, da es sich um Gesundheitsschutz handelt, bleibt hier die Verarbeitungen auch sensibler Mitarbeiterdaten nicht aus, die im Grundsatz zwar zulässig, jedoch weiterhin einer passenden Rechtsgrundlage und der Beachtung datenschutzrechtlicher Grundsätze bedürfen.

Zulässig sind daher Datenerhebungen über Infektionen, Erkrankungen mit Covid-19, Kontakte mit Infizierten oder Aufenthalte in Risikogebieten. Im Umkehrschluss ist damit das Erfassen bloßer Symptome oder von Aufenthalten in Nicht-Risikogebieten nur in Ausnahmefällen zulässig. Um gegen das Infektionsrisiko vorgehen zu können, sind konkret einige Maßnahmen möglich und zulässig. So können etwa Arbeitszeiten und Aufenthaltsorte auf einem Betriebsgelände von Mitarbeitern erfasst werden, bei denen sich eine Infektion herausgestellt hat oder die sich kurz zuvor in einem Risikogebiet aufgehalten haben. Denkbar ist auch eine Einordnung der Mitarbeiter in Risikogruppen (Vorerkrankungen, bestimmtes Alter) oder die Feststellung der Arbeitsunfähigkeit. Weiterhin kann Home-Office verpflichtend angeordnet werden, je nach der jeweiligen Lage sind auch weitere Maßnahmen möglich.

Für die Datenverarbeitungen, die mit all diesen Regelungen verbunden sind, ist die Einwilligung in aller Regel als Rechtsgrundlage nicht erforderlich, auch da sie selten zweckmäßig für eine effektive Risikominimierung ist. In Betracht kommen daher vor allem die unter I. erwähnten Rechtsgrundlagen aus § 26 Abs. 1 oder 3 BDSG sowie Art. 9 Abs. 2 lit. b DSGVO (ebenfalls aus Gründen des Arbeitsrechts, dem Recht der sozialen Sicherheit und des Sozialschutzes). Wichtig ist, dass Unternehmen dabei weiterhin darauf achten, die datenschutzrechtlichen Grundsätze einzuhalten. Die Informationspflichten gegenüber den Mitarbeitern aus Art. 13 und 14 DSGVO sollten umgesetzt werden, vor allem sollte transparent vorgegangen werden, die voraussichtliche Speicherdauer festgelegt und darüber informiert werden. Zudem müssen die Mitarbeiter darüber informiert werden, wer die Daten am Ende erhält. Die Datenweitergabe ist darüber hinaus so weit wie möglich zu begrenzen. In diesem Zusammenhang sollte überprüft werden, ob die Identität offengelegt werden muss oder ob es ausreicht, die Daten pseudonymisiert oder anonymisiert weiterzugeben. Zudem sollte im Rahmen des Grundsatzes der Datenminimierung aus Art. 5 Abs. 1 lit. c DSGVO darauf geachtet werden, wirklich nur die für die Risikoverringerung notwendigen Daten zu erheben. Das sollte sorgfältig überprüft werden. Die vorsorgliche Erfassung von Informationen über den Gesundheitszustand von Mitarbeitern oder die Erstellung von Gesundheits- oder Bewegungsprofilen sind unzulässig. Schließlich sollten die Daten umgehend gelöscht werden, sobald sich der Zweck ihrer Erhebung erledigt hat, also spätestens mit Ende der Pandemie, je nach Einzelfall unter Umständen aber auch früher.

Weitere Fälle der Verarbeitung von Mitarbeiterdaten

Die Verarbeitung von Mitarbeiterdaten auf der Grundlage von Kollektivvereinbarungen ist nach § 26 Abs. 4 BDSG zulässig, durchaus auch anders als in der DSGVO und im BDSG sonst vorgesehen. Da es sich beim § 26 BDSG um eine Bestimmung handelt, die aufgrund der Öffnungsklausel des Art. 88 DSGVO erlassen wurde, ist in diesem Kontext Art. 88 Abs. 2 DSGVO zu beachten: Die Vereinbarungen müssen die Menschenwürde sowie die berechtigten Interessen und Grundrechte der Mitarbeiter angemessen berücksichtigen und bewahren.

