Der neue Entwurf der Bundesregierung zur ePrivacy-Verordnung wurde abgelehnt, sodass weitere Nachbesserungen notwendig sind. Gegenüber Golem.de teilte eine Sprecherin des Bundeswirtschaftsministeriums mit, dass bei den Mitgliedsstaaten weiterer Beratungsbedarf bestehe. Die umstrittene ePrivacy-Verordnung sollte ursprünglich zusammen mit der Datenschutz-Grundverordnung in Kraft treten und sich auf den Schutz von Daten in der elektronischen Kommunikation konzentrieren. Bis jetzt ist jedoch keine Einigung zwischen den EU-Mitgliedsstaaten in Sicht.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Viele Webseiten-Betreiber stützen den Einsatz von Cookies auf das sogenannte „berechtige Interesse“ und möchten dies gerne beibehalten. Diesen Wünschen aus der Werbeindustrie wurde mit dem Entwurf der Bundesregierung jedoch zunächst eine Absage erteilt. Das Sammeln von Daten könne nach Sicht der Bundesregierung grundsätzlich nicht auf das „berechtigte Interesse“ gestützt werden. Die entsprechenden Passagen hatte Deutschland in ihrem Entwurf gestrichen, der auf dem zuletzt abgelehnten Vorschlag der finnischen Regierung beruht. Hiernach sollten unter anderem das Setzen von Cookies und die damit einhergehende Sammlung von Nutzer- sowie die Verarbeitung von Standortdaten nicht mehr pauschal auf das berechtigte Interesse gestützt werden können. Das Setzen von Cookies ohne die Einholung einer Einwilligung wäre demnach nur in eng begrenzten Fällen aufgrund von einzelnen konkreten Erlaubnistatbeständen möglich. Ausnahmen sollten nur für „Online-Zeitungen und andere Pressepublikationen“ erlaubt sein, die sich teilweise oder komplett durch Werbung finanzieren.

Der Entwurf der Bundesregierung wurde – ebenso wie bereits einige weitere Entwürfe aus den vergangenen Jahren anderer EU-Mitgliedsstaaten – zurückgewiesen. Es bleibt abzuwarten, ob sich die EU-Mitgliedsstaaten bei der umstritten ePrivacy-Verordnung letztendlich auf eine einheitliche Linie einigen können. Ein Sprecher des EU-Ministerrates teilte Golem.de auf Anfrage mit, dass das Thema bei den kommenden Sitzungen der Arbeitsgruppe wieder behandelt werden soll, aber ein Termin stehe noch nicht fest. Ob zeitnah eine Einigung erzielt werden kann, bleibt nach wie vor unklar.

Mehr zum Thema

  • Alternativen Cookie Banner

    Alternativen zum klassischen Cookie-Banner – Paywalls, PUR-Modelle und PIMS

    Das Werbetracking bietet Telemedienanbieterinnen und -anbietern die Möglichkeit, den Nutzerinnen und Nutzern personalisierte Werbung auszuspielen und damit die Darstellung ihrer Inhalte zu finanzieren. Der folgende Beitrag untersucht die rechtlichen Herausforderungen personalisierter Werbung und zeigt praktische Lösungsansätze auf.

    Weiterlesen

  • Die wichtigsten Fragen zu Datenübermittlung an US-Dienste: Was bedeutet der neue EU-US Datenschutzrahmen für Unternehmen?

    Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss nach Artikel 45 Abs. 3 der DSGVO für die USA erlassen: Das „EU-US Data Privacy Framework“ (EU-US-Datenschutzrahmen). Damit stellt die Kommission nach dem vom EuGH im Juli 2020 gekippten Privacy Shield erneut fest, dass die USA ein angemessenes Schutzniveau für aus der EU übermittelte personenbezogene Daten gewährleisten können.

    Weiterlesen

  • Digitales Marketing und Datenschutz – Handlungsempfehlungen für E-Commerce-Unternehmen

    Gerade aufgrund des riesigen Online-Angebots für sämtliche Produkte und Dienstleistungen sowie der in der Vergangenheit aufgetretenen Datenschutzvorfälle bei großen Online-Händlern, kann effektiver und gut umgesetzter Datenschutz für E-Commerce-Unternehmen bei der Ansprache von Kund:innen ein unersetzliches Asset darstellen. Wir geben einen Überblick!

    Weiterlesen

Künstliche Intelligenz ist für viele Unternehmen längst zum Alltag geworden. Ob Chatbots, die beim Kundensupport helfen oder Systeme, die Röntgenbilder von Patienten analysieren – die Einsatzfelder von KI sind vielfältig und finden sich in unterschiedlichen Bereichen wie Datensicherheit, Mobilität, Gesundheit oder Industrie 4.0 wieder. Unter den mannigfaltigen Diskussionen, die über den Einsatz Künstlicher Intelligenz geführt werden, spielt nicht zuletzt das Datenschutzrecht eine wichtige Rolle. Auch hier reguliert die Datenschutz-Grundverordnung (DSGVO) und gibt Instrumente vor, mit denen Künstliche Intelligenz datenschutzrechtlich sicher verwendet werden kann. Zu letzterem gehören unter anderem die Anonymisierung und Pseudonymisierung, mit welchen der vorliegende Beitrag sich eingehender befasst.

Künstliche Intelligenz und ihre rechtliche Regulierung

Zunächst sollte geklärt werden, welche Arten von Anwendungen unter den Begriff der KI fallen. Eine eindeutige Definition existiert nicht und ist aufgrund der Komplexität der Technologie auch nicht möglich. Allerdings kann sich einer solchen angenähert werden: KI-Anwendungen sollten etwa zu eigenständigen Lernprozessen und Prognosen in der Lage sein, Muster erkennen und auf unbekannte Probleme reagieren können. Anwendungen zur Sprach- und Zeichenerkennung oder Bild- und Datenanalyse gehören auch dazu.

Für die meisten KI-Anwendungen ist die Verarbeitung personenbezogener Daten maßgeblich, die analysiert und/oder als Trainingsdaten verwendet werden, um die KI zu verbessern. Hier setzt das Datenschutzrecht an. Da Künstliche Intelligenz in der Lage ist, eigenständig sehr umfangreiche Aufgaben zu übernehmen, ist von der Datenschutzkonferenz (DSK) die Hambacher Erklärung veröffentlicht worden, die Leitlinien für den Einsatz von KI enthält. Grundlegend soll der sich aus der Menschenwürde ergebende Grundsatz sein, dass der Mensch durch KI nicht zum Objekt degradiert werden darf. Sie sollte nur für vorab klar festgelegte, verfassungsrechtlich legitime Zwecke eingesetzt werden sowie transparent funktionieren. Der datenschutzrechtliche Grundsatz der Datenminimierung sollte berücksichtigt, technisch-organisatorische Mindeststandards sollten erfüllt und eine verantwortliche Stelle angegeben sowie Diskriminierungen vermieden werden.

Der Grundsatz der Datenminimierung

Bevor erläutert wird, wie Anonymisierung und Pseudonymisierung bei der Umsetzung von Datenschutz helfen können, muss auf den Datenminimierungsgrundsatz eingegangen werden, der sich nicht nur aus der (nicht bindenden) Hambacher Erklärung ergibt, sondern ausdrücklich in Art. 5 Abs. 1 lit. c DSGVO genannt ist. Er verpflichtet zu einer dem Zweck angemessenen und auf das notwendige Maß beschränkten Datenverarbeitung. Diese Verpflichtung beinhaltet auch die technische Gestaltung der zugrundeliegenden Systeme auf eine Weise, die Risiken für die betroffenen Personen minimiert (Privacy by Design) und die durch datenschutzfreundliche Voreinstellungen sicherstellt, dass nur für den jeweiligen Zweck erforderliche personenbezogene Daten verarbeitet werden (Privacy by Default). Mit den Instrumenten Anonymisierung und Pseudonymisierung kann unterschiedlich auf die Verpflichtung zur Datenminimierung reagiert werden. Während Unternehmen mit der Pseudonymisierung der von einer KI verwendeten Daten das Datenschutzrisiko senken können, lässt sich mit der Anonymisierung erreichen, dass die DSGVO und damit auch der Grundsatz der Datenminimierung gar nicht erst anzuwenden sind.

Die Anonymisierung

Unter der Anonymisierung von Daten ist ein Verfahren zu verstehen, bei dem personenbezogene Daten so verändert werden, dass die Person, auf die die Daten sich beziehen, nicht mehr identifizierbar ist. Die Person kann nicht mehr ermittelt werden und ist keinen Risiken ausgesetzt, wenn anonymisierte Daten verarbeitet werden. Daher muss sie auch nicht mehr datenschutzrechtlich geschützt werden. So kann der Compliance-Aufwand erheblich verringert werden. Das gilt aber nur, wenn die Re-Identifikation sicher ausgeschlossen ist. Häufig ist das mit einem gewissen Aufwand und der Zuhilfenahme anderer Informationen doch möglich. Das gilt ganz besonders dann, wenn viele oder umfangreiche Daten von KI analysiert werden. Aus der Kombination von Informationen wie Alter, Adresse, Gewicht, Vorerkrankungen etc. kann schnell wieder die dahinterstehende Person erkennbar gemacht werden. Für Unternehmen gilt daher: Da sich mit der Anonymisierung von Daten eine Anwendung der datenschutzrechtlichen Vorschriften ausschließen lässt, sollte diese Möglichkeit im Vorfeld geprüft werden. Wenn auch mit anonymen Daten gearbeitet werden kann, sollte noch einmal besonders darauf geachtet werden, dass die Daten auch wirklich vollständig anonym sind, eine Ermittlung der Personen also sicher ausgeschlossen ist.

Die Pseudonymisierung

Vielfach wird diese Prüfung ergeben, dass eine vollständige Anonymisierung nicht möglich ist, zum Beispiel weil die eingesetzte Künstliche Intelligenz personenbezogene Daten benötigt, um sinnvolle Ergebnisse liefern oder sich weiter verbessern zu können. Auch kann es sein, dass der Personenbezug wichtig ist, um Informationen über einen längeren Zeitraum zu einem Kunden oder einem Patienten zuordnen zu können. Sobald die KI also personenbezogene Daten – hier kann es sich etwa um Informationen wie Name, Anschrift, E-Mail-Adresse, um biometrische, Prognose- oder Metadaten handeln – verarbeitet, sind die Bestimmungen der DSGVO umzusetzen, d. h. auch der Grundsatz der Datenminimierung. Hier kommt die Pseudonymisierung als Instrument ins Spiel, um das Datenschutzrisiko für die betroffenen Personen zu senken und dem Grundsatz der Datenminimierung Rechnung zu tragen. Unter Pseudonymisierung versteht Art. 4 Nr. 5 DSGVO Folgendes:

„Die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden“.

Auch hier erfolgt also eine Trennung von Daten und Person, allerdings nur soweit zusätzliche verfügbare Informationen nicht zur Ermittlung der Person herangezogen werden. Daher sollten diese zusätzlichen Informationen gesondert aufbewahrt und entsprechend vor unbefugtem Zugriff geschützt werden. Im Rahmen des technischen Datenschutzes nennt die DSGVO selbst in Art. 32 beispielhaft Pseudonymisierung als geeignete technische und organisatorische Maßnahme, um den Grundsatz der Datenminimierung einzuhalten. Das Risiko von Datenschutzvorfällen sinkt durch Pseudonymisierung deutlich. Es soll schon technisch ausgeschlossen werden, was nicht erlaubt ist. Datenschutzfreundliche technische Maßnahmen und Voreinstellungen zum frühestmöglichen Zeitpunkt werden außerdem positiv bei der Verhängung von Bußgeldern berücksichtigt. Unternehmen sollten daher vor dem Einsatz von KI auch die Möglichkeit der Pseudonymisierung prüfen.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Wie werden Anonymisierung und Pseudonymisierung umgesetzt?

Um sowohl Anonymisierung als auch Pseudonymisierung rechtssicher und effektiv einsetzen zu können, empfiehlt es sich, beide Instrumente schon frühzeitig bei der Entwicklung der KI-Anwendung zu bedenken. Etwa sollten bereits die Rohdaten verändert oder unkenntlich gemacht werden, sodass von Anfang an nur pseudonymisierte bzw. anonymisierte Daten in den Lernprozess der KI gegeben werden.

Bei der Anonymisierung gilt es, die Möglichkeit der Re-Identifikation der Person genau zu prüfen. Hier sind auch die Kosten und der Zeitaufwand einer etwaigen Identifizierung zu berücksichtigen. Wichtig ist zudem, dass diese Prüfung nicht nur einmal am Anfang vorgenommen, sondern immer wieder erneuert wird, da sie immer nach dem aktuellen Stand der Technik erfolgen muss. Konkrete Vorgaben für die Technik der Anonymisierung gibt die DSGVO nicht vor, es kommt hier vor allem auf das Resultat an. Dennoch gibt es einige Möglichkeiten, eine Anonymisierung vorzunehmen. Beispielsweise können die identifizierenden Merkmale gelöscht werden. Denkbar ist auch eine Generalisierung der Daten, indem etwa die genaue Anschrift durch die Region oder das Geburtsdatum durch das Geburtsjahr ersetzt werden.

Wie bereits gezeigt, handelt es sich um Pseudonymisierung, wenn die Daten nicht gelöscht, sondern gesondert aufbewahrt werden. Der (ausreichende) Schutz dieser Informationen ist in der Praxis häufig problematisch und sollte ebenfalls genau auf seine Wirksamkeit geprüft werden. Um Daten zu anonymisieren, kann einer Person z. B. die Möglichkeit gegeben werden, eine Nutzer-ID zu wählen. Auch kann ein Dritter der Person ein Pseudonym zuweisen. Eine Verschlüsselung der Daten kann auch zu einer Pseudonymisierung führen, wenn die Daten nur durch die Zuhilfenahme des Schlüssels wieder lesbar sind.

Fazit

Der Vorteil von Anonymisierung liegt auf der Hand: Die Nichtanwendung der DSGVO mindert den Aufwand für den KI-Verwender erheblich. Doch auch die Anonymisierung birgt, neben dem grundsätzlich erhöhten Datenschutzniveau, einige Vorteile. Wenn eine Abwägung zwischen den Interessen des Verantwortlichen und denen der betroffenen Personen vorgenommen werden muss, fällt diese eher zugunsten des Verantwortlichen vor. Zudem kann bei Datenschutzvorfällen die Benachrichtigungspflicht entfallen. Schließlich verringern sich auch die Anforderungen an die Umsetzung technisch-organisatorischer Maßnahmen. Daher sollten Verantwortliche beim Einsatz von KI erwägen, ob Pseudonymisierung oder Anonymisierung möglich sind, ohne die Künstliche Intelligenz zu sehr in ihrem Einsatzfeld einzuschränken.

Mehr zum Thema

  • Die wichtigsten Fragen zu Datenübermittlung an US-Dienste: Was bedeutet der neue EU-US Datenschutzrahmen für Unternehmen?

    Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss nach Artikel 45 Abs. 3 der DSGVO für die USA erlassen: Das „EU-US Data Privacy Framework“ (EU-US-Datenschutzrahmen). Damit stellt die Kommission nach dem vom EuGH im Juli 2020 gekippten Privacy Shield erneut fest, dass die USA ein angemessenes Schutzniveau für aus der EU übermittelte personenbezogene Daten gewährleisten können.

    Weiterlesen

  • KI Logistik

    KI in der Logistik: Chancen, Herausforderungen und Datenschutzstrategien

    Die Logistikbranche in Deutschland hat die Chancen und Möglichkeiten der Künstlichen Intelligenz (KI) erkannt und ist vielen anderen Wirtschaftszweigen bereits weit voraus. Dieser Blogbeitrag zeigt auf, welche konkreten Einsatzmöglichkeiten KI in der Logistik bietet und wie Datenschutzanforderungen bei der Implementierung von KI-Lösungen erfüllt werden können.

    Weiterlesen

  • KI im Recruiting

    KI im Recruiting: Chancen und Datenschutz-Risiken für Unternehmen

    Künstliche Intelligenz ist in aller Munde und wird längst auch in HR-Prozessen eingesetzt. Vor allem in der Personaladministration sind KI-Tools statistisch gesehen beliebt. Im folgenden Beitrag wollen wir die populärsten KI-Potenziale im Recruiting vorstellen und einen Überblick über deren Chancen, Risiken und Herausforderungen geben.

    Weiterlesen

Update-Hinweis: Seit dem 19. November 2020 liegt ein aktualisierter Referentenentwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (Zweites IT-Sicherheitsgesetz – IT-SiG 2.0) vor. 


Mit dem aktuellen Referentenentwurf für ein IT-Sicherheitsgesetz 2.0 sollen insbesondere die Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI) erheblich ausgebaut werden. In diesem Zusammenhang soll es auch ein Sicherheitskennzeichen für IT-Produkte geben. Neben erweiterten Pflichten für Betreiber Kritischer Infrastrukturen (KRITIS) ist auch vorgesehen, dass eine neue Gruppe an Unternehmen vom Anwendungsbereich des Gesetzes erfasst wird – sogenannte Unternehmen im öffentlichen Interesse. Nach den Regelungen des aktuellen Entwurfs müssten sich somit eine größere Anzahl an Unternehmen auf IT-sicherheitsrechtliche Vorgaben einstellen. Darüber hinaus sind auch für Telekommunikations- und Telemedienanbieter neue Vorgaben geplant.

