9. April 2020

Datenschutz im Gesundheitswesen: Ein Überblick

Eines haben alle Themen, die mit Datenschutz im Gesundheitswesen zu tun haben, gemeinsam: Der Sicherheit personenbezogener Daten wird in erhöhtem Maße Rechnung getragen, da die maßgebliche Datenschutz-Grundverordnung (DSGVO) Gesundheitsdaten als besonders schützenswert einstuft. Denn wenn Ärzte mit falschen Daten der Patienten operieren oder persönliche Daten ungewollt in die Öffentlichkeit gelangen, bedeutet das erhebliche Verletzungen grundlegender Rechte und Freiheiten der Patienten oder anderer betroffener Personen. Ein wirksamer Datenschutz hilft daher, gerade auch im Zuge der Digitalisierung, das Vertrauen in den Health-Bereich zu erhalten und zu stärken.

Dafür hält die DSGVO einige datenschutzrechtliche Grundsätze, Betroffenenrechte und Instrumente wie die Datenschutz-Folgenabschätzung (DSFA) bereit. Die Bestimmungen der DSGVO können in der Praxis ganz unterschiedliche Anforderungen an verantwortliche Datenverarbeiter stellen. Je nachdem, in welchem Umfang mit Gesundheitsdaten gearbeitet wird, wie hoch das Risiko der jeweiligen Verarbeitungstätigkeit ist und in welcher Branche man sich befindet: Die Bedürfnisse an Datenschutz können in einem Krankenhaus ganz andere sein als im Pharmaunternehmen oder im Rahmen einer Studie in der Forschung.

Im Zuge der Digitalisierung des Gesundheitswesens im Allgemeinen und aktuell auch mit der Coronakrise im Speziellen ergeben sich auch für den Datenschutz neue Fragestellungen. Die Entwicklung und der Einsatz immer weiterer Technologien, Anwendungen und Kommunikationsmittel bietet eine Menge Vorteile, birgt aber auch (datenschutzrechtliche) Risiken. Ärztliche Untersuchungen im Videochat, Telemedizin, Atteste über das Internet und eine große Menge unterschiedlichster Health-Apps führen dazu, dass Gesundheitsdaten nicht einfach innerhalb einer Institution wie einem Krankenhaus verbleiben, sondern auf private Endgeräte, auf Server der App-Entwickler oder andere Orte gelangen.

In dieser Übersicht finden Sie daher wichtige Themen und datenschutzrechtliche Fragestellungen aus dem Umfeld Pharma und Health, die Sie über neue Entwicklungen informieren, vorhandene Probleme aufwerfen und selbstverständlich praktische Lösungsansätze vorstellen. Die Übersicht wird von uns fortlaufend aktualisiert.

Die einzelnen Themen:

Einen allgemeinen Einstieg in die Thematik bietet der Artikel über Digitalisierung im Gesundheitswesen und Datenschutz. Passt beides überhaupt zusammen, und wenn ja: wie lässt sich das eine mit dem anderen in der Praxis in Einklang bringen? Bei uns können Sie nachlesen, was die DSGVO dazu sagt und wie ihre Regeln auf Entwicklungen wie Gesundheitsapps, die elektronische Patientenakte oder Big Data angewendet werden.

Die DSGVO stellt teils strenge Anforderungen, wenn sensible Gesundheitsdaten verarbeitet werden. Speziell bei den bereits angesprochenen Health-Apps wie beispielsweise die gerne auch privat verwendeten Fitnesstracker ist das oft in erheblichem Ausmaß der Fall. Für die Unternehmen, die solche Apps anbieten oder auch nutzen, entstehen daher einige datenschutzrechtliche Herausforderungen. Welche das ganz konkret sind und mit welchen Maßnahmen man ihnen am besten begegnet, erfahren Sie in unserem Artikel über Health-Apps & Fitnesstracker.