Weiterhin ist die Datenverarbeitung zulässig, um mögliche Straftaten (des Mitarbeiters) aufzudecken (§ 26 Abs. 1 S. 1 BDSG). Dieser Bestimmung sind enge Grenzen gesetzt. Es bedarf zunächst eines begründeten und konkreten Verdachts, dass der Mitarbeiter im Beschäftigungsverhältnis eine Straftat begangen hat (z.B. Arbeitszeitbetrug). Darüber hinaus muss die Datenverarbeitung zur Aufdeckung der Straftat auch erforderlich sein, und schließlich muss geprüft werden, dass keine schutzwürdigen Interessen des Mitarbeiters der Datenverarbeitung entgegenstehen. Das richtet sich auch nach der Schwere der Tat sowie einem möglichen Schaden für das Unternehmen, andererseits aber auch, inwieweit die Daten aus dem beruflichen Umfeld oder aus dem privaten Bereich des Mitarbeiters stammen. In jedem Fall ist bei der Anwendung dieser Norm Vorsicht geboten, kann im Einzelfall aber auch Maßnahmen wie Videoüberwachung in Geschäftsräumen rechtfertigen. Nicht zulässig sind grundsätzlich Datenverarbeitungen zur Aufdeckung schwerer vertraglicher Verfehlungen (z. B. Verstöße gegen interne Richtlinien), die (noch) nicht einen Straftatbestand erfüllen. Es bietet sich für solche Situationen an, dass Betriebsvereinbarungen auch Regelungen der Datenverarbeitung zur Aufdeckung schwerer vertraglicher Verstößen regeln, damit auch solche gravierenden vertragliche Verfehlungen untersucht werden können. Die Vereinbarungen sollten sich dabei am Wortlaut des § 26 Abs. 1 S. 2 BDSG orientieren.

Die Verarbeitung besonderer Kategorien von Daten (Art. 9 DSGVO) ist im Grundsatz untersagt und nur in Ausnahmefällen zulässig. Eine solche Ausnahme gilt im Beschäftigungskontext mit § 26 Abs. 3 BDSG zu Zwecken des Beschäftigungsverhältnisses. Zu den besonderen Datenkategorien gehören Informationen über die ethnische Herkunft, religiöse oder weltanschauliche Überzeugen, politische Meinungen, Gesundheits- und genetische Daten oder auch über die Gewerkschaftszugehörigkeit. Neben der Voraussetzung, dass die Datenverarbeitung dem Zweck des Beschäftigungsverhältnisses im Sinne des Abs. 1 erfolgt, muss sie „zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich“ sein, während schutzwürdige Interessen des Mitarbeiters dem nicht entgegenstehen. Diese Erfordernisse gelten im Übrigen auch, wenn die Verarbeitung besonderer Datenkategorien auf eine Einwilligung gestützt wird.

Was sollten Unternehmen noch beachten?

Grundsätzlich sollte im Rahmen der Verarbeitung von Mitarbeiterdaten immer sorgfältig auf die Interessen, Grundrechte und Grundfreiheiten der Arbeitnehmer geachtet werden. Sobald die Verarbeitung über das eindeutig Erforderliche hinausgeht, sollte eine entsprechende Interessenabwägung vorgenommen werden. Diese sollte zudem dokumentiert werden. Darüber hinaus sollten in jedem Fall die bereits erwähnten Informationspflichten umgesetzt werden. Wenn ein Betriebsrat vorhanden ist, kann eine Rahmenvereinbarung getroffen werden, speziellere Vereinbarungen können die Informationspflichten bei bestimmten Datenverarbeitungen konkretisieren. Zudem ist wichtig, dass den Mitarbeitern die vollen Betroffenenrechte aus Art. 15 ff. DSGVO zustehen. Über diese müssen die Mitarbeiter ebenfalls informiert werden und die entsprechenden Rechte auf Auskunft, Löschung etc. müssen im Bedarfsfall schließlich auch umgesetzt werden. Das Recht auf Auskunft ist als zentrales Betroffenenrecht gleichzeitig als Pflicht des Arbeitnehmers zu verstehen und kann umfassend geltend gemacht werden, ob, welche und zu welchen Zwecken personenbezogene Daten verarbeitet werden, an welche Empfänger sie geleitet werden und wie lange die Verarbeitung voraussichtlich noch andauern wird. Grenzen sind dem Auskunftsrecht beispielsweise da gesetzt, wo die Rechte und Freiheiten anderer Personen beschränkt werden, beispielsweise durch die Herausgabe von Geschäftsgeheimnissen von Unternehmen oder persönlicher Informationen anderer Mitarbeiter. Aus diesem Grund erklärte beispielsweise auch die Berliner Datenschutzbehörde, dass ein Auskunftsersuchen in aller Regel nicht die Herausgabe aller E-Mails rechtfertigen kann, in der der Name des Auskunftsersuchenden vorkommt.