Den Entwurf, der sowohl Zuspruch als auch Kritik erhalten hat, haben wir hier für Sie zusammengefasst. Aktuell wird mit einer Befassung des IT-Sicherheitsgesetzes 2.0 im Bundestag erst gegen Ende des Jahres gerechnet. Es bleibt insofern abzuwarten, wann und mit welchen Inhalten es tatsächlich zu einer Verabschiedung kommen wird.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Meldepflicht und Untersagung im Rahmen kritischer Komponenten

Erweiterte Anforderungen stellt der Entwurf an Betreiber kritischer Infrastrukturen (KRITIS-Betreiber) im Zusammenhang mit dem Einsatz „Kritischer Komponenten“, ein in § 2 Abs. 13 BSIG-E neu definierter Begriff. Solche sind IT-Produkte, die „in Kritischen Infrastrukturen eingesetzt werden und die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit Kritischer Infrastrukturen oder zu Gefährdungen für die öffentliche Sicherheit führen können“. Diese auf den ersten Blick vielleicht umständliche Formulierung ist recht offengehalten, sodass eine Vielzahl der Komponenten, die KRITIS-Betreiber für ihre IT-Infrastruktur einsetzen, davon erfasst sein dürften. Näheren Aufschluss darüber geben der Katalog von Sicherheitsanforderungen nach § 109 Abs. 6 TKG sowie ein weiterer Katalog, der noch vom BSI veröffentlicht werden soll.

Für den Einsatz dieser Kritischen Komponenten soll es eine Meldepflicht geben (§ 8a Abs. 3 S. 4 BSIG-E). Betreiber müssen demnach eine Liste aller IT-Produkte, die als Kritische Komponenten einzustufen sind, anfertigen und an das BSI übermitteln. Somit laufen wichtige Informationen über den Einsatz von Komponenten von einer Vielzahl von Unternehmen beim BSI als zentrale Stelle zusammen. Kritische Stimmen befürchten Analysen und Weitergaben dieser Informationen, zumal das BSI weiterhin eine dem Bundesinnenministerium nachgeordnete Behörde bleiben soll – viele Experten hatten ein vom Ministerium unabhängiges BSI gefordert.

Festgelegt ist in Bezug auf die Meldepflicht der Zweck, die IT-Sicherheit Kritischer Infrastrukturen zu sichern. Für Komponenten, für die eine gesetzlich vorgeschriebene Zertifizierung notwendig ist, müssen Betreiber zudem darauf achten, diese nur von „vertrauenswürdigen Herstellern“ zu beziehen: Der Betreiber muss vom Hersteller eine Garantieerklärung einholen, worauf anschließend die Vertrauenswürdigkeit geprüft wird. Sollte der Hersteller sich als nicht vertrauenswürdig herausstellen, kann die Nutzung seiner Komponenten untersagt werden (vgl. § 9b BSIG-E).

Pflichten für Unternehmen im öffentlichen Interesse

Gemäß dem Referentenentwurf soll über die Betreiber Kritischer Infrastrukturen hinaus eine neue Kategorie von „Unternehmen im besonderen öffentlichen Interesse“ aufgenommen werden. Gemäß § 2 Abs. 14 BSIG-E gibt es zur Einordnung in diese Kategorie drei Gruppen:

  1. Unternehmen nach § 60 Abs. 1 Nr. 1 bis 5 der Außenwirtschaftsverordnung (AWV), worunter aktuell Rüstungs-, Raumfahrt und IT-Sicherheitsunternehmen fallen.
  2. Unternehmen, „die aufgrund ihrer volkswirtschaftlichen Bedeutung und insbesondere ihrer erbrachten Wertschöpfung von besonderem öffentlichen Interesse sind“. Diese werden wie die anderen erst in einer Rechtsverordnung konkretisiert, die noch folgen wird.
  3. Unternehmen, die durch die Verordnung zum Schutz vor Gefahrstoffen reguliert werden, also insbesondere Chemieunternehmen.

Für Unternehmen, die in eine dieser Gruppen fallen, sollen nun erhöhte Anforderungen gelten, wenn auch geringere als an KRITIS-Betreiber. So müssen Unternehmen aus den Gruppen 1 und 2 gemäß § 8f BSIG-E dem BSI unter anderem mindestens alle zwei Jahre ein IT-Sicherheitskonzept vorlegen, aus dem hervorgeht, (1) welche informationstechnischen Systeme, Komponenten und Prozesse für die Wertschöpfung maßgeblich sind, (2) welche technischen und organisatorischen Vorkehrungen gegen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit dieser vorgenommen werden, und (3) inwieweit dabei der aktuelle Stand der Technik eingehalten wurde. Unternehmen der Gruppe 3 sind hiervon ausgenommen, sofern sie nicht zugleich auch in eine andere Gruppe fallen.

Schließlich treffen nach § 8b Abs. 4a, 4b BSIG-E Unternehmen im öffentlichen Interesse Meldepflichten gegenüber dem BSI bei bestimmten Störfällen der IT-Systeme, -komponenten oder -prozesse. Bei Chemieunternehmen gilt die Besonderheit, dass es vor allem um Störungen geht, aus der sich Gefahren für die öffentliche Sicherheit und Ordnung ergeben haben oder ergeben können.

Ausbau der Befugnisse des BSI

Kritik am Gesetzesentwurf entzündet sich unter anderem an dem geplanten Ausbau des BSI. Tatsächlich werden laut Entwurf allein für das BSI 583 neue Planstellen und Kosten von knapp 50 Mio. EUR pro Jahr veranschlagt. Bei aller Kritik ist aber festzuhalten, dass sich der Ausbau auf Verbraucherschutz und auf die Gefahrenabwehr im digitalen Raum bezieht. Vor dem Hintergrund, dass sich die Schäden durch Cyberangriffe konstant erhöhen, bereits auf 100 Mrd. EUR im Jahr beziffern und immer wieder Fälle von Cyberattacken auf Unternehmen oder politische Institutionen in die Medien kommen, muss man dies nicht nur kritisch sehen. So stellt nach dem Entwurf (vgl. § 5c BSIG-E) das BSI bei erheblichen Störungen auf IT-Systeme, also im Krisenfall für besonders wichtige Unternehmen oder Kritische Infrastrukturen, einen Gesamtplan für Reaktionsmaßnahmen auf und kann Daten übermitteln, notwendige Informationen von Unternehmen herausverlangen und Reaktionsmaßnahmen anordnen.

Ebenfalls eine weitreichende Befugnis ist die vorgesehene Durchsuchungsmöglichkeit öffentlich erreichbarer IT-Systeme zum Auffinden von Schadprogrammen, Sicherheitslücken und sonstigen Sicherheitsrisiken. Entsprechende Scans können nach § 7b BSIG-E auf allen Geräten, auf die über eine Internetverbindung zugegriffen werden kann, durchgeführt werden. Damit können alle möglichen Endgeräte von Verbrauchern genauso erfasst werden wie komplexe Geräte in Unternehmen. Auch wenn die Übermittlung von Informationen, die dem Fernmeldegeheimnis unterliegen, eingeschränkt ist, können sie doch in bestimmten Fällen an Strafverfolgungsbehörden und Nachrichtendienste übermittelt werden.

Schließlich darf das BSI nach dem Entwurf alle Arten von IT-Produkten und Systemen, die auf dem Markt angeboten werden oder auch nur dafür vorgesehen sind, untersuchen (vgl. § 7a BSIG-E), um seine Aufgaben zu erfüllen. Das BSI kann von den jeweiligen Unternehmen dazu notwendige Informationen, insbesondere zu technischen Details, anfordern und eine Nichtbeachtung mit Bußgeldern sanktionieren. Die Informationen können, wenn notwendig, auch an andere Behörden weitergegeben oder veröffentlicht werden.

Neue Vorgaben für Telekommunikations- und Telemedienanbieter

Neben den Veränderungen des BSIG sollen auch das Telemedien- (TMG) und das Telekommunikationsgesetz (TKG) überarbeitet werden. Auf jeweilige Anbieter kommen mit dem Entwurf Aufgaben im Rahmen der allgemeinen Cyberabwehr, bei laufenden und abgeschlossenen Angriffen zu. Anbieter sollen hier das BSI und andere Sicherheitsbehörden wie das BKA unterstützen. Die Mehrheit der Unternehmen, die im Internet Waren oder Dienstleistungen anbieten, müssten damit jederzeit auf entsprechende Vorgaben des BSI gefasst sein.

Für Telemedienanbieter kann nach dem neuen § 13 Abs. 7a TMG-E das BSI in begründeten Ausnahmefällen technische und organisatorische Maßnahmen anordnen, um etwa den Schutz personenbezogener Daten sicherzustellen, wenn so „eine konkrete Gefahr für Datenverarbeitungssysteme einer Vielzahl von Nutzern durch unzureichend gesicherte Telemedienangebote beseitigt werden kann“. Bestehen also beispielsweise Gefahren für das System eines Onlineshops durch Schadsoftware, kann das BSI dem Unternehmen entsprechende Maßnahmen vorschreiben. Allerdings ist hier zu beachten, dass es sich nicht um eine verbraucherschutzrechtliche Vorschrift handelt. Die Regelung gilt nur für den Schutz Kritischer Infrastrukturen und solcher des Bundes. Darüber hinaus besagt § 15b TMG-E, insbesondere als Konsequenz aus der Verbreitung gestohlener Daten verschiedener Politiker Ende 2018, dass, sobald ein Anbieter die unrechtmäßige Kenntniserlangung oder Verbreitung personenbezogener Daten oder Geschäftsgeheimnisse feststellt, er dies unverzüglich dem BKA melden muss. Das aber nur, wenn davon auszugehen ist, dass eine große Anzahl von Personen oder ein großer Datenbestand betroffen ist, Gefahren für Leib, Leben oder Freiheit angenommen werden oder wenn fremde Geheimnisse, vor allem Geschäftsgeheimnisse, die von einer amtlichen Stelle geheim gehalten werden, betroffen sind.

Für Telekommunikationsanbieter ist der neue § 109a Abs. 8 TKG-E vergleichbar. Ebenfalls zum Schutz der Kommunikationstechnik des Bundes, Kritischer Infrastrukturen, solcher im öffentlichen Interesse kann das BSI Maßnahmen wie die Bereinigung betroffener Datenverarbeitungssysteme von Schadprogrammen anordnen. Zudem müssen Anbieter in bestimmten Fällen und in geringerem Maße als Telemedienanbieter bei unrechtmäßiger Übermittlung oder Kenntniserlangung von Daten durch Dritte unverzüglich das BKA informieren (vgl. § 109a Abs. 1a TKG-E).

Das IT-Sicherheitskennzeichen

Zur Umsetzung des in § 3 Abs. 1 S. 2 Nr. 14 BSIG-E neu formulierten Ziels, öffentliche Stellen sowie Hersteller, Vertreiber und Anwender bezüglich der IT-Sicherheit zu beraten, zu informieren und zu warnen, soll das BSI in Zukunft ein freiwilliges IT-Sicherheitskennzeichen vergeben. Dieses Kennzeichen ist für Verbraucherprodukte und Dienstleistungen im IT-Bereich gedacht und soll deren IT-Sicherheit verständlich, transparent, einheitlich und aktuell darstellen. Es soll dafür aus zwei Komponenten bestehen:

  • Einer Herstellererklärung, in welcher der Hersteller das Vorliegen bestimmter IT-Sicherheitseigenschaften des Produkts für zutreffend erklärt. Für die Richtigkeit dieser Angaben ist allein der Hersteller verantwortlich und haftbar.
  • Einer Sicherheitserklärung des BSI, welche weiterführende Informationen zu den Sicherheitseigenschaften enthält, zu denen der Verbraucher über einen QR-Code gelangen kann. Diese Eigenschaften können sich aus Technischen Richtlinien des BSI oder branchenspezifischen Vorgaben ergeben, die das BSI für geeignet hält. Details werden in einer Rechtsverordnung geregelt.

Hersteller, die ihr Produkt mit einem IT-Sicherheitskennzeichen versehen möchten, müssen einen entsprechenden Antrag auf Nutzungsfreigabe beim BSI einreichen. Anhand eingereichter Herstellerdokumente wird daraufhin eine Plausibilitätsprüfung durchgeführt. Produkte, die ein Kennzeichen erhalten haben, überprüft das BSI regelmäßig auf ihre IT-Sicherheit. Die Ergebnisse sollen anschließend online und öffentlich zugänglich bereitgestellt werden. Der Begriff des Gütesiegels wird hier nicht mehr verwendet, da die Voraussetzungen dafür nicht gegeben sind. Während ein Gütesiegel die Prüfung objektiver Kriterien für die IT-Sicherheit durch eine unabhängige Stelle beschreibt, handelt es sich beim Sicherheitskennzeichen um eine freiwillige Selbstauskunft durch den Hersteller. Im Entwurf wird der Verzicht auf ein Siegel unter anderem damit begründet, da dieses nicht mehr als eine Momentaufnahme sein könne. Bei Sicherheitslücken eines Produkts, für das einmal ein Siegel vergeben wurde, würde das Vertrauen in das Instrument grundsätzlich in Frage gestellt. Dass das IT-Sicherheitskennzeichen nicht verpflichtend ist, liegt nach dem Entwurf daran, dass dies EU-rechtswidrig wäre. Daher setzt der Entwurf auf Freiwilligkeit und auf den Anreiz für Unternehmen, mit einem IT-Sicherheitskennzeichen Vertrauen bei den Kunden für die IT-Sicherheit ihrer Produkte zu schaffen.

Bußgelder deutlich erhöht

Besonders wichtig für Unternehmen: Die bisherige Höchstgrenze für Bußgelder lag bislang bei 100.000 EUR. Mit dem neuen Entwurf würde eine Anpassung an die Regelung der DSGVO erfolgen: Der geplante § 14 Abs. 2 ermöglicht Bußgelder in Höhe von bis zu 20 Mio. EUR oder bis zu 4 % des gesamten weltweit erzielten jährlichen Unternehmensumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher der Beträge der höhere ist. Sie können wegen fehlender Mitwirkung bei der Beseitigung von Störungen, Mängeln beim Sicherheitskonzept oder auch für ein nicht rechtmäßig verwendetes IT-Sicherheitskennzeichen verhängt werden.

Fazit

Mit dem Anstieg digitaler Lösungen und Vernetzungen und den damit verbundenen Bedrohungen durch Cyberkriminalität, ist ein Ausbau des BSI mit Sicherheit ein begrüßenswerter Schritt. Die Behörde sollte in der Lage sein, ihre Aufgaben in dieser Hinsicht umfassender wahrnehmen zu können. Auch der Ausbau des Verbraucherschutzes erscheint als konsequenter Schritt. Denn das BSI betont, wie ein zunehmend digitalerer Alltag die Sicherheitsrisiken erhöht. Insofern erscheint es sinnvoll, bereits die Produkte möglichst sicher zu gestalten. Das freiwillige IT-Sicherheitskennzeichen könnte hierbei ebenfalls eine wichtige Rolle spielen. Für die vom Gesetzesentwurf erfassten Unternehmen ist vor allem der drastisch erhöhte Bußgeldrahmen wichtig. Zur Absicherung ihrer kritischen und systemrelevanten Prozesse sollten diese deswegen frühzeitig ein Information Security Management System (ISMS) inklusive Notfallplanung einführen und fortlaufend optimieren.

Mehr zum Thema

  • NIS 2 Richtlinie

    Die Deadline naht: Machen Sie Ihr Unternehmen noch vor Oktober fit für NIS-2

    Mit der nahenden Deadline im Oktober für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS-2) stehen Unternehmen vor der Herausforderung, nicht nur gesetzliche Vorgaben zu erfüllen, sondern auch ihre eigenen Geschäftsprozesse und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern.

    Weiterlesen

  • Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

    In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.

    Weiterlesen

  • Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling

    In Zeiten zunehmender Cyberbedrohungen können Unternehmen durch die Mitigation von Datenschutzrisiken nicht nur sich selbst und ihre Beschäftigten vor Bedrohungen bewahren, sondern vor allem auch den Schutz ihrer Kund:innen effektiver gewährleisten. Ein Schlüsselelement der Risikoanalyse ist das sogenannte Threat Modeling. Wir erläutern, was Threat Modeling beinhaltet und wie es speziell in der Datenschutzberatung eingesetzt wird.

    Weiterlesen

Mit dem Begriff Datenschutzmanagementsystem (DSMS) wird häufig die Verwendung einer Software oder eines Tools assoziiert, mit dem sich der Datenschutz im Unternehmen koordinieren lässt. Unter einem Datenschutzmanagementsystem versteht sich zunächst jedoch lediglich die Gesamtheit aller erforderlichen Datenschutzmaßnahmen. Darunter fällt jede Art der Organisation von Datenschutz und Datensicherheit im Unternehmen, wie die Bestimmung von Zuständigkeiten, Arbeitsabläufen und Verhaltensweisen.