Eine wichtige Maßnahme, die das Gesetz in bestimmten Fällen für die Sicherheit von Daten vorschreibt, ist die bereits erwähnte Datenschutz-Folgenabschätzung. Im Gesundheitsbereich muss sie häufig, aber nicht immer vorgenommen werden. Zwingend ist sie zum Beispiel, wenn Gesundheitsdaten „umfangreich“ verarbeitet werden. Was das bedeutet, welche Kriterien es noch gibt und was überhaupt darunter im Einzelnen zu verstehen ist, erläutert Ihnen unser Artikel zur Datenschutz-Folgenabschätzung im Health-Bereich.

Eine weitere Möglichkeit, mit den datenschutzrechtlichen Risiken umzugehen, die in der Gesundheitsbranche auftreten können, besteht in der Anonymisierung von Gesundheitsdaten. In der Theorie ist diese ein probates Mittel, um den Datenschutz im Krankenhaus oder im Rahmen einer medizinischen Studie zu erhöhen. Wir zeigen Ihnen, wann man von einer Anonymisierung im Sinne des Datenschutzrechts sprechen kann, in welchen Fällen sich eine Anonymisierung in der Praxis sinnvollerweise anbietet und mit welchen technischen Methoden sich ein rechtlich wirksames Ergebnis erzielen lässt.

(Noch) längst nicht so weit verbreitet wie Gesundheitsapps ist der Einsatz von Sprachassistenten im Gesundheitswesen. Zu den Gründen gehören mit Sicherheit auch Datenschutzbedenken. Über Risiken und Vorteile von Sprachassistenten im Health-Bereich berichtet unser Artikel – und natürlich auch darüber, was Kliniken, Ärzte und Co. beachten müssen, wenn sie sich für einen Einsatz entscheiden. Denn wenn Einwilligungen der betroffenen Patienten eingeholt sowie Schweige- und weitere Pflichten beachtet werden, sind Sprachassistenten auch im Gesundheitswesen durchaus möglich.

Krankenhäuser stehen ganz besonders im Fokus des Datenschutzrechts: Denn hier werden viel umfangreicher Patienten- und andere Gesundheitsdaten erfasst und verarbeitet als zum Beispiel in einer Arztpraxis. Die Ausgangslage ist oftmals auch eine andere als etwa im Rahmen einer medizinischen Studie, für die sich Probanden freiwillig melden. Den Patienten sind daher einige Rechte mitgegeben: Von der Schweigepflicht bis hin zum Auskunftsrecht erfahren Sie alles Wichtige in unserem Artikel über Datenschutzrecht im Krankenhaus.

Trotz aller Sicherheitsvorkehrungen und Vorsichtsmaßnahmen kann es natürlich dennoch einmal zu einem Datenschutzvorfall kommen. Wann ist die Schwelle erreicht, dass man von einem Datenschutzvorfall spricht und welche Konsequenzen drohen dann? Die Antworten auf diese Fragen und welche Maßnahmen dann am besten vorgenommen werden sollten, finden Sie in unserem Artikel zum Thema Datenschutzvorfall mit Gesundheitsdaten: Maßnahmen für Verantwortliche.

Mehr zum Thema

12. Juli 2023

Die wichtigsten Fragen zu Datenübermittlung an US-Dienste: Was bedeutet der neue EU-US Datenschutzrahmen für Unternehmen?

Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss nach Artikel 45 Abs. 3 der DSGVO für die USA erlassen: Das „EU-US Data Privacy Framework“ (EU-US-Datenschutzrahmen). Damit stellt die Kommission nach dem vom EuGH im Juli 2020 gekippten Privacy Shield erneut fest, dass die USA ein angemessenes Schutzniveau für aus der EU übermittelte personenbezogene Daten gewährleisten können.
Weiterlesen
22. März 2023

Joint Controller Agreement: Vorteile und Herausforderungen der gemeinsamen Verantwortlichkeit