Fazit

Die Prüfung von Fragen im Rahmen des Mitarbeiterdatenschutzes ist in vielen Fällen komplex, weshalb eine sorgfältige Prüfung im Vorfeld zu empfehlen ist. Über die hier dargestellten allgemeinen Leitlinien hinaus können rechtliche Regelungen aus speziellen Gesetzen wie etwa dem Allgemeinen Gleichbehandlungsgesetz (AGG) oder dem Betriebsverfassungsgesetz (BetrVG) relevant sein. Zudem können datenschutzrechtliche Sanktionen aus der DSGVO wie Bußgelder oder Schadensersatzforderungen drohen. Eine Verbesserung hin zu einer klareren und anwenderfreundlicheren Rechtslage könnte durch das auf Initiative des Bundesministeriums für Arbeit und Soziales diskutierte einheitliche Gesetz für den Mitarbeiterdatenschutz erfolgen. Die Überlegungen stehen hier allerdings noch am Anfang, weshalb Unternehmen sich für die nahe Zukunft weiterhin am Zusammenspiel von DSGVO und BDSG orientieren müssen.

Mehr zum Thema

12. Juli 2023

Die wichtigsten Fragen zu Datenübermittlung an US-Dienste: Was bedeutet der neue EU-US Datenschutzrahmen für Unternehmen?

Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss nach Artikel 45 Abs. 3 der DSGVO für die USA erlassen: Das „EU-US Data Privacy Framework“ (EU-US-Datenschutzrahmen). Damit stellt die Kommission nach dem vom EuGH im Juli 2020 gekippten Privacy Shield erneut fest, dass die USA ein angemessenes Schutzniveau für aus der EU übermittelte personenbezogene Daten gewährleisten können.
Weiterlesen
11. April 2023

KI im Recruiting: Chancen und Datenschutz-Risiken für Unternehmen

Künstliche Intelligenz ist in aller Munde und wird längst auch in HR-Prozessen eingesetzt. Vor allem in der Personaladministration sind KI-Tools statistisch gesehen beliebt. Im folgenden Beitrag wollen wir die populärsten KI-Potenziale im Recruiting vorstellen und einen Überblick über deren Chancen, Risiken und Herausforderungen geben.
Weiterlesen
21. März 2022

Beschäftigtendatenschutz: Herausforderungen und Lösungsansätze für Arbeitgeber

Wie können Arbeitgeber die Chancen der DSGVO & BDSG datenschutzkonform nutzen und von ihnen profitieren? Erfahren Sie es in unserem Beitrag!
Weiterlesen

7. Januar 2021

Best of 2020: Diese 10 Blog-Artikel haben Sie im letzten Jahr am meisten interessiert

Wie gewohnt starten wir das neue Jahr mit einem Rückblick: Welche Themen haben unsere Leserinnen und Leser im vergangenen Jahr am meisten interessiert? Welche Artikel wurden am häufigsten gelesen? Und welche spannenden Entwicklungen gab es im Bereich Datenschutz? Hier folgen unsere Top 10:

1. Die Betroffenenrechte nach der DSGVO: Ein Überblick

Die Betroffenenrechte stellen eine der zentralen Säulen der DSGVO dar. Verstöße werden von den Aufsichtsbehörden daher kritisch gesehen. Da der Datenschutz spätestens seit der Einführung der DSGVO für viele Verbraucher ein wichtiges Unterscheidungs- und Bewertungskriterium geworden ist, ist es für Unternehmen wichtig, auf ihre datenschutzrechtliche Außenwahrnehmung zu achten. Mehr erfahren.