Die Datenschutz-Grundverordnung (DSGVO) nennt keine ausdrückliche Regelung zur Implementierung eines DSMS. Eine Erforderlichkeit leitet sich jedoch aus verschiedenen Vorgaben innerhalb der DSGVO ab. Unter diese Regelungen fallen insbesondere die allgemeinen Grundsätze wie Transparenz oder Zweckbindung, die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten, die Umsetzung und Dokumentation technischer und organisatorischer Maßnahmen sowie die Durchführung von Datenschutz-Folgenabschätzungen.

Anforderungen an ein Datenschutzmanagementsystem

Die Erforderlichkeit der Implementierung eines DSMS leitet sich vor allem aus der Rechenschaftspflicht gemäß Artikel 5 Abs. 2 DSGVO ab, nach der Unternehmen jederzeit die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten nachweisen können müssen. Weiter spiegelt sich die Notwendigkeit des DSMS in der Pflicht zur Umsetzung entsprechender Maßnahmen wider, um Datenverarbeitung im Unternehmen rechtskonform zu gestalten. Datenschutz kann nur funktionieren, wenn Prozessabläufe festgelegt, Verantwortlichkeiten definiert und entsprechende Kontrollmaßnahmen implementiert werden. Ein sauber aufgesetztes DSMS ermöglicht permanent die Überprüfung des Datenschutzstandards sowie eine flexible Anpassung an neue Entwicklungen und bildet die Gesamtheit aller datenschutzrechtlichen Maßnahmen:

1. Prozesse

Diese beinhaltet zum ersten die Prozesse, die zur Umsetzung der Anforderungen der DSGVO erforderlich sind. Wichtig ist die Erstellung und die Pflege eines Verzeichnisses von Verarbeitungstätigkeiten (VVT). Weiterhin sind Prozesse für die Wahrung der Betroffenenrechte erforderlich. Betroffenenanfragen, wie auf Auskunft oder Löschung personenbezogener Daten, müssen schnell und umfassend bearbeitet und ein Beschwerdemanagement implementiert werden. Dafür müssen Anfragen angenommen, überprüft, bearbeitet und dokumentiert werden. Darüber hinaus sollten Datenschutzvorfälle umgehend und gemäß der DSGVO-Vorgaben bearbeitet werden. Ein weiteres Beispiel ist die Umsetzung des Beschäftigtendatenschutzes, wozu auch regelmäßige Schulungen der Mitarbeiter zum Datenschutz gehören. Diese dienen dazu, Mitarbeiter dafür zu sensibilisieren, in welchen Fällen personenbezogene Daten verarbeitet werden dürfen und wann ein besonderes Risiko für die Verletzung der Vorgaben der DSGVO besteht. Dafür kann auch der Datenschutzbeauftragte herangezogen werden, der für die Einhaltung der DSGVO, auch durch die Unterrichtung der Beschäftigten über die DSGVO, verantwortlich ist. Schulungen ermöglichen es, in komprimierter Form, dieser Pflicht nachzukommen und ebenfalls den Nachweispflichten der DSGVO über den sicheren Umgang mit personenbezogenen Daten gerecht zu werden.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

2. Verantwortlichkeiten

Darauf aufbauend müssen die Verantwortlichkeiten festgelegt werden, damit die notwendigen Prozesse effektiv durchgeführt werden können. Hier ist es entscheidend, diese eindeutig zu definieren und eine klare Trennung der Verantwortlichkeiten auf der Team- oder Abteilungsebene vorzunehmen. Es empfiehlt sich dafür Datenschutzkoordinatoren zu benennen. Insgesamt sollte eng mit dem Datenschutzbeauftragten zusammengearbeitet werden. Das gilt vor allem, wenn ein erhöhtes Datenschutzrisiko besteht. Dies ist zum Beispiel im Kontext von Werbung ohne Einwilligung der Empfänger oder bei der Weitergabe von Kundendaten an externe Dienstleister der Fall. Auch die Einführung neuer Systeme oder Beschwerden von Einzelnen und Mitarbeitern sowie auch der Umgang mit Kundendaten, gehören zu diesen sensiblen Bereichen. Ebenso sind hier Tracking- und Scoring-Verfahren zu nennen.

3. Kontrollmaßnahmen

Die Verantwortlichkeiten und ganz besonders die einzelnen Prozesse im Unternehmen, sollten immer wieder kontrolliert werden. Eine regelmäßige Compliance-Prüfung ist erforderlich – etwa durch wiederkehrende Prüfprozesse oder interne Audits. Eine einmalige Festlegung von Prozessen und Verantwortlichkeiten ist ebenso wenig ausreichend wie nur punktuelle Kontrollen im Nachhinein.

Wichtigste Datenbasis für das Datenschutzmanagementsystem

Die DSGVO schreibt Unternehmen vor (Art. 30), ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Das Verzeichnis von Verarbeitungstätigkeiten kann schriftlich oder elektronisch geführt werden und ist den Aufsichtsbehörden auf Anfrage vorzulegen. In diesem Verzeichnis werden Zwecke, Kategorien, Empfänger und Umfang der Verarbeitung personenbezogener Daten niedergelegt. So bietet das Verzeichnis von Verarbeitungstätigkeiten einen guten Gesamtüberblick über die datenschutzrechtlich relevanten Prozesse im Unternehmen. Weiter kann über ein gut geführtes Verzeichnis von Verarbeitungstätigkeiten zugleich ein Lösch- und Fristensystem sowie der besondere Schutz (Verschlüsselung) der Daten dokumentiert werden.

Betroffenenrechte und Beschwerdemanagement

Auch der Umgang mit Betroffenenrechten stellt einen bedeutsamen Bestandteil eines effektiven DSMS dar. Dabei ist es vor allem wichtig, dass Betroffene zum einen in einer leicht verständlichen Sprache darüber aufgeklärt werden, wie ihre Daten verarbeitet werden (Transparenzgrundsatz) und zum anderen, welche Rechte ihnen zustehen (z. B. Recht auf Auskunft und Datenlöschung). Unternehmen müssen ein effektives System zum Umgang mit Betroffenenrechten einrichten, das u. a. konkrete Ansprechpartner und ggf. Tools für Betroffenenanfragen vorsieht, Lösch- und Fristensysteme beinhaltet und den technischen Vorgaben der DSGVO (etwa geeignete Schnittstellen für das Recht auf Datenübertragbarkeit zu schaffen) entspricht.

Datenschutzverstöße

Zum Datenschutzmanagement gehören auch innerbetriebliche Prozesse zum Umgang mit Datenschutzverstößen (meldepflichtig wie nicht-meldepflichtig). Mitarbeiter müssen dahingehend sensibilisiert werden, in welchen Fällen eine Datenverletzung vorliegen könnte und wie in einem solchen Vorfall das weitere Vorgehen gestaltet ist (wer muss wann und worüber informiert werden, wie erfolgt die Meldung gegenüber Aufsichtsbehörden und Betroffenen, etc.).

Mehr Effizienz mit digitalem Datenschutzmanagement?

In vielen Unternehmen wird das DSMS aktuell analog umgesetzt. Das bedeutet in den meisten Fällen: Dezentrale Dokumentation, intransparente Strukturen und keine klaren Verantwortlichkeiten. Das wiederum führt häufig zu großen Herausforderungen bei der Erfüllung der Rechenschaftspflicht und insbesondere zu Problemen im Change Management; also wenn in der Organisation Anpassungen (bspw. an Prozessen) vorgenommen werden, was mit einem enormen Aufwand verbunden sein kann. Um das zu vermeiden, können mit einem digitalen DSMS die Dokumentationen synchronisiert und zentralisiert werden. Eine zentrale Datengrundlage ist zudem mit einer geringeren Fehleranfälligkeit sowie einem minimierten Aufwand verbunden, erleichtert Compliance-Prüfungen und hilft bei der Erstellung detaillierter Risikoanalysen.

Um Unternehmen beim gesamten Datenschutzmanagement zu entlasten, ist die DSMS-Software caralegal von der ISiCO Datenschutz GmbH entwickelt worden. Als Anwendung unterstützt die KI-basierte Lösung bei der Umsetzung datenschutzrechtlicher Maßnahmen und automatisiert eine Vielzahl von Abläufen, bspw. die Erstellung von Risikoanalysen.
Die erforderlichen Prozesse und Verantwortlichkeiten können hier festgelegt und dokumentiert werden und auf einer übersichtlichen Datengrundlage lassen sich umfassende Kontrollmaßnahmen durchführen. Eine transparente, individuell anpassbare Nutzeroberfläche und sowie eine klare Rechteverteilung vereinfachten das Datenschutzmanagement und die Zusammenarbeit zwischen den unterschiedlichen Abteilungen.
Mit großen Kosten- und Zeitersparnissen bietet caralegal ein zuverlässiges Tool, um alle Anforderungen der DSGVO zu erfüllen.

Fazit

Ein effektives DSMS hat verschiedene Vorteile. Zum einen kann die Dokumentation und regelmäßige Überprüfung der Einhaltung der DSGVO-Vorgaben die Übersichtlichkeit fördern und zur Prozessoptimierung (nicht nur im Bereich des Datenschutzes) beitragen. Zum anderen wird ein klares und vollständiges DSMS von der DSGVO ausdrücklich als bußgeldminderndes Merkmal berücksichtigt und kann unter Umständen sogar dem Vorwurf fahrlässiger DSGVO-Verstöße ganz entgegenstehen. Zur Einführung eines effektiven DSMS können sich Unternehmen an den Vorgaben der DSGVO orientieren und insbesondere das Verzeichnis der Verarbeitungstätigkeiten als Ausgangspunkt für eine entsprechende Einführung eines DSMS heranziehen. Aufgrund der strengen Anforderungen der Datenschutz-Grundverordnung und der hohen Komplexität bei der Datenverarbeitung in Unternehmen, empfiehlt es sich für das Datenschutzmanagement, auf eine Softwarelösung zurückzugreifen, um Prozesse zu automatisieren und Workflows zu optimieren.

Mehr zum Thema

  • Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download

    Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.

    Weiterlesen

  • Datenschutzaudit – Erforderlichkeit, Ablauf, Umfang

    Die DSGVO sieht an vielen Stellen Kontrollmechanismen für Unternehmen vor, um regelmäßig zu überprüfen, ob die Vorgaben eingehalten werden und wo mögliche Risiken bestehen. Einer dieser Mechanismen ist das Datenschutzaudit. Wann und für wen ist es notwendig? Alles über Ablauf, Umfang und Notwendigkeit von Datenschutzaudits.

    Weiterlesen

  • Den Datenschutz im Griff: Die wesentlichen Aufgaben des externen Datenschutzbeauftragten (DSB) im Unternehmen

    Unternehmen sind heute mehr denn je gefordert: Sie müssen ein klares, kohärentes und konformes Konzept für den Umgang mit personenbezogenen Daten entwickeln und umsetzen. Hier kommt der externe Datenschutzbeauftragte (DSB) ins Spiel. Wir geben einen Überblick über die wichtigsten Aufgaben.

    Weiterlesen

Nach der DSGVO ist die Implementierung eines Datenschutzmanagementsystems (DSMS) nicht zwingend vorgeschrieben. Allerdings zeigt eine Gesamtschau ihrer Vorschriften, insbesondere:

  • Artikel 5 DSGVO (Grundsätze der Verarbeitung personenbezogener Daten)
  • Artikel 30 DSGVO (Verzeichnis der Verarbeitungstätigkeiten)
  • Artikel 32 DSGVO (Geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten, Nachweisbarkeit dieser Maßnahmen)
  • Artikel 35 DSGVO (Pflicht zur Datenschutz-Folgenabschätzung, bei Datenverarbeitungen mit hohem Risiko für Rechte und Freiheiten Einzelner)

dass ein effektives Datenschutzmanagementsystem essentiell ist, um die Vorgaben der DSGVO umzusetzen. In diesem Artikel sollen ein Überblick über die Anforderungen an ein effektives DSMS gewährt und Möglichkeiten zu dessen Einführung in Unternehmen präsentiert werden.

Anforderungen an das Datenschutzmanagementsystem

Vor allem aus Artikel 5 DSGVO lassen sich erste Anforderungen an ein effektives DSMS ableiten. Danach hat das DSMS v.a. die Rechtmäßigkeit, Zweckbindung (Daten sollen nur zu dem Zweck verarbeitet werden, zu dem sie auch erhoben wurden), Datenminimierung- und Datensparsamkeit, Integrität und Vertraulichkeit sowie die Rechenschaftspflicht von Unternehmen zu gewährleisten. Diese Ziele können nur erreicht werden, wenn Mitarbeiter für diese Ziele und mögliche Gefahren für diese Ziele sensibilisiert werden und wissen, an wen sie sich zu wenden haben, wenn Fragen oder mögliche Gefahren für personenbezogene Daten erkennbar werden.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Datenschutzbeauftragter und Schulungen

Zentraler Bestandteil eines DSMS sind daher der effektive Einsatz eines Datenschutzbeauftragten und die Schulung von Mitarbeitern. Letztere müssen dafür sensibilisiert werden, in welchen Fällen personenbezogene Daten verarbeitet werden und wann ein besonderes Risiko für die Verletzung der Vorgaben der DSGVO besteht. Dies ist zum Beispiel im Kontext von Werbung ohne Einwilligung der Empfänger oder bei der Weitergabe von Kundendaten an externe Dienstleister der Fall. Auch die Einführung neuer Systeme oder Beschwerden von Einzelnen oder Mitarbeitern oder der Umgang mit Kundendaten gehören zu diesen sensiblen Bereichen. Auch Tracking- und Scoring-Verfahren sind hier zu nennen.

Für die Sensibilisierung von Beschäftigten bieten sich besonders Schulungen der Mitarbeiter durch den Datenschutzbeauftragten an. Dieser ist für die Einhaltung der DSGVO unter anderem durch Unterrichtung der Beschäftigten über die DSGVO-Vorgaben verantwortlich. Schulungen ermöglichen es in komprimierter Form dieser Pflicht nachzukommen und zudem ebenfalls den Nachweispflichten der DSGVO über den sicheren Umgang mit personenbezogenen Daten gerecht zu werden.

PDCA-Zyklus: Prüfschleifen

Aus den Vorgaben von Artikel 5 DSGVO, insbesondere den Grundsätzen der Rechtmäßigkeit, Richtigkeit, Transparenz und Rechenschaftspflicht folgt für das DSMS, dass die Datenverarbeitung regelmäßig kontrolliert und dokumentiert und ergriffene Maßnahmen wieder überprüft werden müssen. Entsprechende Prüfschleifen können nach dem PDCA (Plan, Do, Check, Act) – Zyklus gestaltet werden. Danach muss der Verantwortliche v.a. technische und organisatorische Maßnahmen ergreifen, um ein angemessenes Datenschutzniveau zu gewährleisten und sicherstellen, dass die Wirksamkeit dieser Maßnahmen erhalten bleibt. Dafür bietet sich ein Verfahren in vier Schritten an:

  1. Spezifikation
    Erster Schritt im Rahmen eines effektiven DSMS sollte die Feststellung sein, in welchen Prozessen im Unternehmen personenbezogene Daten verarbeitet werden und daher im Rahmen des PDCA-Zyklus Prüfschleifen zu unterziehen sind. Dabei empfiehlt es sich rechtliche Soll-Werte im Sinne von rechtlichen Vorgaben der DSGVO wie dem Zweckbindungsgrundsatz mit funktionalen Soll-Werten z.B. im Sinne von konkreten Bündelungsmaßnahmen gegenüberzustellen. Auf diese Weise kann gewährleistet werden, dass Maßnahmen im Rahmen des PDCA-Zyklus prüffähig sind.
  2. Prüfen
    In diesem Schritt sollte zunächst ein Überblick darüber gewonnen werden, welche Informationen für eine Prüfung erforderlich sind. Hierbei ist für jeden funktionalen Soll-Wert ein tatsächlicher Ist-Wert (z.B. mittels anzufertigender Protokolldaten) zu bestimmen und mit dem Soll-Wert zu vergleichen. Die Ergebnisse sind dabei zu dokumentieren.
  3. Beurteilen
    Dieser Schritt charakterisiert sich v.a. durch die rechtliche Überprüfung der Einhaltung der Vorgaben der DSGVO. Dabei ist es wichtig nicht nur einzelne DSGVO-Verstöße zu erkennen, sondern zugleich einem risikobasierten Ansatz zu folgen. Es gilt also einzelne Prozesse im Unternehmen hinsichtlich ihres Risikos für DSGVO-Verstöße zu bewerten und bei entsprechend hohem Risiko bereits vor Verstößen mit Verbesserungsmaßnahmen zu beginnen.
  4. Verbessern
    Verbesserungsmaßnahem sollten bei den zuvor gewonnen Ergebnissen ansetzen, konkrete funktionale Maßnahmen beinhalten und zudem die Vorgaben von Artikel 5 DSGVO berücksichtigen, indem z.B. zur Umsetzung des Grundsatzes der Datensparsamkeit die zu verarbeitende Menge personenbezogener Daten reduziert wird. Dabei ist u.a. auf besonders riskante Datenverarbeitungen im Hinblick auf Betroffenenrechte und ebenso auf Management-Prozesse und technische Anpassungen einzugehen. Außerdem ist darauf zu achten, dass das DSMS mit ggf. vorhandenen Managementsystemen kompatibel ist und sich in Abläufe innerhalb des Unternehmens einfügt (dazu gehört auch eine Einbindung von interner Revision, Betriebsrat und Projektmanagement).