Die Vereinbarung über die gemeinsame Verantwortlichkeit („Joint Controller Agreement“ oder auch kurz „JCA“ genannt) erscheint vielen Verantwortlichen in der Praxis noch immer als kompliziert und umständlich. Doch zu Unrecht: Mit der sorgfältigen Ausgestaltung des Agreements können verantwortliche Unternehmen von vielen Vorteilen profitieren, Effizienzgewinne durch vorausschauende Prozessgestaltung erzielen und ein entsprechendes effektives Risikomanagement betreiben.
Weiterlesen
7. März 2023

Anonymisierung und Pseudonymisierung in der Praxis

Wie der vermeintliche Widerspruch zwischen Datenschutz durch Pseudonymisierung und dem Nutzen personenbezogener Daten in der wissenschaftlichen Praxis bearbeitet werden kann, beleuchten wir in diesem Beitrag. Außerdem werfen wir einen Blick auf die besonderen Herausforderungen, denen Akteur:innen des Gesundheitswesens bei diesem Thema begegnen.
Weiterlesen

20. März 2020

Corona-Krise FAQ: Home-Office, Datenschutz & Co.

Das Coronavirus SARS-CoV-2 und die dadurch ausgelöste Lungenkrankheit COVID-19 hat zu umfangreichen Konsequenzen seitens der Regierungen geführt. Neben leeren Supermarktregalen und eingeschränktem gesellschaftlichen Leben stehen auch und gerade Unternehmen vor ganz ungewohnten Fragen. Hier bestehen oftmals Unsicherheiten, was angesichts einer solchen Sondersituation nun schon erlaubt, was noch verboten und was im Sinne der Fürsorgepflicht erforderlich ist. Wie lässt sich beispielsweise Home-Office rechtlich sicher einrichten? Welche neuen Herausforderungen stellen sich im Bereich IT-Sicherheit? Was muss die Unternehmensführung beachten und worauf müssen Mitarbeiter hingewiesen werden? Denn auch wenn der Kampf gegen die Pandemie im Vordergrund steht, sollten Unternehmen dennoch bedacht und rechtskonform vorgehen. In dieser Übersicht geben wir Antworten auf die wichtigsten Fragen.

Welche Maßnahmen und Datenverarbeitungen darf der Arbeitgeber zur Infektionsprävention durchführen?

Unternehmen müssen nun häufig zwischen der Fürsorgepflicht gegenüber ihren Mitarbeitern und deren Rechten, insbesondere in Bezug auf das Recht auf Schutz der personenbezogenen Daten, abwägen.
Für die nachfolgend als zulässig angesehenen Maßnahmen durch den Arbeitgeber kann Art. 6 Abs. 1 lit. c, Art. 9 Abs. 2 lit. b, Art. 88 DSGVO i.V.m. § 26 Abs. 3 S. 1 BDSG als Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten herangezogen werden. Daneben erscheint auch Art. 6 Abs. 1 lit. c, Art. 9 Abs. 2 lit. i, Art. 88 DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. c BDSG für die Datenverarbeitung zur Aufrechterhaltung der öffentlichen Gesundheit plausibel.
Viele Fragen sind jedoch noch nicht abschließend geklärt und es kursieren unterschiedliche Ansichten zur Zulässigkeit verschiedener Maßnahmen. Die hier formulierten Grundsätze bilden daher auf Grundlage der uns derzeit bekannten Informationen unsere aktuelle Empfehlung ab.

Dürfen Mitarbeiter zu ihrem Gesundheitszustand befragt werden?