2. Microsoft 365 und Datenschutz — passt das zusammen?

Inzwischen wird fast überall die cloudbasierte Version Microsoft 365 genutzt, die neben allen praktischen Vorteilen datenschutzrechtliche Risiken mit sich bringt. In diesem Artikel zeigen wir auf, welche Risiken beim Einsatz solcher Produkte drohen. Darüber hinaus geben wir einen Einblick darin, welche dieser Risiken Sie vermeiden können. Mehr erfahren.

3. Effizienter Datenschutz durch Datenschutzmanagementsysteme

Mit dem Begriff Datenschutzmanagementsystem (DSMS) wird häufig die Verwendung einer Software oder eines Tools assoziiert, mit dem sich der Datenschutz im Unternehmen koordinieren lässt. Unter einem DSMS versteht sich zunächst jedoch lediglich die Gesamtheit aller erforderlichen Datenschutzmaßnahmen. Mehr erfahren.

4. Die Datenschutz-Folgenabschätzung im Health-Bereich: (Fast) unverzichtbar?

Ihrem Namen entsprechend dient die Datenschutz-Folgenabschätzung dazu, die Folgen von Verarbeitungsverfahren einzuschätzen sowie Risiken zu erkennen und zu bewerten. Gerade für Anbieter von Gesundheitsleistungen jeder Art ist die DSFA eine Maßnahme, der viel Beachtung geschenkt werden sollte. Mehr erfahren.

5. Datenschutzkonformität von Microsoft Teams, Zoom und Webex

Die Berliner Beauftragte für Datenschutz und Informationssicherheit hat sich in ihrer Stellungnahme vom 03. Juli 2020 sehr kritisch gegenüber der Verwendung einiger Anbieter von Videokonferenzdiensten geäußert. Der folgende Beitrag nimmt die Kritik der Behörde zu den Anbietern Microsoft Teams, Zoom und Webex aus datenschutzrechtlicher Sicht genauer unter die Lupe. Mehr erfahren.

6. Cookies & Einwilligungspflicht: Ratgeber nach BGH-Urteil – mit Whitepaper

Bereits 2019 traf der EuGH ein weitreichendes Urteil zur Nutzung von Cookies – und am 28. Mai 2020 folgte ein weiterer Paukenschlag durch den BGH. Wie sieht die Rechtslage nun aus? Welche aktuellen Ratschläge gibt es? Und was können wir für die Zukunft erwarten? Das beantwortet dieser aktuelle Ratgeber – inklusive kostenlosem Whitepaper zur Nutzung von Cookies. Mehr erfahren.

7. Joint Controllership: Kundendaten gemeinsam nutzen und teilen

Die gemeinsame Verantwortlichkeit (engl. joint controllership) ist eine in Art. 26 DSGVO angelegte Konstellation, die es mehreren Unternehmen erlaubt, ihre Kunden- oder andere personenbezogene Daten gemeinsam zu nutzen und zu teilen. Mehr erfahren.

8. Datenschutz im Gesundheitswesen: Ein Überblick

Eines haben alle Datenschutz-Themen im Gesundheitswesen gemeinsam: Der Sicherheit personenbezogener Daten wird in erhöhtem Maße Rechnung getragen, da die maßgebliche DSGVO Gesundheitsdaten als besonders schützenswert einstuft. Ein wirksamer Datenschutz hilft daher, gerade auch im Zuge der Digitalisierung, das Vertrauen in den Health-Bereich zu erhalten und zu stärken. Mehr erfahren.

9. Home-Office: Zutrittsrecht des Arbeitgebers – Zugang zur Wohnung

Die Umstellung der Arbeit vom Büro ins Home-Office erfordert klare und verständliche Regelungen darüber, wie der Beschäftigte seinen Arbeitsplatz zuhause einrichtet und wie er von dort aus seiner Tätigkeit nachgeht. Mehr erfahren.