Verknüpfung von DSMS und Verzeichnis der Verarbeitungstätigkeiten

Die DSGVO schreibt Unternehmen das Führen eines Verzeichnisses der Verarbeitungstätigkeiten (VVT) vor. Das VVT kann schriftlich oder elektronisch geführt werden und ist den Aufsichtsbehörden auf Anfrage vorzulegen. In diesem Verzeichnis werden Zweck, Kategorie, Empfänger und Umfang der personenbezogenen Daten niedergelegt, die in einem Unternehmen verarbeitet werden. Überschneidungen zum DSMS werden deutlich. So kann die Einhaltung des Zweckbindungsgrundsatzes mittels des VVT leicht nachgewiesen werden. Beim Umgang mit besonders sensiblen Daten (Gesundheitsdaten, Bewerberdaten) kann im VVT zugleich ein Lösch- und Fristensystem sowie der besondere Schutz (Verschlüsselung) dieser Daten dokumentiert werden. Dadurch werden Prüfschleifen bezüglich dieser Daten erleichtert.

Ausgangspunkt für die Gestaltung eines VVT sind die Vorgaben von Artikel 30 DSGVO. Demgemäß müssen mindestens Name und Kontaktdaten des Verantwortlichen und seines Vertreters sowie des u.U. vorhandenen Datenschutzbeauftragten benannt werden. Weiterhin müssen Angaben zum Zweck der Datenverarbeitung, zu den Kategorien der verwendeten Daten, sowie zu Empfängern und möglichen Übermittlungen an Drittländer gemacht werden. Weiterhin ist dringend darauf zu achten, dass das VVT ein effektives Vertragsmanagement- und Dokumentationssystem beinhaltet, soweit durch Verträge personenbezogene Daten verarbeitet werden. Auch hier sollte ein besonderes Augenmerk auf die Übertragung von personenbezogenen Daten in Drittländer gelenkt werden.

Datenschutz-Folgenabschätzung

Eine Datenschutz-Folgenabschätzung (DSFA) ist immer dann erforderlich, wenn bei der Verarbeitung personenbezogener Daten ein hohes Risiko für die Rechte und Interessen Einzelner besteht. Sie ist damit ebenfalls wichtiger Bestandteil eines effektiven DSMS. Ein hohes Risiko kann etwa aus dem Umfang, der Art oder der Aktualität von Daten erwachsen. Auch die Art und Weise der Verarbeitung, bspw. die Verwendung neuartiger Technologien kann ein solches Risiko begründen. Wird ein solches Risiko festgestellt, so ist dieses in der Regel den Aufsichtsbehörden anzuzeigen und in Kooperation mit den Aufsichtsbehörden darauf zu reagieren. Die Prüfschleifen des PDCA-Zyklus ermöglichen dabei eine regelmäßige Beurteilung der ergriffenen Maßnahmen und der Risikoentwicklung. Unternehmen können sich dabei an den von den Aufsichtsbehörden zu erstellenden Positiv- und Negativ-Listen orientieren, in welchen aufgelistet ist, wann besonders hohe Risiken bestehen und damit Datenschutz-Folgenabschätzungen erforderlich machen und wann nicht.

Betroffenenrechte

Auch der Umgang mit Betroffenenrechte stellt einen wesentlichen Bestandteil eines effektiven DSMS dar. Dabei ist es v.a. wichtig, dass Betroffene zum einen in einer leicht verständlichen Sprache darüber aufgeklärt werden, was mit ihren Daten passiert (Transparenzgrundsatz) und zum anderen welche Rechte ihnen zustehen (z.B. auf Widerspruch und Löschung). Mögliches Medium zur Umsetzung dieser Vorgaben ist die Datenschutzerklärung, deren konkrete Ausgestaltung ebenfalls Bestandteil des DSMS ist. Damit diese Rechte aber nicht ins Leere laufen, müssen Unternehmen im Rahmen des DSMS ein effektives System zum Umgang mit Betroffenenrechte einrichten, das u.a. konkrete Ansprechpartner- und Tools für Betroffenenanfragen vorsieht, Lösch- und Fristensysteme beinhaltet und den technischen Vorgaben der DSGVO (etwa geeignete Schnittstellen für das Recht auf Datenübertragbarkeit zu schaffen) entspricht.

Meldepflichten

Die DSGVO verpflichtet Unternehmen im Falle von Datenpannen unverzüglich -spätestens innerhalb von 72 Stunden- die Aufsichtsbehörden zu informieren. Besteht ein besonders hohes Risiko für die Rechte Einzelner sind auch Betroffene zu informieren. Bestandteil eines effektiven DSMS sind demnach auch innerbetriebliche Prozesse zum Umgang mit diesen Meldepflichten. Insbesondere müssen Mitarbeiter wissen, in welchen Fällen eine Datenpanne vorliegen könnte, wann der Datenschutzbeauftragte zu informieren ist und wie die Meldung gegenüber Aufsichtsbehörden und Betroffenen zu erfolgen hat.

Fazit

Ein effektives DSMS hat verschiedene Vorteile. Zum einen kann die Dokumentation und regelmäßige Überprüfung der Einhaltung der Vorgaben der DSGVO die Übersichtlichkeit fördern und zur Prozessoptimierung (nicht nur im Bereich des Datenschutzes) beitragen. Zum anderen wird ein effektives DSMS von der DSGVO ausdrücklich als bußgeldminderndes Merkmal berücksichtigt und kann unter Umständen sogar dem Vorwurf fahrlässiger DSGVO-Verstöße ganz entgegenstehen. Zur Einführung eines effektiven DSMS können sich Unternehmen an den Vorgaben der DSGVO orientieren und insbesondere das Verzeichnis der Verarbeitungstätigkeiten als Ausgangspunkt für eine entsprechende Einführung eines DSMS heranziehen.

Mehr zum Thema

  • Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

    In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.

    Weiterlesen

  • Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download

    Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.

    Weiterlesen

  • Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling

    In Zeiten zunehmender Cyberbedrohungen können Unternehmen durch die Mitigation von Datenschutzrisiken nicht nur sich selbst und ihre Beschäftigten vor Bedrohungen bewahren, sondern vor allem auch den Schutz ihrer Kund:innen effektiver gewährleisten. Ein Schlüsselelement der Risikoanalyse ist das sogenannte Threat Modeling. Wir erläutern, was Threat Modeling beinhaltet und wie es speziell in der Datenschutzberatung eingesetzt wird.

    Weiterlesen

Gewinnspiele sind nach wie vor ein beliebtes Marketing-Mittel von (Online-)Händlern, um die Attraktivität des eigenen Unternehmens zu steigern. Mit der Durchführung eines Gewinnspiels gehen jedoch auch datenschutzrechtliche Risiken einher, denn die Erhebung und Verarbeitung personenbezogener Daten ist bei der Durchführung von Gewinnspielen quasi unvermeidbar.

Millionen-Bußgeld für die AOK Baden-Württemberg 

Wegen eines Verstoßes gegen die Vorgaben der europäischen Datenschutz-Grundverordnung (DSGVO) bei der Durchführung eines Gewinnspiels muss die AOK Baden-Württemberg nun ein Bußgeld in Höhe von 1,24 Millionen Euro zahlen. Grund dafür war ein Verstoß gegen die Pflichten zur sicheren Datenverarbeitung, die in Art. 32 DSGVO festgelegt sind. Die AOK verwendete personenbezogene Daten zu Werbezwecken ohne Vorliegen der dafür notwendigen Einwilligung zur Datenverarbeitung. Bei besagtem Gewinnspiel erhob sie die Kontaktdaten der Teilnehmenden und bei welcher Krankenkasse sie versichert waren. Grundsätzlich wollte die AOK Gewinnspiele zwar datenschutzkonform ausgestalten, was bedeutet hätte, nur die Daten der Teilnehmenden für Werbung zu verwenden, die in diese Verwendung auch eingewilligt hatten. Die von der AOK vorgesehenen internen Richtlinien und Schulungen waren jedoch nicht ausreichend, um dies sicherzustellen.

Welche Anforderungen gibt es im Hinblick auf die Verwendung personenbezogener Daten zu Werbezwecken?

Im Hinblick auf Werbemaßnahmen sind nicht nur die datenschutzrechtlichen Vorgaben von Bedeutung, sondern auch wettbewerbsrechtliche Regelungen zu beachten. Insbesondere regelt § 7 des Gesetzes gegen den unlauteren Wettbewerb (UWG), dass Werbung unzulässig ist, wenn sie von den Rezipierenden erkennbar nicht gewünscht ist. Weiterhin konkretisiert § 7 UWG, wann bei bestimmten Werbe-Kanälen (z.B. Telefon, E-Mail) immer von einer Belästigung ausgegangen werden muss. Werbung per Post kann ohne Einwilligung erfolgen, sofern die Empfangenden nicht „unzumutbar belästigt“ wird oder dem Anrufenden zu erkennen gegeben hat, dass er oder sie die Werbung nicht mehr wünscht. Etwas anderes gilt grundsätzlich für Werbung per Telefon oder elektronischer Post (E-Mail, SMS, Whatsapp etc.) – wie im Fall der AOK. Diese ist nur mit vorheriger, ausdrücklicher Einwilligung der Betroffenen erlaubt.

Eine Ausnahme für E-Mail-Werbung gilt nur unter den strengen Voraussetzungen der sog. Bestandskundenausnahme, nach denen Werbung unter Verwendung elektronischer Post ohne Einwilligung dann möglich ist, wenn alle der in § 7 Abs. 3 Nr. 1-4 UWG geregelten Voraussetzungen vorliegen: 

  1. Das Unternehmen hat die E-Mailadresse im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung erhalten, 
  2. das Unternehmen verwendet die Adresse ausschließlich für Direktwerbung ähnlicher Waren oder Dienstleistungen, 
  3. die Kundschaft hat der Verwendung nicht widersprochen und 
  4. der Kundschaft wird bei jeder Verwendung ein klar erkennbares Widerspruchsrecht eingeräumt. 

Fehlt nur eine dieser Voraussetzungen, greift die Ausnahmeregelung nicht und es muss eine ausdrückliche Einwilligung der Kundschaft eingeholt werden.

Was ist unabhängig von der Werbeform immer zu beachten?

Die Identität der Werbenden darf nicht verschleiert werden. Insbesondere der vollständige Name und die Adresse (kein Postfach!) müssen für die empfangende Person unmissverständlich erkennbar sein. Sofern eine Eintragung im Handelsregister vorliegt, ist der dort eingetragene vollständige Handelsregistername anzugeben. Darüberhinaus dürfen Werbeanrufe nicht mit unterdrückter Rufnummer durchgeführt werden. Außerdem muss der werbende Charakter eindeutig und sofort ersichtlich sein. Zudem muss die empfangere Person jederzeit die Möglichkeit haben, der werblichen Ansprache kostenlos zu widersprechen.

Was bedeutet das für die Teilnahme an Gewinnspielen?

Da mit der Durchführung eines Gewinnspiels zwingend die Erhebung und Verarbeitung personenbezogener Daten einhergeht, sind auch die datenschutzrechtlichen Vorgaben immer im Blick zu behalten. Neben den oben genannten Vorgaben gilt es darüber hinaus Folgendes zu beachten:

Das grundsätzliche Erfordernis des Vorliegens einer Einwilligung für eine werbliche Ansprache folgt aus § 7 UWG. Diese Einwilligung muss aber auch den inhaltlichen und formalen Anforderungen des Art. 6 Abs. 1 lit. a), Art. 7 DSGVO entsprechen.

Sofern keine Einwilligungspflicht nach § 7 UWG besteht (also etwa bei Bestandskundenwerbung oder Postwerbung), ermöglicht Art. 6 Abs. 1 lit. f) DSGVO die Datenverarbeitung ohne Einwilligung, wenn eine ausführliche Interessenabwägung zugunsten der Unternehmer ausfällt. Konkret erlaubt diese Vorschrift die Verarbeitung personenbezogener Daten, wenn sie „zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich“ sind, „sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“.

Ferner ist dem Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c) DSGVO Rechnung zu tragen. Danach muss jede Datenverarbeitung auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Das bedeutet, dass die personenbezogenen Daten nur erhoben werden dürfen, wenn sie für die Durchführung des Gewinnspiels erforderlich, d.h. unabdingbar, sind. Daneben ist der Grundsatz der Zweckbindung nach Art. 5 Abs. 1 lit. b) DSGVO zu beachten. Er stellt sicher, dass die Verarbeitung der personenbezogenen Daten nur zu dem vorab festgelegten Zweck – hier der Durchführung und Abwicklung eines Gewinnspiels – verarbeitet werden dürfen. Die Daten dürfen anschließend nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.

Das sog. Kopplungsverbot vs. „Daten gegen Leistung“

Als eine weitere Besonderheit bei der Durchführung von Gewinnspielen ist Art. 7 Abs. 4 DSGVO, das sog. Kopplungsverbot, zu beachten. Hintergrund der Regelung ist, dass eine Einwilligung grundsätzlich immer freiwillig abgegeben werden muss, d.h. ohne jeglichen Druck und Zwang. Problematisch bei der Teilnahme an Gewinnspielen ist, dass für die Verbraucher Anreize geschaffen werden, aufgrund derer die Verbraucher eher geneigt sind, der Verarbeitung von personenbezogenen Daten zuzustimmen, auch wenn diese Einwilligung gar nicht zwangsläufig erforderlich ist, um den eigentlichen Gewinnspielvertrag zu erfüllen.

Das bedeutet aber nicht, dass die Werbe-Einwilligung, z.B. für einen Newsletter, nicht trotzdem an die Teilnahme an einem Gewinnspiel gebunden sein darf. Wichtig ist grundsätzlich, dass die Teilnahme an dem Gewinnspiel und die Werbe-Einwilligung voneinander „entkoppelt“ werden. Das heißt, der Gewinnspielvertrag und die Abfrage der personenbezogenen Daten zwecks Werbe-Einwilligung werden getrennt voneinander abgefragt, sodass die „Entkopplung“ dieser beiden Vorgänge für die Verbraucher erkennbar ist.

Das OLG Frankfurt hat mit seiner Entscheidung vom 27.06.2019 (Az.: 6 U 6/19) jedoch zumindest nicht beanstandet, dass ein Gewinnspiel an die Preisgabe von Kontaktdaten zu Werbezwecken gebunden war. Danach können Gewinnspiele grundsätzlich auch unter Geltung der DSGVO in der Konstellation „Daten gegen Leistung“ durchgeführt werden. Das Schaffen bloßer Anreize schränkt die Wahlmöglichkeit der Betroffenen nicht ein und lässt daher die Freiwilligkeit seiner Einwilligung nicht zwangsläufig entfallen. Die Betroffenen können immer noch selbst entscheiden, ob sie  ihre Daten preisgeben, um an dem Gewinnspiel teilzunehmen oder nicht. Allerdings sollte hier klar sein, dass die Werbeeinwilligung im Gegenzug für die Gewinnspielteilnahme erteilt wird.

Was sind die Anforderungen an die datenschutz- und wettbewerbsrechtliche Einwilligungserklärung?

Grundsätzlich ist die Einwilligungserklärung formfrei, aber nichtsdestotrotz sollten die vorliegenden Anforderungen in jedem Fall beachtet und umgesetzt werden:

  • Einfache und verständliche Sprache verwenden
  • Die Einwilligung muss freiwillig erfolgen (Kopplungsverbot!)
  • Es muss klar hervorgehen, welche Produkte oder Dienstleistungen davon umfasst sind (keine Pauschal-Einwilligungen!)
  • Die Einwilligungserklärung muss zum Zeitpunkt der Datenerhebung und bis zum Zeitpunkt der Werbeaktion vorliegen 

Weitere Informationen zu den Einwilligungen nach DSGVO finden Sie hier.

Technische und organisatorische Maßnahmen

Im Fall der AOK Baden-Württemberg kam es zu einem solchen Datenschutzverstoß, weil die nach Art. 32 DSGVO verlangten technischen und organisatorischen Maßnahmen zur Herstellung der Sicherheit der Datenverarbeitung nicht ausreichten. Die AOK wollte u.a. mithilfe interner Richtlinien und Datenschutzschulungen sicherstellen, dass nur Daten solcher Gewinnspielteilnehmenden zu Werbezwecken verwendet werden, die zuvor wirksam eingewilligt hatten. Diese von der AOK festgelegten Maßnahmen genügten jedoch den datenschutzrechtlichen Anforderungen nicht, weshalb die personenbezogenen Daten von mehr als 500 Gewinnspielteilnehmenden ohne deren Einwilligung verwendet wurden.