10. Konzerndatenschutz: Anforderungen & Rechtsgrundlagen für die Datenübermittlung im Konzern

Wenn Konzerne nach außen wie innen als eine geschlossene Einheit auftreten, sollten Datenübermittlungen zwischen ihren einzelnen Unternehmen auf den ersten Blick kein besonderes Problem darstellen. Doch den Konzern als eigenen datenschutzrechtlich Verantwortlichen, kennt die Datenschutz-Grundverordnung nicht. Mehr erfahren.

Standardvertragsklauseln und Schrems ll-Update

Der Europäische Gerichtshof (EuGH) kippte im Urteil „Schrems II“ (C-311/18) im Juli diesen Jahres den EU-US Privacy Shield, die wichtigste Grundlage für Datenübermittlungen in die USA. Viele Unternehmen müssen nun auf sogenannte Standarddatenschutzklauseln (Standard Contractual Clauses, SCC) zurückgreifen. Anders als der Privacy Shield, stellen diese aber keine automatische Legitimation für Datentransfers in die USA oder andere Staaten dar. Ihre Nutzung ist an umfangreiche Anforderungen geknüpft, deren Erfüllung Unternehmen eigenständig sicherstellen müssen. Nun hat hierzu schließlich der Europäische Datenschutzausschuss (EDSA; engl.: European Data Protection Board, EDPB) koordinierte Empfehlungen veröffentlicht. Dieser Beitrag zeigt auf, wie Unternehmen mit der neuen Entwicklung im Rahmen des Drittlandtransfers, unter Berücksichtigung der Empfehlungen des EDSA, umgehen können und welche Schritte zu empfehlen sind.

Wie war die bisherige die Entwicklung in Sachen Drittlandstranfer

Die Begründung des bereits erwähnten EuGH-Urteils lässt sich schnell auf den Punkt bringen: In den USA gebe es kein ausreichendes Datenschutzniveau, das dem der EU vergleichbar wäre. Das sei vor allem auf verschiedene Gesetze in den USA zurückzuführen, die den dortigen Behörden zu Zwecken der nationalen Sicherheit oder Verteidigung weitreichender Zugriffsbefugnisse auf Daten einräumen. Auch in diesen Fällen findet die DSGVO auf die betreffenden Übermittlungen personenbezogener Daten Anwendung. Dieser Umstand hat allerdings nicht nur Auswirkungen auf den Privacy Shield, der dementsprechend für ungültig erklärt wurde, sondern er betrifft grundsätzlich alle Datenübermittlungen in die USA sowie andere Staaten außerhalb des EU- und EWR-Bereichs. Denn das Instrument der Datenschutzklauseln, das der EuGH grundsätzlich unangetastet ließ, ändert für sich genommen nichts an der datenschutzrechtlichen Lage in den USA. Daher reichen die SCC, die von der EU-Kommission auf der Grundlage von Art. 46 Abs. 2 lit. c) DSGVO erlassen worden sind, allein nicht aus. Unternehmen müssen für jeden Einzelfall gesondert und in eigener Verantwortung überprüfen, ob die beabsichtigten Datenübermittlungen den datenschutzrechtlichen Anforderungen genügen und somit zulässig sind. Da sich Unternehmen nunmehr auf keinen Mechanismus wie im Rahmen des Privacy Shields verlassen können, entsteht eine hohe Rechtsunsicherheit.

An diesen Ausgangspunkt knüpft nun die Empfehlung des EDSA an.

Demnach müssen im Falle eines unzureichenden Datenschutzniveaus in den Drittstaaten über die SCC hinaus weitere Maßnahmen getroffen werden. Speziell für die USA muss mit Blick auf die dortige Überwachungs-Gesetzgebung FISA und die diesbezüglichen Aussagen des EuGH davon ausgegangen werden, dass kein angemessenes Datenschutzniveau besteht.

Der EDSA ist daher der Ansicht, dass eine Übermittlung personenbezogener Daten allein auf Basis von Standardvertragsklauseln (SCC) in Drittstaaten in vielen Fällen nicht mehr möglich ist, sodass zusätzliche Sicherungsmaßnahmen erforderlich sind.

Dabei sind nach Empfehlung des EDSA allein technische Maßnahmen geeignet, den Zugriff durch Dritte (Sicherheitsbehörden) auf die übermittelten Daten zu verhindern. Organisatorische und vertragliche Zusicherungen eines Dienstleisters allein genügen hingegen nicht. Die Mittel an ergänzenden technischen Maßnahmen, die im Zusammenhang mit den SCC einen rechtskonformen Transfer gestatten können, ist dabei überschaubar:

In Betracht kommt eine Ende-zu-Ende-Verschlüsselung der Daten, die keinerlei Verarbeitung der Daten im Klartext im Drittland zulässt. Dies kommt – auch nach den klaren Worten des EDSA – in aller Regel z.B. nur bei Lagerung eines Backups in Betracht. Das Papier weist ausdrücklich darauf hin, dass lediglich risikomindernde Maßnahmen, wie eine Transportverschlüsselung und eine Speicherung „at rest“ (auch zusammengenommen)nicht ausreichend sind, wenn weiterhin Daten im Drittland, und dies auch nur vorübergehend, im Klartext verarbeitet werden. Nach Ansicht des EDSA können daher Cloud- und SaaS-Produkte nicht – ohne weitere Sicherungsmaßnahmen – rechtskonform in Drittstaaten eingesetzt werden, wenn eine dortige Klartextverarbeitung gegeben ist.
Ein verbleibender Ausweg kann eine effektive Pseudonymisierung der Daten vor der Übertragung sein, sodass die Verarbeitung im Drittland lediglich die pseudonymisierten Daten umfasst und es weder Dienstleistern noch Sicherheitsbehörden möglich ist, die betroffenen Personen identifizieren zu können. In den Konstellationen, in denen eine derartige Anpassung der eingesetzten Services in Betracht kommt, sollte die Anwendbarkeit dieser Maßnahme nunmehr konkret geprüft werden.
Auch eine Aufteilung bzw. Mehr-Parteien-Verarbeitung der Daten kann in einigen Fällen denkbar sein, so dass Teile der Verarbeitung jeweils von einzelnen Dienstleistern vorgenommen werden und nicht einer allein eine Identifizierung der betroffenen Personen vornehmen kann.

Welche Handlungsschritte ergeben sich nun hieraus?

Zur Einschätzung der nächsten Handlungsschritte, kann auf den 6-Stufenplan des EDSA zur Evaluierung und Behandlung von grenzüberschreitenden Datentransfers hingewiesen werden. Demnach sind zur Festlegung der nächsten Handlungsschritte, die folgenden 6 Stufen zu beachten:

Identifizierung und Dokumentation der Drittstaatentransfers (Sitz oder Verarbeitungsort von Dienstleistern und auch Subdienstleistern außerhalb der EU/des EWR)
Identifizierung der für den Transfer genutzten Instrumente/geeigneten Garantien, insbes.:
1. Angemessenheitsbeschlüsse (dann keine weiteren Anforderungen),
2. Standardvertragsklauseln,
3. Binding Corporate Rules,
4. EU-US Privacy Shield allein stellt einen klaren Verstoß dar.
Prüfung der Rechtslage im Empfängerland (insb. ob rechtliche oder andere Gegebenheiten des Empfängerlandes an einem angemessenen Datenschutzniveau zweifeln lassen. Der EDSA konkretisiert auch diesbezüglich das Prüfprogramm. Sofern Dienstleister in anderen Drittstaaten als den USA eingesetzt werden, ist diese Konstellation ebenfalls zu prüfen.)
Identifizierung zusätzlicher Maßnahmen für einen sicheren Datentransfer, wenn Zweifel an angemessenem Datenschutzniveau nach Stufe 3:
1. Technische Maßnahmen (insb. Voll-Verschlüsselung) sind in aller Regel erforderlich,
2. Ergänzend: organisatorische und vertragliche Maßnahmen zum Schutz gegen überbordende Zugriffe durch Sicherheitsbehörden.
3. Nunmehr Prüfung, ob und für welche Konstellationen technische Zusatzmaßnahmen in Betracht kommen:
  - Voll-Verschlüsselung (Ende-zu-Ende) möglich? Nicht bei: Cloud, SaaS, Virtuellen Maschinen
  - Effektive Pseudonymisierung möglich?
  - Anonymisierung möglich?
4. Zusätzliche vertragliche/organisatorische Maßnahmen möglich? (Was wurde ggf. vom Dienstleister angeboten? Ggf. weitere Kommunikation mit Dienstleister)
5. Dokumentation geprüfter Maßnahmen/europäischer Alternativen und der Kommunikation mit dem Dienstleister zu dem Umgang mit der Schrems II-Entscheidung
6. Entscheidung der Geschäftsführung zum weiteren Vorgehen (operativ zwingende Dienstleister sind zu priorisieren)