Aus Art. 32 DSGVO leitet sich die Pflicht zur risikobasierten Implementierung von technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten ab. Art. 32 DSGVO selbst gibt hierfür erste Anstöße, welche Maßnahmen hier erforderlich sein können, etwa Pseudonymisierung oder Verschlüsselung. Die Auflistung ist beispielhaft und nicht als abschließend anzusehen. 

Zu den technischen Maßnahmen gehören sämtliche Maßnahmen, die die Sicherheit der eingesetzten IT-Systeme, bis hin zur Sicherheit eines Gebäudes, in dem sie sich befinden, gewährleisten. Beispielsweise zählen dazu die Verschlüsselung von Datenträgern, das Einsetzen einer Firewall und auch fenster- und Türsicherungen. Die organisatorischen Maßnahmen beeinflussen die Rahmenbedingungen der Verarbeitung, also alle Prozesse und nichttechnischen Maßnahmen. Beispiele hierfür sind die regelmäßigen Datenschutz-Schulungen und die Vertraulichkeitsverpflichtung der Mitarbeitenden sowie das „Vier-Augen-Prinzip“ für bestimmte Abläufe, Aufgaben oder Entscheidungen.

Die technischen und organisatorischen Maßnahmen sind auf Grundlage verschiedener Faktoren einzurichten. Dazu gehört die Berücksichtigung des aktuellen Stands der Technik sowie der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung von personenbezogenen Daten. Auch die Schwere des Risikos für die Rechte von betroffenen Personen sowie ihre Wirtschaftlichkeit und die Implementierungskosten können in die Abwägung miteinbezogen werden.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Dokumentationspflichten

Unternehmen müssen auf Kontrollen der Aufsichtsbehörden vorbereitet sein, denn Art. 5 Abs. 2 DSGVO normiert die sog. „Rechenschaftspflicht“. Diese Pflicht besteht aus zwei Bestandteilen: Die Verantwortlichkeit für die Einhaltung der in Art. 5 Abs. 1 DSGVO niedergelegten Grundsätze (u.a. die Datenminimierung und die Zweckbindung) und die Nachweispflicht über deren Einhaltung. Daraus folgt, dass auch eine erteilte Werbeeinwilligung nachgewiesen werden können muss, daher ist eine ordnungsgemäße Dokumentation der Einwilligungserklärungen unverzichtbar.

Ein Verfahren, um die Einwilligung im E-Mail-Kontext bestmöglich zu dokumentieren, ist das sog. Double-Opt-In-Verfahren. Hierbei wird zuerst die E-Mailadresse, die beworben werden soll, von den Betroffenen bei der Anmeldung (etwa zum Newsletter) angegeben („Opt-in“). Anschließend erhält die betroffene Person eine Bestätigungsmail, die einen Link enthält, der angeklickt werden muss. Dadurch wird noch einmal bestätigt („Double-Opt-in“), dass die E-Mailadresse verwendet werden und zukünftig Werbenachrichten erhalten darf. Vor allem kann dadurch auch sichergestellt werden, dass sich Personen nicht mit der E-Mailadresse eines unbeteiligten Dritten registriert.

Handlungsempfehlung & Fazit

Grundsätzlich gilt: Einwilligungen in Werbung per E-Mail oder Telefon können mit der Teilnahme an einem Gewinnspiel verknüpft werden. Die Kombination aus „Daten gegen Leistung“ ist möglich, denn die DSGVO sieht kein absolutes Kopplungsverbot vor.

Um eine praktische und rechtssichere Umsetzung zu gewährleisten, sind vor allem erhöhte Anforderungen an die Dokumentation und Bestimmtheit der Werbe-Einwilligung zu stellen:

  1. Die Einwilligung muss immer freiwillig erfolgen.
  2. Die Einwilligung muss eindeutig sein. 
  3. Das Double-Opt-In-Verfahren als eine sichere Maßnahme bei der Verwendung personenbezogener Daten muss durchgeführt werden. 
  4. Die Nachweisbarkeit der Einwilligung des Betroffenen muss sichergestellt werden.

Abschließend ist das Augenmerk auch immer auf die Implementierung der technischen und organisatorischen Maßnahmen zu richten. Denn an dem Beispiel der AOK Baden-Württemberg wird deutlich, dass deren Vernachlässigung teure Konsequenzen nach sich zieht. Alle Prozesse müssen so ausgestaltet sein, dass eine Verarbeitung entgegen der datenschutzrechtlichen Regelungen grundsätzlich nicht möglich ist und ihre Einhaltung überwacht wird. Nur durch eine sorgfältige und intensive Verhältnismäßigkeitsprüfung lassen sich technische und organisatorische Maßnahmen ordnungsgemäß einrichten. Jedes Unternehmen sollte hierzu seinen eigenen, spezifischen Maßnahmenkatalog entwickeln.

Wir beraten Sie und Ihr Unternehmen gerne bei der datenschutzkonformen Umsetzung von Gewinnspielen und der Werbung per E-Mail, Telefon und Post. Gemeinsam mit Ihnen klären wir, wie eine Werbeeinwilligung ausgestaltet wird und welche möglichen Risiken mit der Werbung verbunden sind. Sprechen Sie uns gerne an und wir unterstützen Sie dabei, Ihr konkretes Vorhaben DSGVO-konform umzusetzen.

Mehr zum Thema

  • Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

    In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.

    Weiterlesen

  • Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download

    Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.

    Weiterlesen

  • Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling

    In Zeiten zunehmender Cyberbedrohungen können Unternehmen durch die Mitigation von Datenschutzrisiken nicht nur sich selbst und ihre Beschäftigten vor Bedrohungen bewahren, sondern vor allem auch den Schutz ihrer Kund:innen effektiver gewährleisten. Ein Schlüsselelement der Risikoanalyse ist das sogenannte Threat Modeling. Wir erläutern, was Threat Modeling beinhaltet und wie es speziell in der Datenschutzberatung eingesetzt wird.

    Weiterlesen

Cookies beschäftigen weiterhin viele Websitebetreiber. Hinsichtlich der Einwilligung in die Nutzung von Cookies fällte der Bundesgerichtshof (BGH) am 28. Mai ein Grundsatzurteil. Zuvor veröffentlichte der Europäische Datenschutzausschuss (edpb) am 5. Mai seine Guidelines 05/2020 zur Einwilligung unter der Datenschutz-Grundverordnung (DSGVO), in denen er sein früheres „Working Paper 259“ aktualisierte und sich zur Frage der Zulässigkeit von Cookie-Walls und der Einwilligung durch Scrollen positioniert.

Ausgangspunkt: Freiwilligkeit der Einwilligung

Ausgangspunkt der Betrachtung, wie ein Cookie-Banner bzw. eine damit eingeholte Einwilligung gestaltet sein muss, ist die Freiwilligkeit der Einwilligung. In den Erwägungsgründen der DSGVO findet sich hierzu in Nr. 42, dass die betroffene Person die „echte oder freie Wahl“ haben müsse, um „die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden.“ Daraus folgt auch, dass die Zustimmung zu einer Datenverarbeitung im Rahmen der Einwilligung genauso einfach sein muss wie ihre Ablehnung. Dies lässt sich auch der Wertung des Art. 7 Abs. 3 S. 3 DSGVO entnehmen, wonach der Widerruf einer erteilten Einwilligung genauso einfach wie die Erteilung sein muss.

Darüber hinaus formuliert Art. 7 Abs. 4 DSGVO eine besondere Prüfungspflicht, wenn die Erbringung eines Vertrags (insbesondere einer Dienstleistung wie die Bereitstellung eines Webangebots) mit der Einwilligung in eine Datenverarbeitung gekoppelt wird, die für die Vertragserfüllung nicht erforderlich ist (auch als sog. „Kopplungsverbot“ bezeichnet).

Welche Positionen vertritt der Datenschutzausschuss?

Keine zulässige Einwilligung durch Scrollen, Wischen, etc.

Die Einwilligung ist eine eindeutig bestätigende Handlung (Art. 4 Nr. 11 DSGVO), mit der die betroffene Person ihre Zustimmung ausdrückt. Sie muss insbesondere unmissverständlich sein. Deswegen seien Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit unzulässig (Erwägungsgrund 32 S. 3 DSGVO).

Dieser klaren Formulierung folgend stellt der edpb noch einmal ausdrücklich klar, dass man durch Scrollen oder Wischen auf einer Website niemals („not under any circumstances“) eine wirksame Einwilligung im Sinne der DSGVO abgeben könne (Rn. 86). Denn in diesen Fällen sei nie klar, ob diese Aktivität tatsächlich vorgenommen wurde, um die Einwilligung zu erteilen, oder nur unwillkürlich oder aus anderen Gründen erfolgte. Dies ist spätestens seit dem Planet49-Urteil des EuGH gängige Ansicht und sollte im Zusammenhang mit Cookies auf jeden Fall beachtet werden.

Recht auf Zugang zu Webangeboten ohne Cookies

Der edpb formuliert in seiner jüngsten Aktualisierung das Recht der Websitenutzer, auch Zugang zu Webangeboten zu erhalten, wenn man der Nutzung von Cookies für Datenverarbeitung nicht zustimmt (Rn. 38 – „service provider cannot prevent data subjects from accessing a service on the basis that they do not consent“). Denn eine Einwilligung sei nicht freiwillig, wenn der Nutzer lediglich die Wahl hätte, das Angebot des einen Anbieters unter Zustimmung von Cookies anzunehmen oder sich einen alternativen Anbieter zu suchen. Dies widerspreche der DSGVO („fails to comply with the GDPR”).

Diese Ansicht des edpb ist vor dem Hintergrund der Privatautonomie umstritten. Denn es ist unklar, ob die DSGVO einen Anspruch auf Zugang zu Inhalten vermitteln soll. Es wird ebenso vertreten, dass der Websitenutzer die Wahl habe, das Angebot anzunehmen oder abzulehnen, indem er die Website eben nicht besucht. Hierzu wären klärende Gerichtsurteile wünschenswert.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Keine zulässige Einwilligung durch Cookie-Walls

Ausgehend von dem beschriebenen Zugangsrecht stellt sich der edpb auf den Standpunkt, dass Cookie-Walls, die ausschließlich die Möglichkeit zur Zustimmung zu Cookies bereithalten, um die Website zu betreten, unzulässig sind (Rn. 39 ff.). Der Websitenutzer habe in diesem Fall keine echte Wahl („is not presented with a genuine choice“), weshalb die Einwilligung nicht als freiwillig anzusehen sei.

Sind damit Modelle mit Bezahl-Alternative unzulässig?

Die Frage der Zulässigkeit von Cookie-Walls, bei welchen die Wahl zwischen der Zustimmung zu Cookies oder dem Bezahlen der Dienstleistung (etwa durch Abschluss eines Abos, bei dem die entsprechende Datenverarbeitung, insbesondere Tracking, unterbleibt) besteht, hat der edpb nicht eindeutig beantwortet. Er beschreibt lediglich, dass bei zwei Alternativen desselben Verantwortlichen für den Zugang zum Webangebot beide wirklich gleichwertig („genuinely equivalent“) sein müssten (Rn. 37).

Ob das bei den Bezahl-Alternativen der Fall ist, bleibt offen. In der Vergangenheit hatte in einem gleich gelagerten Fall die Österreichische Datenschutzbehörde das Bezahl-Modell von standard.at für zulässig erklärt, wobei betont wurde, dass die Bezahl-Alternative nicht mit beträchtlichen negativen Folgen verbunden sein dürfe. Der Preis für den Zugang zur Website dürfe nicht unverhältnismäßig teuer sein. In der Entscheidung der Behörde wurden dabei 6 Euro pro Monat als verhältnismäßig angesehen. Doch das ist nur eine Entscheidung bezogen auf den Einzelfall.

Da diese Entscheidung vor der Änderung der Stellungnahme der edpb erfolgte, ist fraglich, ob die Behörde erneut so entscheiden würde. Auch ist fraglich, ob und wie die deutschen Aufsichtsbehörden eine solche Bezahl-Alternative bewerten. Nachdem deutsche Nachrichtenseiten wie spiegel.de und zeit.de ein ähnliches Modell umgesetzt haben, wird es dazu hoffentlich bald auch eine Aussage deutscher Datenschutzbehörden geben.

Welche Aussagekraft hat die Position des edpb?

Der Europäische Datenschutzausschuss setzt Leitlinien und Empfehlungen für die Rechtsauffassungen der europäischen Aufsichtsbehörden in den Mitgliedsländern und soll deren Positionen vereinheitlichen. Die nationalen Datenschutzbehörden folgen dieser Linie grundsätzlich. Seine Position ist für sie verbindlich.

Allerdings sind seine Stellungnahmen nicht für Gerichte bindend. Diese entscheiden (nur) auf Grundlage des Gesetzes. Dabei werden die Erwägungsgründe der DSGVO, die Positionen der nationalen Aufsichtsbehörden und des Europäischen Datenschutzausschusses (edpb) allenfalls hilfsweise als Auslegungshilfe herangezogen.

Ausblick

Da sich jedoch die Aufsichtsbehörden daran orientieren, sollten diese neuen zwei (klargestellten) Aspekte des edpb beachtet werden, um möglichen Verfahren bei Aufsichtsbehörden vorzubeugen. Unter welchen Voraussetzungen Cookies genutzt werden können, klären wir detailliert in unserem kostenlosen Whitepaper.

Mehr zum Thema

  • Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

    In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.

    Weiterlesen

  • Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download

    Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.

    Weiterlesen

  • Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling

    In Zeiten zunehmender Cyberbedrohungen können Unternehmen durch die Mitigation von Datenschutzrisiken nicht nur sich selbst und ihre Beschäftigten vor Bedrohungen bewahren, sondern vor allem auch den Schutz ihrer Kund:innen effektiver gewährleisten. Ein Schlüsselelement der Risikoanalyse ist das sogenannte Threat Modeling. Wir erläutern, was Threat Modeling beinhaltet und wie es speziell in der Datenschutzberatung eingesetzt wird.

    Weiterlesen

Die Berliner Beauftragte für Datenschutz und Informationssicherheit hat sich in ihrer neuesten Stellungnahme vom 03. Juli 2020 sehr kritisch gegenüber der Verwendung einiger Anbieter von Videokonferenzdiensten geäußert. Gerade in der gegenwärtigen Corona-Krise sind aber die meisten Unternehmen auf Videokonferenz-Anbieter angewiesen, um ihr Geschäft auch aus dem Home-Office aufrecht zu erhalten. Der folgende Beitrag nimmt die Kritik der Behörde zu den Anbietern Microsoft Teams, Zoom und Webex aus datenschutzrechtlicher Sicht genauer unter die Lupe.

Microsoft Teams – Das wurde kritisiert

Zunächst ist wichtig, festzustellen, dass die Berliner Behörde sich in ihrer Stellungnahme nicht zu den technischen Aspekten oder zu den tatsächlich stattfindenden Verarbeitungen personenbezogener Daten äußert. Eine Prüfung, ob und welche Verarbeitungen personenbezogener Daten tatsächlich stattfinden und ob und in welche Maß diese den Vorgaben der Datenschutz-Grundverordnung („DSGVO“) entsprechen, scheint die Berliner Behörde nicht vorgenommen zu haben – anders als zum Beispiel die niederländische Aufsichtsbehörde zu Microsofts Software Office 365 ProPlus in ihrer diesbezüglichen Datenschutz-Folgenabschätzung.

Die Berliner Behörde gründet ihre Kritik vielmehr ausschließlich auf die datenschutzrechtlich entscheidenden vertraglichen Regelungen in den relevanten Verträgen zu Microsoft-Teams, nämlich auf die Regelungen im sog. „Data Processing Agreement“ („DPA“). Zu den einzelnen Kritikpunkten der Behörde wird im Folgenden Stellung genommen:

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

1. Nachträgliche Änderung des DPA

Die Berliner Behörde weist darauf hin, dass Microsoft den „Anhang zu den Datenschutzbestimmungen für Microsoft-Onlinedienste“ (Deutsch, Januar 2020) (im Folgenden: „DPA“) ohne Kennzeichnung im Juli dieses Jahres umfangreich geändert und dies seinen Kunden nicht mitgeteilt hat. Die stillschweigende Änderung stellt jedoch an und für sich kein datenschutzrechtliches Problem dar. Das DPA wird durch eine solche Änderung nicht zwangsweise unwirksam. Es ist vielmehr aus zivilrechtlicher Sicht zu prüfen, ob und inwieweit das jeweils aktualisierte DPA insbesondere in AGB-rechtlicher Sicht wirksam bzw. anwendbar und Vertragsbestandteil des Hauptvertrages wird.

2. Sprachliche Veränderungen

Die Berliner Aufsichtsbehörde moniert zudem zahlreiche Formulierungen im DPA. In der Stellungnahme von Microsoft vom 08.07.2020 erklärt das Unternehmen, dass es sich um Übersetzungsfehler handelt, die inzwischen behoben wurden. So z.B. die Formulierung, dass eine Löschung oder Rückgabe der Auftragsdaten nach Auftragsende nur auf Wunsch des Kunden vorgesehen sei (Anlage 3, Nr. 2 lit. g). Dies wurde von Microsoft nachgebessert und entspricht damit aktuell der Vorgabe des Art. 28 Abs. 3 lit. g DSGVO.

Die Berliner Behörde kritisiert zudem, dass in der Fassung des DPA vom 03. Januar 2020 das Weisungsrecht gem. Art. 28 Abs. 3 lit. a DSGVO eingeschränkt sei, da Ausnahmen nicht nur aufgrund des Unionsrechts oder des Rechts der Mitgliedstaaten, dem Microsoft unterliegt, vorgesehen waren, sondern auch Ausnahmen aufgrund des Rechts anderer Staaten möglich gewesen seien. Auch hierbei handelt sich jedoch lediglich um eine Ungenauigkeit in der deutschsprachigen Fassung des DPA, die auch auf einen Übersetzungsfehler seitens Microsoft zurückzuführen sein wird. Ebenso diese Passage wurde mittlerweile entsprechend angepasst, was die Aufsichtsbehörde selbst erwähnt. Damit besteht auch insoweit (jedenfalls mit der aktuellen Fassung des DPA) kein Verstoß gegen die DSGVO.

Zudem wurde eine Formulierung betreffend der Benachrichtigungspflicht bei einer Verpflichtung zur weisungswidrigen Verarbeitung von Microsoft aufgrund der Kritik der Aufsichtsbehörde angepasst. Entsprechend wurde der Begriff „die Gesetzgebung“ durch die Formulierung „betreffendes Recht“ ersetzt, worunter das weiter oben im DPA genannte Recht der EU oder des betreffenden Mitgliedsstaates zu verstehen ist.

Weiter hat die Berliner Behörde kritisiert, dass die Verpflichtung von Microsoft zur Meldung von Datenpannen nicht umfassend genug ausgestaltet sei. Microsoft hat auch hier gehandelt und den diesbezüglichen Übersetzungsfehler in der deutschsprachigen Fassung des DPA beseitigt.

3. Verarbeitung von Daten zu eigenen Zwecken

Drittens kritisiert die Berliner Behörde, dass Microsoft im Rahmen des DPA personenbezogene Daten auch zu eigenen Zwecken verarbeitet. Diese Verarbeitungen seien nicht von der Auftragsverarbeitung gemäß des DPA gedeckt und es fehle eine entsprechende Rechtsgrundlage für die Übermittlung von Daten durch die nutzenden Unternehmen an Microsoft.

Zweifelsohne ist der Text an dieser Stelle im DPA von Microsoft äußerst weit formuliert und ggf. nicht völlig transparent. Dies muss jedoch nicht notwendigerweise zur Unwirksamkeit des ganzen DPA führen. Eine Intransparenz könnte im Einzelfall auch lediglich dazu führen, dass die betreffenden Passagen aus AGB-rechtlichen Gründen als unwirksam einzustufen sein können. Der Vertrag an sich bliebe dann aber trotzdem wirksam. Diese Frage sollten Unternehmen gegebenenfalls im konkreten Einzelfall im Rahmen einer anwaltlichen Prüfung der zugrundeliegenden zivilrechtlichen Fragen prüfen lassen.

Im Übrigen nicht betrachtet und dementsprechend nicht umfassend bewertet hat die Berliner Behörde, welche konkreten Datenverarbeitungen in der Praxis diesen weiten DPA-Klauseln tatsächlich unterfallen und ob und inwieweit insofern tatsächlich eine Verarbeitung durch Microsoft außerhalb der Auftragsverarbeitung in eigener Verantwortlichkeit erfolgt. Insofern bleibt auch unberücksichtigt, ob und in welchem Maß verantwortliche Unternehmen eine solche Datenübermittlung an Microsoft durch die auch von anderen Aufsichtsbehörden empfohlenen Einstellungen und Konfigurationen von vornherein schon ausgeschlossen werden können. Dies sowie die Frage, ob jeweils im Hinblick auf die konkret betroffenen Datenarten und Verarbeitungszwecke nicht doch eine datenschutzrechtliche Rechtsgrundlage für eine Weitergabe dieser Daten an Microsoft als Verantwortlichen vorliegt, sollte von den Unternehmen, die Microsoft-Teams nutzen möchten, differenziert geprüft werden.

Aufgrund der Verarbeitung der Daten auch zu eigenen Zwecken zieht die Behörde zudem eine gemeinsame Verantwortlichkeit im Sinne von Art. 26 DSGVO in Betracht. Allerdings geht auch die Behörde nicht davon aus, dass hier ohne jeden Zweifel eine gemeinsame Verantwortlichkeit gegeben ist. Vielmehr spricht sie diese Möglichkeit lediglich an, ohne sich zu dieser Frage eindeutig zu positionieren. Ein Verstoß gegen Art. 26 DSGVO wegen Fehlens eines Vertrages über eine gemeinsame Verantwortlichkeit folgt hieraus also nicht zwangsläufig.


Mehr zum Thema:

Die Datenschutz-Folgenabschätzung am Beispiel von Microsoft 365 – ein Beitrag von Schürmann Rosenthal Dreyer Rechtsanwälte
Corona-Krise FAQ: Home-Office, Datenschutz & Co.


4. Vorrang der Bestimmungen der Anlage 3 des DPA

Ferner kritisiert die Berliner Behörde, dass das DPA unklare und nicht DSGVO konforme Bestimmungen enthalte. Die Kernbestandteile des im DPA enthaltenen Auftragsverarbeitungsvertrages in Anlage 3 zum DPA (den „DSGVO-Bestimmungen“, die gemäß DSGVO zwingend sind) würden damit umgangen. Dies letztlich vor allem deshalb, weil an keiner Stelle ein Vorrang der Bestimmungen der Anlage 3 zum DPA geregelt sei. Diese Kritik übersieht allerdings nach, dass sich eine solche Vorrangregelung aus Satz 2 der Anlage 3 ergeben kann. Denn dort ist geregelt, dass die Regelungen in Anlage 3 zum DPA unabhängig von anderen Bestandteilen des Vertrages für Microsoft in Bezug auf den Kunden bindend sind.

5. Vorrang der Standardvertragsklauseln

Die Aufsichtsbehörde moniert weiterhin, dass eine unzulässige Abwandlung der Standardvertragsklauseln („SCC“) vorliege. Allerdings spezifiziert die Berliner Behörde nicht, worin genau die inhaltliche Einschränkung der SCC liegen soll. Vielmehr zieht sie sich auf eine eher formale Argumentation zurück, wonach schon allein eine als Ergänzung der SCC bezeichnete vertragliche Regelung als unzulässige Beeinträchtigung der SCCs angesehen werden könne, auch wenn deren Vorrang sowohl im DPA selbst wie auch in den SCC klar festgelegt ist. Erwägungsgrund 109 DSGVO sieht zwar vor, dass Vertragsklauseln nicht im Widerspruch zu den SCC stehen dürfen. Ob jedoch ein Widerspruch der gerügten Regelung des DPA zu den SCC vorliegt, erscheint gerade aufgrund der bestehenden vertraglichen Regelungen zum Geltungsvorrang der SCC fraglich.

6. Form des Auftragsverarbeitungsvertrages

Schließlich kündigt die Aufsichtsbehörde an, auch die Form des DPA gem. Art. 28 Abs. 9 DSGVO bei eventuellen Prüfungen bei in Berlin ansässigen Unternehmen zu prüfen. Dies insbesondere im Hinblick auf die stillschweigenden Änderungen innerhalb des DPA. Ein Auftragsverarbeitungsvertrag („AVV“) kann allgemein auch in elektronischer Form geschlossen werden. Nach herrschender Meinung ist hier eine Textform mit einem Austausch von eindeutig gekennzeichneten Erklärungen ausreichend. Wir empfehlen jedenfalls, aufgrund der Nachweis- und Dokumentationspflicht, den Auftragsverarbeitungsvertrag samt Hauptvertrag (also insbesondere zusammen mit den Produkt- und Lizenzbestimmungen und den Online Service Terms) offline mit entsprechendem Zeitstempel zusammen mit den tatsächlich unterzeichneten Vertrags-Rahmendokumenten abzulegen.

Auch Zoom und Webex stehen in der Kritik

Ähnlich wie zu Microsoft-Teams fällt das Urteil der Berliner Aufsichtsbehörde im Hinblick auf die Video-Konferenztools Zoom und Webex aus. Auch hier sieht die Behörde Mängel im Auftragsverarbeitungsvertrag der Anbieter als gegeben an. Insbesondere seien in beiden Verträgen u.a. die Regelungen zum Einsatz von Unterauftragnehmern sowie die Regelungen zur Löschpflicht nach Vertragserbringung nicht mit dem durch Art. 28 Abs. 3 vorgegebenen Regelungsinhalt vereinbar. Die kritische Haltung gegenüber Zoom scheint fortzubestehen. Darüber haben wir bereits in einem vorherigen Artikel berichtet. 

Fazit und Handlungsempfehlung

Die gerügten Datenschutzmängel der Berliner Aufsichtsbehörde führen nicht zwangsläufig dazu, dass die Verwendung von den oben aufgeführten Videokonferenzanbietern in ihrem Unternehmen per se datenschutzwidrig ist. Im Hinblick auf Microsoft-Teams sollte allerdings vor allem im Einzelnen geprüft werden, insbesondere ob und inwieweit in diesem Rahmen personenbezogene Daten an Microsoft als Verantwortlichen außerhalb einer Auftragsverarbeitung übermittelt werden und inwieweit dies mithilfe der auch von anderen Datenschutzbehörden empfohlenen datenschutzfreundlichen Konfigurationen unterbunden werden kann. Soweit es dennoch zu einer Übermittlung personenbezogener Daten an Microsoft kommt, sollte differenziert geprüft werden, ob und inwieweit hierfür eine datenschutzrechtliche Rechtsgrundlage besteht.

Im Übrigen bleibt abzuwarten, ob sich weitere Aufsichtsbehörden der Kritik der Berliner Behörde anschließen.

Insgesamt ist die Ansicht der Berliner Datenschutzbehörde zwar zu beachten, sollte aber auch im Hinblick auf das einzelne Einsatzgebiet des Videokonferenztools differenziert betrachtet werden. Die Berliner Datenschutzbehörde empfiehlt in ihren Hinweisen ausdrücklich, vor der Einrichtung der Videokonferenzlösungen Datenschutzexperten prüfen zu lassen, ob die Verträge den gesetzlichen Anforderungen entsprechen. Hierzu sind sowohl eine Einzelprüfung als auch eine individuelle Beratung erforderlich. Gerne können wir Sie beraten und mit Ihnen prüfen, ob Ihr jeweiliges Videokonferenztool auch unter Berücksichtigung der Datenschutzbehörde einsatzbereit ist oder ob ggf. noch weitere Schritte erforderlich sind, um einen rechtmäßigen Einsatz des Videokonferenztools gewährleisten zu können.

Mehr zum Thema

  • Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

    In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.

    Weiterlesen

  • Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download

    Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.

    Weiterlesen

  • Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling

    In Zeiten zunehmender Cyberbedrohungen können Unternehmen durch die Mitigation von Datenschutzrisiken nicht nur sich selbst und ihre Beschäftigten vor Bedrohungen bewahren, sondern vor allem auch den Schutz ihrer Kund:innen effektiver gewährleisten. Ein Schlüsselelement der Risikoanalyse ist das sogenannte Threat Modeling. Wir erläutern, was Threat Modeling beinhaltet und wie es speziell in der Datenschutzberatung eingesetzt wird.

    Weiterlesen

Ziel

Dieses Whitepaper ist für Unternehmen ein Leitfaden, um Cookies rechtssicher und praxistauglich zu implementieren. Wir wollen Ihnen eine problemlose Zusammenarbeit mit internen und externen Rechts-, IT- und Marketing-Abteilungen sowie Beratern ermöglichen und Sie dabei unterstützen, eine optimale auf Ihr Geschäftsmodell angepasste Cookie-Lösung zu finden.

Aufbau und Inhalt

Im ersten Teil des Whitepapers geben wir Ihnen einen Überblick zu den rechtlichen Anforderungen und Hintergründen. Danach werden im zweiten Abschnitt praktische Gestaltungshinweise und Varianten für die Positionierung sowie Best Practices besprochen. Mit diesem Whitepaper wollen wir für Sie die Kooperation der verschiedenen Fachabteilungen und Experten erleichtern und zu einer gelungenen Umsetzung einer Cookie-Lösung in Ihrem Unternehmen beitragen.

Jetzt Downloaden

Laden Sie sich hier unser Whitepaper (PDF) zur DSGVO-konformen Umsetzung von Cookie-Bannern herunter!


Herausgeber

SCHÜRMANN ROSENTHAL DREYER Rechtsanwälte & ISiCO Datenschutz GmbH

Bereits 2019 traf der EuGH ein weitreichendes Urteil zur Nutzung von Cookies – und am 28. Mai 2020 folgte ein weiterer Paukenschlag durch den BGH. Wie sieht die jetzige Rechtslage aus? Welche aktuellen Ratschläge gibt es? Und was können wir für die Zukunft erwarten? Das beantwortet dieser aktuelle Ratgeber – inklusive kostenlosem Whitepaper zur Nutzung von Cookies!

Urteile von EuGH, BGH und Position der DSK

Was urteilte der EuGH?

Der Europäische Gerichtshof (EuGH) ist 2019 mit seinem Urteil zur Rechtssache „Planet49“ (Az.: C-673/17) im Wesentlichen den Schlussanträgen des Generalanwalts Szpunar gefolgt und entschied: Auch bei Cookies ist Opt-out für eine Einwilligung unzulässig, stattdessen ist ein echtes Opt-in erforderlich. Jedoch urteilte das Gericht nicht darüber, ob die Nutzung von Cookies in Deutschland immer auf eine Einwilligung gestützt werden muss. Dies blieb zu dem Zeitpunkt offen, weil bestimmte Regelungen der ePrivacy-Richtlinie bisher nicht im deutschen Telemediengesetz (TMG) umgesetzt wurden. Gleichwohl machte der EuGH deutlich, dass er bei richtiger Umsetzung der ePrivacy-Richtlinie von einer Einwilligungspflicht ausgehen würde.

Welche Aussagen trafen die Aufsichtsbehörden?

Die deutschen Datenschutzbehörden veröffentlichten März 2019 im Rahmen ihrer gemeinsamen Datenschutzkonferenz (DSK) eine Orientierungshilfe für Anbieter von Telemedien, in der sie sich intensiv mit der Nutzung von Cookies auseinandersetzten und ihre Ansicht zum Verhältnis zwischen der DSGVO und dem TMG erläuterten. Darin führten sie aus, dass insbesondere Art. 5 Abs. 3 der ePrivacy-Richtlinie weder in § 12 und § 15 Abs. 1 TMG noch in § 15 Abs. 3 TMG richtig umgesetzt worden sei. Außerdem komme weder eine richtlinienkonforme Auslegung des § 15 Abs. 3 TMG noch eine unmittelbare Anwendung der Richtlinie in Betracht.

Daraus folgerten die Aufsichtsbehörden, dass (nur) die DSGVO für die Nutzung von Cookies mit Personenbezug Anwendung finde. Hierbei machten die Datenschutzbehörden deutlich, dass sie insbesondere bei Tracking regelmäßig eine Einwilligung für erforderlich halten. Im November 2019 schärften viele Behörden zudem erneut ihre Position und erklärten, dass sie die Verwendung von Google Analytics ebenfalls nur mit Einwilligung als zulässig erachten. Einwilligungsfrei blieben ihrer Ansicht nach vorrangig Cookies und Tools, die für den Betrieb der Seite erforderlich seien – sie folgten damit der Intention der ePrivacy-Richtlinie.

Was urteilte der BGH?

Nach dem Urteil des EuGH hat nun der Bundesgerichtshof (BGH) eine Grundsatzentscheidung zu Cookies getroffen. Er hat verbindliche Regelungen zur künftigen Nutzung von Cookies in Deutschland und der Notwendigkeit einer Einwilligung getroffen: Seinem Vorlagebeschluss vom 05.10.2017 (Az.: I ZR 7/16, Rn. 13) folgend entschied der BGH am 28. Mai 2020, dass § 15 Abs. 3 TMG richtlinienkonform auszulegen sei und auch seit Geltung der DSGVO für Cookies Anwendung findet.

Demzufolge sei eine Einwilligung (Opt-in) zur Nutzung von Cookies notwendig, wenn diese Nutzungsprofile mithilfe eines Pseudonyms (etwa einer ID) erstellen und dem Zweck der Werbung oder Marktforschung dienen. Diese Einwilligungspflicht gilt unabhängig davon, ob mithilfe der Cookies personenbezogene Daten verarbeitet werden. Die Voraussetzungen und Anforderungen einer wirksamen Einwilligung sind dieselben wie nach Art. 4 Nr. 11 DSGVO. Vorangekreuzte Kästchen sind damit unzulässig.

Folge dieser Entscheidung ist, dass damit insbesondere für Nutzungsanalyse zum Zwecke der Werbung, wie etwa bei Google Analytics, sowie für personalisierte Werbung immer eine Einwilligung eingeholt werden muss.