Sofern technische Lösungen tatsächlich möglich: Sicherstellung der Umsetzung der getroffenen Maßnahmen
Regelmäßige Überprüfung anhand dieser Kriterien.

Sind womöglich die angekündigten neuen Standardvertragsklauseln ein Mittel zur Lösung des Problems?

Eine Lösung des Problems wird leider nicht durch die neuen Standardvertragsklauseln geschaffen werden können.

Die Europäische Kommission hat zwar nunmehr einen Entwurf neuer Standardvertragsklauseln veröffentlicht, die sich derzeit noch in Konsultation befinden und wohl kurzfristig verabschiedet werden.

Diese werden jedoch nach wie vor nur zusätzliche vertragliche Maßnahmen darstellen und (allein) kein ausreichendes Schutzniveau bieten können. Diese Änderung zwingt zudem aller Voraussicht nach alle EU-Unternehmen, im nächsten Jahr die neuen Standardvertragsklauseln mit den eigenen Dienstleistern abzuschließen.

Fazit und Ausblick

Nach dem bisher Gesagtem ist offensichtlich, dass die Abgabe einer Empfehlung nicht gerade einfach ist. Wo jedoch ausreichende technische Maßnahmen nicht umgesetzt werden können, bietet, unter Berücksichtigung der bisherigen Situation, nur der Wechsel zu rein europäischen Dienstleistern eine vollständige Sicherheit. Einige US-Dienstleister bieten mittlerweile die Möglichkeit, den Vertrag mit der europäischen Tochterfirma zu schließen und sichern eine Datenhaltung ausschließlich in europäischen Rechenzentren zu. Sollte es in der Folge daher tatsächlich nicht zu einer Datenverarbeitung durch die US-Gesellschaft kommen, so kann diese Konstellation Ausgangspunkt für eine vertretbare Lösung sein. Sofern jedoch weiterhin tatsächliche Zugriffsmöglichkeiten des US-Unternehmens bestehen, verbleibt stets ein Anwendungsrisiko. Falls im Einzelfall ein Vertragsschluss mit einer europäischen (Tochter-)Gesellschaft möglich ist, sollten Sie diese Konstellation konkret bei sich im Unternehmen mit den Verantwortlichen besprechen, um die verbleibenden Risiken bewerten zu können.

Letztlich werden die Datenübermittlungen in Drittländer im Jahr 2021 eine herausgehobene Stellung einnehmen, sodass nur empfohlen werden kann, die weiteren Entwicklungen nicht ohne eingehende Beschäftigung mit der Thematik abzuwarten.

Mehr zum Thema

6. Februar 2024

Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.
Weiterlesen
26. Januar 2024

Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download

Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.
Weiterlesen
9. Januar 2024

Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling

In Zeiten zunehmender Cyberbedrohungen können Unternehmen durch die Mitigation von Datenschutzrisiken nicht nur sich selbst und ihre Beschäftigten vor Bedrohungen bewahren, sondern vor allem auch den Schutz ihrer Kund:innen effektiver gewährleisten. Ein Schlüsselelement der Risikoanalyse ist das sogenannte Threat Modeling. Wir erläutern, was Threat Modeling beinhaltet und wie es speziell in der Datenschutzberatung eingesetzt wird.
Weiterlesen

Wir melden uns bei Ihnen!