Was ist eine Einwilligung?

Eine Einwilligung ist gemäß Art. 4 Nr. 11, Art. 7 DSGVO eine eindeutig bestätigende Handlung, die freiwillig, bestimmt, informiert und unmissverständlich die Zustimmung der betroffenen Person zur Datenverarbeitung zum Ausdruck bringt. Sie muss widerrufbar sein und nachgewiesen werden können.

Aufgrund dieser gesetzlichen Anforderungen schlussfolgerte der EuGH – im Einklang mit der Ansicht der Datenschutzbehörden –, dass nur ein aktives Handeln (Auswahl eines Ankreuzkästchens, Klick auf einen Button) eine Einwilligung darstelle. Die vielfach gebräuchliche Formulierung in Cookie-Bannern „Mit dem Weitersurfen stimmen Sie zu“ ist deshalb spätestens seit dem EuGH-Urteil hinfällig. Der BGH bestätigte diese Auffassung in seinem Urteil vom 28. Mai 2020.


Mehr zum Thema Cookies & Einwilligungen:


Ratschläge und Empfehlungen

Welche Cookies und Tools werden genutzt?

Für die juristische Bewertung von Cookies und vergleichbaren Tools kommt es stets auf die konkrete Datenverarbeitung, die Speicherdauer der Cookies und die Weitergabe der Daten an Dritte an. Es empfiehlt sich eine Bestandsaufnahme der auf der Website eingesetzten Cookies und Tools, um sie anschließend nach ihrer Notwendigkeit, der Art und der Intensität ihrer Datenverarbeitung einzuteilen. Überwiegend findet man so – neben notwendigen Cookies – eine Unterteilung der Cookies in Präferenzen, Statistik/Analyse und Marketing vor.

Wird immer eine Einwilligung benötigt?

Eine Einwilligung ist erforderlich, wenn die Voraussetzungen des § 15 Abs. 3 S. 1 TMG erfüllt sind und/oder die mithilfe von Cookies stattfindende Verarbeitung personenbezogener Daten nicht zur Wahrung der berechtigten Interessen erforderlich ist, weil die Art und der Umfang der Datenverarbeitung zu eingriffsintensiv sind. Der Anwendungsbereich des berechtigten Interesses erstreckt sich seit dem BGH-Urteil wohl nur noch auf notwendige Cookies sowie ggf. auf Cookies für Präferenzen (z. B. Schriftart, Design, Videoqualität) oder auf datenschutzfreundliche Reichweitenanalyse ohne Weitergabe der Daten an Dritte (wie z. B. mit den richtigen Datenschutzeinstellungen bei Matomo).

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Die Aufsichtsbehörden sehen den Anwendungsbereich des berechtigten Interesses dabei, wie oben aufgeführt, sehr eingeschränkt. Da sie jedoch letztendlich diejenigen sind, die im Zweifel Verfahren gegen Websitebetreiber eröffnen und ggf. Bußgelder verhängen können, muss ihre Ansicht im Zuge einer Risikobewertung besonders berücksichtigt werden. Auch wenn man sich darüber streiten kann, wann ein berechtigtes Interesse für die Nutzung von Cookies mit Personenbezug vorliegt, bleiben bei einem risikoarmen Ansatz wohl nur die notwendigen Cookies einwilligungsfrei. Stützt man sich (außerhalb des Anwendungsbereichs des § 15 Abs. 3 S. 1 TMG) auf berechtigte Interessen, ist es empfehlenswert, sich eingehender mit den von den Datenschutzbehörden aufgestellten Kriterien aus der oben erwähnten Orientierungshilfe für die Interessenabwägung zu befassen. Dabei ist jedoch fraglich, ob die Erwägungen der Orientierungshilfe seit dem BGH-Urteil noch der Ansicht der Aufsichtsbehörden entsprechen bzw. in Gänze weiterhin Bestand haben.

Letztendlich bleibt die Cookie-Thematik damit vorerst – abseits der eindeutigen Einwilligungspflicht aus § 15 Abs. 3 S. 1 TMG – auch weiterhin eine Abwägungsfrage.

Ist ein Cookie-Banner notwendig und wie gestaltet man es?

Inzwischen kann man eindeutig sagen: Ein Cookie-Banner wird immer gebraucht, wenn Cookies verarbeitet werden und § 15 Abs. 3 S. 1 TMG einschlägig ist oder wenn nicht lediglich notwendige Cookies verwendet werden. Gleichwohl kann man auch ein solches Banner, auch wenn darüber eine Einwilligung eingeholt werden soll, durchaus marketingtauglich ausgestalten, um weiterhin Daten zur Optimierung der Website und zur Personalisierung der Angebote zu erhalten. Wie ein Banner praxisgerecht gestaltet werden kann, welche Informationspflichten erfüllt werden müssen und wie man die technischen und juristischen Anforderungen einhält, zeigen wir in unserem kostenfreien Whitepaper.

Kostenloses Whitepaper zu Cookie-Bannern

Zukunft und Ausblick

Passende Werbung ohne Cookies und Einwilligung: semantisches Targeting

Bestimmte Browser blockieren bereits standardmäßig verschiedene Arten von Cookies und Tools, die insbesondere für personalisierte Werbung eingesetzt werden. Auch angesichts dieser Tatsache beginnen Werbeunternehmen über Technologien für das Targeting ohne Cookies nachzudenken, damit auch im Falle einer fehlenden Einwilligung relevante Werbeinhalte angeboten werden können. Hierbei könnte das sogenannte semantische Targeting eine alternative Lösung sein. Dieses versucht Werbeumfeld und Werbeinhalt thematisch aufeinander abzustimmen.

Dabei wird das Thema einer Seite durch Erfassung des gesamten Inhalts bestimmt, wobei die im Text enthaltenen Wörter zusammenhängend analysiert werden. Hierzu werden Bedeutungszusammenhänge und linguistische Beziehungen hergestellt sowie der Inhalt einem bestimmten Kontext zugeordnet. Mithilfe dieses Verfahrens können die Werbetreibenden dem Nutzer genau die passende Werbung anzeigen, die dem jeweiligen Thema entspricht, mit dem er sich gerade beschäftigt – ohne dass es einer Einwilligung oder des Einsatzes von Cookies bedarf.

Weil keine personenbezogenen Daten verarbeitet werden, ist diese Lösung bestmöglich mit der DSGVO vereinbar – denn semantisches Targeting fällt gar nicht erst in deren Anwendungsbereich. Zudem werden keine Nutzungsprofile erzeugt, weshalb § 15 Abs. 3 S. 1 TMG nicht anwendbar ist. Auch fehlplatzierte Werbeanzeigen werden durch die ganzheitliche semantische Auswertung verhindert. Könnte semantisches Targeting damit eine echte Alternative für die Werbebranche sein? Das wird die Zukunft zeigen.

Künftige rechtliche Entwicklungen für Cookies

Der deutsche Gesetzgeber möchte eine Gesetzesänderung des TMG vornehmen, um es (doch noch) den Anforderungen der ePrivacy-Richtlinie anpassen. Dabei ist zu erwarten, dass nach dieser Änderung eine Einwilligungspflicht für alle nicht notwendigen Cookies gesetzlich normiert wird, wie sie in der ePrivacy-Richtlinie vorgesehen ist. Zunächst wurde ein Entwurf der Gesetzesänderung noch für Herbst 2019 angekündigt. Bisher ist davon aber noch nichts Handfestes an die Öffentlichkeit gelangt. Vermutlich wollte der Gesetzgeber noch das Urteil des BGH abwarten.

Daneben ringen die Mitgliedsländer der Europäischen Union seit Jahren mit der neuen ePrivacy-Verordnung, die eigentlich zeitgleich mit der DSGVO den europäischen Rechtsrahmen festlegen sollte. Bisher konnten sich die Mitgliedsländer im Europäischen Rat aber nicht auf eine gemeinsame Position einigen. So wird damit gerechnet, dass die ePrivacy-Verordnung nicht vor 2023/2024 zur Anwendung kommt. Zuvor wird also der deutsche Gesetzgeber für die Nutzung von Cookies auf nationaler Ebene den gesetzlichen Rahmen festlegen.

Wir halten Sie an dieser Stelle fortlaufend auf dem aktuellen Stand und werden Sie informieren, wenn sich die Rechtslage zur Nutzung von Cookies ändert.

Individuelle Beratung zur Nutzung von Cookies

Gerne beraten wir Ihr Unternehmen bei der Verwendung von Cookies und ähnlichen Technologien. Wir zeigen Ihnen verschiedene Lösungsmöglichkeiten basierend auf einer auf Sie zugeschnittenen Risikoabwägung. Zusammen mit Ihnen besprechen wir die konkrete Umsetzung eines Cookie-Banners auf Grundlage einer Einwilligung und klären, welche Informationen Sie über Cookies und ähnliche Technologien mitteilen müssen. Unsere Datenschutz-Experten unterstützen Sie dabei, die Nutzung von Cookies und ähnlichen Technologien praxistauglich in Ihr Geschäftsmodell zu integrieren.

Mehr zum Thema

  • Alternativen Cookie Banner

    Alternativen zum klassischen Cookie-Banner – Paywalls, PUR-Modelle und PIMS

    Das Werbetracking bietet Telemedienanbieterinnen und -anbietern die Möglichkeit, den Nutzerinnen und Nutzern personalisierte Werbung auszuspielen und damit die Darstellung ihrer Inhalte zu finanzieren. Der folgende Beitrag untersucht die rechtlichen Herausforderungen personalisierter Werbung und zeigt praktische Lösungsansätze auf.

    Weiterlesen

  • Die wichtigsten Fragen zu Datenübermittlung an US-Dienste: Was bedeutet der neue EU-US Datenschutzrahmen für Unternehmen?

    Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss nach Artikel 45 Abs. 3 der DSGVO für die USA erlassen: Das „EU-US Data Privacy Framework“ (EU-US-Datenschutzrahmen). Damit stellt die Kommission nach dem vom EuGH im Juli 2020 gekippten Privacy Shield erneut fest, dass die USA ein angemessenes Schutzniveau für aus der EU übermittelte personenbezogene Daten gewährleisten können.

    Weiterlesen

  • Digitales Marketing und Datenschutz – Handlungsempfehlungen für E-Commerce-Unternehmen

    Gerade aufgrund des riesigen Online-Angebots für sämtliche Produkte und Dienstleistungen sowie der in der Vergangenheit aufgetretenen Datenschutzvorfälle bei großen Online-Händlern, kann effektiver und gut umgesetzter Datenschutz für E-Commerce-Unternehmen bei der Ansprache von Kund:innen ein unersetzliches Asset darstellen. Wir geben einen Überblick!

    Weiterlesen

Die Umstellung der Arbeit vom Büro ins Home-Office erfordert klare und verständliche Regelungen darüber, wie der Beschäftigte seinen Arbeitsplatz zuhause einrichtet und wie er von dort aus seiner Tätigkeit nachgeht. Dafür bieten sich schriftliche Vereinbarungen mit dem Beschäftigten speziell für das Home-Office an. In vielen dieser Vereinbarungen wird auch ein Zutrittsrecht bzw. Zugangsrecht des Arbeitgebers formuliert, um insbesondere den Datenschutz und die IT-Sicherheit zu kontrollieren. Doch ist das überhaupt zulässig? Wie muss so ein Zutrittsrecht des Arbeitgebers vertraglich ausgestaltet werden? Und welche Besonderheiten ergeben sich durch die Coronakrise? Das alles klären wir in diesem Beitrag!

Warum braucht der Arbeitgeber Zutritt zur Wohnung?

Der Arbeitgeber hat nach der Datenschutz-Grundverordnung (DSGVO) die Verantwortung über die rechtmäßige Verarbeitung personenbezogener Daten im Unternehmen zu tragen. Außerdem ist er für den Arbeitsschutz verantwortlich (z.B. für sog. Gefährdungsbeurteilungen). Innerhalb des Büros kann er diese Verpflichtungen leichter erfüllen, weil er direkt Einfluss auf die verwendete Technik, die technischen und organisatorischen Maßnahmen und die Arbeitsweise der Beschäftigten nehmen kann. Bei Beschäftigten im Home-Office ist er darauf angewiesen, dass diese die vereinbarten Regelungen einhalten und umsetzen – bleibt aber genauso verantwortlich wie bei der Arbeit im Büro. Deshalb muss der Arbeitgeber in der Lage sein, die Umsetzung der Regelungen und Vereinbarungen zu kontrollieren.

Warum ist eine spezielle Vereinbarung für die Kontrollen notwendig?

Kontrollen in der Wohnung des Beschäftigten sind jedoch nicht ohne Weiteres möglich. Der Beschäftigte hat das Hausrecht für seine Wohnung und darf entscheiden, wer sie betritt. Dieses Recht folgt aus der Unverletzlichkeit der Wohnung nach Art. 13 GG, ist also verfassungsrechtlich untermauert. Das Hausrecht wird zivil- und strafrechtlich im Bürgerlichen Gesetzbuch und dem Strafgesetzbuch geschützt. Es ist so insbesondere strafbar, ohne Zustimmung die Wohnung zu betreten (§ 123 Abs. 1 StGB). Deswegen existiert auch kein generelles Zutrittsrecht. Stattdessen muss der Arbeitgeber den Zutritt zur Wohnung des Beschäftigten vertraglich regeln und bedarf für das tatsächliche Betreten der Zustimmung aller Bewohner.

Darf der Beschäftigte trotz Vereinbarung den Zutritt verweigern?

Da das tatsächliche Betreten auch mit vorliegender Vereinbarung die Zustimmung aller volljährigen Bewohner erfordert, kann eine Kontrolle im Einzelfall trotzdem verweigert werden. Das folgt aus der bedeutsamen Stellung des Art. 13 GG. Allerdings bleibt es dem Arbeitgeber vorbehalten, bei einer Verweigerung trotz vorheriger vertraglicher Vereinbarung arbeitsrechtliche Konsequenzen festzulegen. Beispielsweise könnte er vereinbaren, bei einer Verweigerung des Zutritts den Beschäftigten anzuweisen, wieder im Büro zu arbeiten.


Mehr zum Thema:


Zu welchen Zwecken darf der Arbeitgeber Kontrollen durchführen?

Der Arbeitgeber darf nur zu den vorher vertraglich vereinbarten Zwecken Kontrollen durchführen. Nach der DSGVO darf (und soll) er Kontrollen zur Einhaltung des Datenschutzes und der IT-Sicherheit durchführen. Darüber hinaus hat er sich von der Umsetzung der Regeln zum Arbeits- und Gesundheitsschutz zu überzeugen. Bei den Kontrollen muss er sich jedoch auf das unbedingt Erforderliche beschränken und darf sie nur in angemessenem Umfang durchführen.

Zu welcher Zeit darf der Arbeitgeber Kontrollen durchführen?

Grundsätzlich darf der Arbeitgeber nur zu der Zeit Kontrollen im Home-Office durchführen, zu der der Beschäftigte seine häusliche Arbeitszeit hat. Er darf den Beschäftigten nicht zur Unzeit besuchen und muss seinen Besuch mit angemessener Frist vorher ankündigen. Diese Ankündigungsfrist muss auch in der vertraglichen Vereinbarung festgehalten werden. Unter Umständen kann jedoch in der Vereinbarung auch geregelt werden, in welchen außergewöhnlichen Situationen eine kürzere Ankündigungsfrist in Betracht kommt.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Wer außer dem Arbeitgeber benötigt noch Zutritt zur Wohnung?

Neben dem Arbeitgeber selbst sollte auch der Zutritt durch den betrieblichen Datenschutzbeauftragten und die Datenschutzaufsichtsbehörde in der vertraglichen Vereinbarung geregelt werden. Denn die Datenschutzaufsichtsbehörde hat nach Art. 58 Abs. 1 lit. f DSGVO, § 40 Abs. 5 BDSG das Recht, die Einhaltung des Datenschutzes zu überwachen. Und diese Überwachung muss auch im Home-Office möglich sein. Daneben kommen auch der betriebliche Beauftragte für Arbeitsschutz oder Betriebsratsmitglieder (vgl. § 80 Abs. 1 Nr. 1 BetrVG) als berechtigte Personen in Betracht. Die Vereinbarung sollte alle möglichen Personen klar benennen.

Wie müssen die Mitbewohner berücksichtigt werden?

Da alle volljährigen Mitbewohner zustimmen müssen, wenn der Arbeitgeber die Wohnung betreten will, sollte im Vorhinein auch von diesen eine vertragliche Zustimmung eingeholt werden. Dafür bietet es sich an, entsprechende Formulare bereitzustellen, die der Beschäftigte seinen Mitbewohnern zum Durchlesen und Unterschreiben gibt. Die unterschriebenen Formulare sollte der Arbeitgeber aufbewahren. Aber selbst mit diesen vertraglichen Zustimmungen gilt: Im Einzelfall können die Bewohner das tatsächliche Betreten weiterhin verweigern.

Entscheiden sich Mitarbeiter freiwillig für das Home-Office?