Vielen Dank für Ihre Nachricht. Wir melden uns bei Ihnen.

Es ist ein Fehler aufgetreten.

Angemessenheitsbeschluss UK

Newsletter

Bußgeld gegen die Deutsche Wohnen SE

LG Berlin, 18.02.2021 – (526 OWi LG) 212 Js-OWi 1/20 (1/20), 526 OWiG LG 1/20

LG Bonn, 11.11.2020 – 29 OWi 1/20

Verbands- oder Rechtsträgerhaftung

Online-Massenüberwachung durch Umgehung der ePrivacy-RL

Mehr zum Thema

Rechtsprechung zum Umfang des datenschutzrechtlichen Auskunftsanspruches

1. BAG, 27. April 2021 – 2 AZR 342/20

2. BGH, 15.06.2021 – VI ZR 576/19

Mehr zum Thema

Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download

Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling

I. DSMS – ein kurzer Einstieg

II. Aufbau eines DSMS

Newsletter

III. Welche Inhalte zu einem vollständigen DSMS gehören

IV. Der PDCA-Zyklus

Mehr zum Thema

V. Was noch zum DSMS gehört

VI. Fazit

Mehr zum Thema

Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download

Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling

I. Erster Schritt: Die Wahl der Rechtsgrundlage

Newsletter

II. Zusätzliche Maßnahmen ergreifen!

III. Fazit

Mehr zum Thema

Worauf muss geachtet werden beim Einsatz von Cookies?

Wann sollte eine Einwilligung eingeholt werden?

Newsletter

Wie sollte die Einwilligung eingeholt werden?

Mehr zum Thema Cookies

Was gibt es zum Thema Cookies sonst zu beachten?

Weiterhin auf dem Weg zum TTDSG und zur ePrivacy-Verordnung

Update zum TTDSG:

Fazit

Mehr zum Thema

Alternativen zum klassischen Cookie-Banner – Paywalls, PUR-Modelle und PIMS

Google Analytics in der EU: So gelingt der datenschutzkonforme Einsatz

Unsere Top 10 – Die meistgelesenen Blogartikel des Jahres 2021

Wie 360-Grad-Feedback für Mitarbeiter funktioniert

Newsletter

Rechtsgrundlage für das 360-Grad-Feedback

Mehr zum Thema

Kein permanenter Überwachungsdruck

Gewährleistung der Betroffenenrechte

Sonstige Anforderungen im 360-Grad-Feedback

Fazit

Mehr zum Thema

Die wichtigsten Fragen zu Datenübermittlung an US-Dienste: Was bedeutet der neue EU-US Datenschutzrahmen für Unternehmen?

KI im Recruiting: Chancen und Datenschutz-Risiken für Unternehmen

Beschäftigtendatenschutz: Herausforderungen und Lösungsansätze für Arbeitgeber

Im Vorfeld: Einen Datenschutzvorfall erkennen

Newsletter

Wie muss ein Datenschutzvorfall gemeldet werden?

Welche Ausnahmen bestehen von der Meldepflicht?

Was muss in der Meldung enthalten sein?

Mehr zum Thema

Wann müssen auch betroffene Personen informiert werden?

Was tun bei einer Betroffenenanfrage?

Fazit

Mehr zum Thema

Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download

Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling

Newsletter

Mehr zum Thema

Alternativen zum klassischen Cookie-Banner – Paywalls, PUR-Modelle und PIMS

Die wichtigsten Fragen zu Datenübermittlung an US-Dienste: Was bedeutet der neue EU-US Datenschutzrahmen für Unternehmen?

Digitales Marketing und Datenschutz – Handlungsempfehlungen für E-Commerce-Unternehmen

Besonders schutzwürdig: Patientendaten

Höhere Sicherheitsanforderungen für Krankenhäuser

Mehr zum Thema

Die Neuerungen für das digitale Gesundheitswesen

Newsletter