Die juristische Literatur stellt hinsichtlich der Eingriffe darauf ab, dass sich Mitarbeiter freiwillig für das Home-Office entscheiden und dann den Zutritt zur Wohnung für Kontrollen akzeptieren oder stattdessen doch im Büro bleiben können. Denn ein Recht auf Home-Office gibt es in Deutschland bisher nicht. Doch in der aktuellen Coronakrise könnte es an dieser Freiwilligkeit mangeln, wenn der Arbeitgeber keine andere Wahl hat, als seine Beschäftigten ins Home-Office zu schicken, und sie so faktisch zwingt, die Kontrollen zu akzeptieren. Wenn der Beschäftigte nur die Wahl hat, ins Home-Office zu gehen, ist es daher nicht letztlich geklärt, ob die Vereinbarung von Kontrollen zulässig ist.

Gibt es mildere Mittel?

Statt des Zugangs zur Wohnung sollte sich der Arbeitgeber auch über mildere Mittel Gedanken machen. Sofern bestimmte Aspekte des Datenschutzes und der IT-Sicherheit auch über eine Ferndiagnose mit demselben Ergebnis überprüft werden können, sollten diese Möglichkeiten bevorzugt herangezogen werden. Denn es ließe sich nicht rechtfertigen, dass der Arbeitgeber die Wohnung betritt, wenn er auf andere Weise und ggf. sogar mit geringerem Aufwand seiner Kontrollpflicht nachkommen kann.

Was darf der Arbeitgeber nicht kontrollieren?

Die Kontrolltätigkeit darf sich ausschließlich auf die Umsetzung der entsprechenden Regelungen des Datenschutzes, der IT-Sicherheit und des Arbeits- und Gesundheitsschutzes beziehen. Im Home-Office ist es jedoch wie im Büro gleichermaßen grundsätzlich verboten, den Beschäftigten umfassend zu überwachen. Sofern also Tools zur Ferndiagnose eingesetzt werden, darf sich deren Funktion nur auf die gesetzlichen Kontrollpflichten beziehen. Eine dauerhafte Überwachung der Tätigkeit des Beschäftigten im Home-Office ist grundsätzlich unzulässig.

Fazit

Der Arbeitgeber hat also viele Aspekte zu beachten, wenn es um die Einräumung eines Zutrittsrecht beim Home-Office geht. Deshalb ist es wichtig, alle relevanten Punkte in die Vereinbarung mit dem Beschäftigten aufzunehmen und sie so konkret wie möglich auszugestalten. Dabei sollte sich der Arbeitgeber aber auch stets des hohen Rangs der Unverletzlichkeit der Wohnung bewusst sein und die aus seiner Vereinbarung hervorgehenden Zutrittsrechte wirklich auf das absolut Erforderliche beschränken – oder bestenfalls mildere Alternativen nutzen.
Wir stehen für Sie als Ansprechpartner zur Verfügung und entwickeln mit Ihnen eine Vereinbarung zur Arbeit im Home-Office, die insbesondere das Zutrittsrecht des Arbeitgebers regelt. Sprechen Sie uns an und vertrauen Sie auf unsere Expertise im Datenschutz- und IT-Recht!

Mehr zum Thema

  • Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

    In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.

    Weiterlesen

  • Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download

    Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.

    Weiterlesen

  • Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling

    In Zeiten zunehmender Cyberbedrohungen können Unternehmen durch die Mitigation von Datenschutzrisiken nicht nur sich selbst und ihre Beschäftigten vor Bedrohungen bewahren, sondern vor allem auch den Schutz ihrer Kund:innen effektiver gewährleisten. Ein Schlüsselelement der Risikoanalyse ist das sogenannte Threat Modeling. Wir erläutern, was Threat Modeling beinhaltet und wie es speziell in der Datenschutzberatung eingesetzt wird.

    Weiterlesen

Praktisch die ganze Welt stellt mit Corona auf Home-Office um: Jedes Unternehmen, das seinen Betrieb nicht einstellen muss und die Arbeit vor Ort vermeiden kann, versucht den Heimarbeitsplatz seiner Mitarbeiter bestenfalls ganz so wie im Büro einzurichten. Eines der wichtigsten Elemente ist dafür das richtige Tool, um Videokonferenzen und -besprechungen abzuhalten. Denn Word und Outlook zu Hause zu verwenden, ist weniger eine Herausforderung als die Aufrechterhaltung des Austauschs mit Mitarbeitern oder externen Unternehmen, vor allem mit mehreren Personen in Konferenzen oder Meetings.

Mit seiner unkomplizierten Handhabung konnte der US-Dienst Zoom besonders punkten und kann stark ansteigende Nutzerzahlen verbuchen. Mittlerweile nutzen Zoom über 200 Millionen Menschen täglich. Doch gerade bei amerikanischen Anbietern werden Datenschützer schnell hellhörig, und tatsächlich ist vor allem Zoom zurzeit im Fokus einiger Kritik. Und CEO Eric Yuan selbst gibt zu, es in Sachen Datenschutz und Sicherheit bislang „wirklich vermasselt zu haben“. Für Unternehmen stellt sich daher die Frage, ob Zoom trotz seiner Vorzüge das Mittel der Wahl ist.

Zoom: Datenschutzchaos oder übertriebene Kritik?

Mängel in Bezug auf Datenschutz und Sicherheit sind bei Zoom an unterschiedlichen Stellen aufgefallen. So sortiert das Unternehmen seine Nutzer in Gruppen nach den E-Mail-Adressen, mit denen sich die Nutzer für den Dienst registrieren. Jeder Nutzer kann nun Namen, Adresse und gegebenenfalls vorhandene Profilbilder der teils völlig unbekannten Personen sehen, die sich in seiner Gruppe befinden. Hier hat Zoom allerdings bereits reagiert. Große Anbieter wie Google mit Gmail waren zwar ohnehin ausgenommen, doch inzwischen nimmt Zoom auch Anfragen an, um weitere Anbieter von dieser Einteilung auszuschließen.

Weiterhin wurde bekannt, dass Zoom umfangreiche Nutzerdaten an Facebook weitergeleitet hatte, etwa über Zeitpunkt und Dauer der Nutzung und über die verwendeten Geräte. In den USA wurden aus diesem Grund Behörden- und Klageverfahren angekündigt. Zoom hat auch hier gehandelt und nach eigenen Angaben die Weitergabe der Daten eingestellt. Ebenfalls beendet hat das Unternehmen nach Kritik das Feature Activity Tracker, mit dem überprüft und dem Administrator eines Meetings angezeigt werden konnte, ob ein Teilnehmer auch tatsächlich dem Gespräch folgt und nicht etwa ein Browserfenster oder ein anderes Programm offen hat.

Schließlich gab es Probleme mit den Kameraeinstellungen auf iOS-Geräten. Hier wurden ebenfalls Verfahren in den USA eingeleitet, da mit Zoom zugleich und weitestgehend unbemerkt eine Software mitinstalliert wurde, mit der die Kamerafunktion auch ohne die Zustimmung des Nutzers aktiviert werden konnte. Das war auch ein Einfallstor für Hacker. Auch diese Problematik scheint beseitigt, allerdings durch Maßnahmen von Apple selbst. Vorsicht ist aber dennoch geboten. Denn Experten gelang es, mit der Abfrage nach den Zugriffsrechten für Kamera und Mikrofon für Zoom diese Rechte für Schadsoftware gleich mit zu erhalten, was das Mitschneiden der Aufzeichnungen ermöglicht. Von Zoom heißt es, man arbeite an dem Problem. Da kommt es für das Unternehmen zu einem ungünstigen Zeitpunkt, dass zudem Hacker an die Login-Daten hunderttausender Zoom-Accounts gekommen sind. Ob dies aber explizit auf eine Sicherheitsschwachstelle zurückzuführen ist, blieb bislang unklar. Wer einen Zoom-Account besitzt, sollte jedenfalls sein Passwort ändern.

Insbesondere angekündigte und laufende Verfahren amerikanischer Behörden und Gerichte wie in New York und Kalifornien werfen angesichts dieser Vorfälle aus datenschutzrechtlicher Sicht kein gutes Licht auf die Zuverlässigkeit des Unternehmens. Dennoch ist zu bemerken, dass sich Zoom der Probleme schnell angenommen und diese weitestgehend beseitigt hat. Eine Bewertung, inwieweit dies tatsächlich gesehen hat, ist schwierig – Unternehmen sollten dafür die Verfahren verfolgen, die möglicherweise für Klarheit sorgen werden.

Keine angemessene Verschlüsselung bei Zoom?

Zoom behauptete, die sichere Ende-zu-Ende-Verschlüsselung zu verwenden. Das bedeutet: Die Nachrichten werden beim Versender verschlüsselt und erst beim Empfänger wieder entschlüsselt. Damit sind die Informationen über die gesamte Übertragungsstrecke hinweg von Ende zu Ende nicht für Dritte, nicht einmal für das Unternehmen, das die Anwendung für die Kommunikation anbietet, einsehbar. Gerade für Unternehmen ist das ein entscheidender Faktor.

Zumindest für die Kommunikation in Video- und Audiokonferenzen war das aber gar nicht der Fall, und Zoom hat die Aussage daher auch zurückgenommen. Kritiker bemängeln, dass es sich „nur“ um eine Transportverschlüsselung (TLS) handelt. Damit läge das andere Ende der verschlüsselten Übertragungsstrecke nicht beim Empfänger, sondern erst einmal bei einem Server von Zoom. Ob einem dies ausreicht oder die Risiken des Mithörens und Mitschneidens damit zu groß sind, muss im Einzelfall entschieden werden. Wenn dadurch Daten auf amerikanische Server von Zoom gelangen, ist das rein rechtlich allerdings zulässig. Datentransfers in die USA sind durch das Abkommen des Privacy Shields abgesichert, über das Zoom zertifiziert ist. Aber: Es kam ebenfalls heraus, dass Nutzerdaten auf chinesischen Servern verarbeitet wurden, weshalb Zoom für Behörden und Telekommunikationsunternehmen in Taiwan verboten wurde. Weitere bekannte Akteure, die Zoom inzwischen untersagt haben, sind das Raumfahrtunternehmen Space X und die US-Raumfahrtbehörde NASA.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Ein besonderes Problem: Zoom-Bombing

Ganz besonders für Aufsehen und sogar die Kreation eines eigenen Begriffs hat das sogenannte Zoom-Bombing gesorgt. Hier klinken sich Dritte heimlich in (öffentliche) Zoom-Konferenzen ein, indem sie die Meeting IDs ermitteln und dann ihren Bildschirm, meist schockierenden und provozierenden Inhalts, für alle Teilnehmer sichtbar teilen. Das FBI hat daher schon insbesondere vor der schulischen Verwendung gewarnt, da in den USA pornografische Inhalte und Hassreden unvermittelt eingeblendet wurden. In Schulen und Gottesdiensten waren auf einmal Nazisymbole zu sehen und bei einem Treffen der Anonymen Alkoholiker über Zoom Bilder trinkender Menschen.

Auch hier hat Zoom nachgebessert. Konferenzen können für weitere Teilnehmer gesperrt werden und nun wird für sie auch ein Passwort generiert, um unerwünschte Teilnehmer zu verhindern. Wer eine Einladung zu einem Meeting und die dazugehörige ID erhält, bekommt zusätzlich ein Passwort, das vor dem Eintritt abgefragt wird. Mit der Funktion „Warteraum aktivieren“ werden weitere Teilnehmer zunächst in einen Warteraum gesetzt und können nur mit der Erlaubnis des Administrators teilnehmen.

Auch zuvor war es für den Administrator eines Zoom-Meetings möglich, den Teilnehmern die Möglichkeit zu entziehen, ihren Bildschirm einfach mit den anderen zu teilen. Diese Konfiguration sollte man auch weiterhin vornehmen, ganz besonders wenn es sich um größere Konferenzen handelt, bei denen nicht auf einen Blick kontrolliert werden kann, wer alles teilnimmt.

Welche Möglichkeiten gibt es noch?

Vor diesem Hintergrund sollte man sich die Frage stellen, ob man nicht eine andere Anwendung verwenden kann. Ob diese ebenfalls den Ansprüchen an Funktionalität genügen, muss im Einzelfall entschieden werden. Es bleibt zu beachten, dass bei anderen Programmen ähnliche Probleme wie bei Zoom auftreten können.

Weit verbreitet sind vor allem Google Hangouts, für Apple-Nutzer Facetime und Microsoft Skype oder Teams. Gemeinsam haben diese Unternehmen allerdings ihre Herkunft aus den USA sowie eigene Diskussionen um unzureichenden Datenschutz. Von Skype wurde beispielsweise berichtet, dass Dritte Gespräche mitgehört haben sollen, und Google ist im Hinblick auf Datensammeln ohnehin nicht zurückhaltend. Relativ neu im Gespräch sind Anwendungen wie die freien Softwares Jitsi Meet und BigBlueBotton oder das norwegische Unternehmen Whereby, die auch mit mehr Sicherheit, Privatsphäre und Datenschutz werben. Ob diese Tools eine ausreichende Praktikabilität bieten, muss jeweils ausprobiert werden.

Trotz allem dürften sich die viele Unternehmen allein aufgrund der weiten Verbreitung der Anwendungen für US-Anbieter entscheiden. Daher gilt es, wegen der aktuellen Diskussionen um Zoom bei diesem Tool besonders, aber selbstverständlich auch bei allen anderen, alle Möglichkeiten auszuschöpfen, um die Nutzung so sicher wie möglich zu gestalten. Dazu gehört, die Sicherheits- und Datenschutzeinstellungen des jeweiligen Anbieters so weit wie möglich zu nutzen und auf die größtmögliche Sicherheitsstufe einzurichten.

Öffentliche Meetings sollten am besten vermieden werden. Bei Zoom sollten Meeting IDs für jedes Meeting gesondert erstellt und das Feature des Warteraums genutzt werden. Für eine besonders sichere Einstellung kann der Link zum Meeting getrennt vom Passwort versendet werden. Schließlich lässt sich in der Regel einstellen, welche Teilnehmer ihren Bildschirm teilen dürfen und welche nicht.

Fazit

Für das Tool Zoom ist nicht von der Hand zu weisen, dass es mit einigen datenschutzrechtlich relevanten Problemen zu kämpfen hat. Rechtlich gesehen ergibt ein Blick in die Datenschutzerklärung des Unternehmens, jedenfalls nach den neuesten Verbesserungen, nicht, dass es das Thema Datenschutz lockerer sieht als andere Anbieter von Tools für Videokonferenzen. Zudem ist festzuhalten, dass Zoom auf die Vorwürfe bislang schnell reagiert hat und allgemein betont, die Thematik Sicherheit und Datenschutz ganz oben auf die eigene Agenda gesetzt zu haben und die Schwachstellen in den kommenden drei Monaten zu beheben. Damit sind selbstverständlich nicht alle Probleme aus dem Weg geräumt, weshalb man sich über vertrauliche Informationen wie Geschäftsgeheimnisse nicht auf Zoom austauschen sollte – aber auch das dürfte für die allermeisten anderen Tools gelten. Für diejenigen, die das Tool aber nutzen wollen oder müssen, gilt: auf alle Sicherheitseinstellungen achten, das weitere Vorgehen von Zoom genau verfolgen und im Notfall auf die Nutzung doch verzichten, wenn es zu weiteren Vorfällen kommt.

Mehr zum Thema

  • Anonymisierung Pseudonymisierung

    Anonymisierung und Pseudonymisierung in der Praxis

    Wie der vermeintliche Widerspruch zwischen Datenschutz durch Pseudonymisierung und dem Nutzen personenbezogener Daten in der wissenschaftlichen Praxis bearbeitet werden kann, beleuchten wir in diesem Beitrag. Außerdem werfen wir einen Blick auf die besonderen Herausforderungen, denen Akteur:innen des Gesundheitswesens bei diesem Thema begegnen.

    Weiterlesen

  • Best of 2020: Diese 10 Blog-Artikel haben Sie im letzten Jahr am meisten interessiert

    Wie gewohnt starten wir das neue Jahr mit einem Rückblick: Welche Themen haben unsere Leserinnen und Leser im vergangenen Jahr am meisten interessiert? Welche Artikel wurden am häufigsten gelesen? Und welche spannenden Entwicklungen gab es im Bereich Datenschutz?

    Weiterlesen

  • Datenschutzkonformität von Microsoft Teams, Zoom und Webex

    Die Berliner Datenschutzbehörde hat sich in ihrer neuesten Stellungnahme kritisch gegenüber der Verwendung von Videokonferenzdiensten geäußert. Gerade in der Corona-Krise sind aber die meisten Unternehmen auf diese Anbieter angewiesen. Der folgende Beitrag nimmt die Kritik der Behörde zu den Anbietern Microsoft Teams, Zoom und Webex aus datenschutzrechtlicher Sicht genauer unter die Lupe.

    Weiterlesen

Wir melden uns bei Ihnen!

In unserer Datenschutzerklärung finden Sie weitere Informationen, wie wir mit Ihren personenbezogenen Daten umgehen und welche Rechte Sie haben.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.