Das Bundesgesundheitsministerium empfiehlt für Personen, die sich zuletzt in einem der Risikogebiete aufgehalten haben, unnötige Kontakte zu vermeiden und wenn möglich zu Hause zu bleiben. Wer Kontakt zu einer infizierten Person hatte, sollte ohnehin unverzüglich zum Arzt und Kontakte verhindern. Arbeitgeber können daher ein Interesse daran haben zu wissen, ob unter ihren Mitarbeitern solche Fälle vorliegen.
Eine anlassbezogene Befragung von Mitarbeitern nach Dienstreisen in einem der Risikogebiete oder wegen möglicher Kontakte zu Verdachtspersonen auf SARS-CoV-2 ist aufgrund der Fürsorgepflicht begründet und datenschutzrechtlich zulässig. Daneben können die Mitarbeiter natürlich auf freiwilliger Basis in Selbstauskunfts- oder Fragebögen Informationen zu ihren Aufenthaltsorten und möglichen Symptomen mitteilen. Nach Ansicht der französischen Datenschutzbehörde sei darüber hinaus auch die Verarbeitung von Mitarbeiter-Gesundheitsdaten zulässig, wenn ein Mitarbeiter durch eine offizielle Stelle positiv auf SARS-CoV-2 getestet wurde oder er bestätigten Kontakt zu einer positiv getesteten Person hatte.
Hingegen ist eine anlasslose, systematische Befragung aller Beschäftigten nach ihrem Gesundheitszustand unzulässig. Gleiches gilt für den Fall, dass ein Arbeitgeber pauschal Informationen über Symptome abfragt oder sich von anderen Mitarbeitern mitteilen lässt. Auch darf er nicht fragen, ob sich der Mitarbeiter während des Urlaubs in einem Risikogebiet aufhielt.

Sind Fiebermessungen vor dem Zutritt zum Arbeitsplatz zulässig?

Eine besonders gravierende Datenerhebung stellt die Fiebermessung mittels Thermometer oder Wärmebildkamera vor dem Zutritt auf das Gelände des Arbeitsplatzes dar, die von einigen Unternehmen derzeit angedacht wird.
Eine solche Maßnahme ließe sich allenfalls auf Art. 6 Abs. 1 lit. c, Art. 9 Abs. 2 lit. b, Art. 88 DSGVO i.V.m. § 26 Abs. 3 S. 1 BDSG stützen. Eine Rechtfertigung durch das Hausrecht würde bei Mitarbeitern zu kurz greifen und wäre allenfalls gegenüber betriebsfremden Personen möglich. Selbst dann wäre aber wegen der Verarbeitung besonderer personenbezogener Daten Vorsicht geboten – und es müssten natürlich die grundsätzlichen Informationspflichten gegenüber den Besuchern eingehalten werden.
Man könnte Fiebermessungen für zulässig erachten, wenn die Ergebnisse der Maßnahmen lediglich für die Entscheidung des Zutritts genutzt werden. Jedenfalls zulässig sind sie jedoch, wenn sie rein freiwillig und ohne Nutzungsverpflichtung sind. Auch für besonders empfindliche Bereiche eines Unternehmens, wo die Weitergabe der Infektion zum Stillstand des Unternehmens führen könnte, erscheinen solche Maßnahmen angemessen. Die Zulässigkeit dieser Maßnahmen ist dabei umso wahrscheinlicher, je mehr Verdachtsfälle oder tatsächlich Infizierte es bereits im Unternehmen gab.

Eine verpflichtende Fiebermessung für alle Mitarbeiter, deren Ergebnis etwa zur sofortigen Freistellung führen würde, ist unzulässig, auch weil die Temperatur kein geeignetes Kriterium zur Feststellung einer Infektion mit SARS-CoV-2 ist. Denn eine erhöhte Temperatur tritt beispielsweise auch bei der normalen Influenza auf.

Darüber hinaus sollte stets berücksichtigt werden, dass, selbst wenn allein mit dem Fiebermessgerät kein Personenbezug hergestellt werden kann und die Ergebnisse nicht dokumentiert werden, dennoch indirekt eine Zuordnung zu den entsprechenden Mitarbeitern, zum Beispiel durch Beobachtung oder Aufzeichnung durch Kameras möglich wäre.

Müssen Unternehmen über bestätigte Fälle im Unternehmen informieren?

Ja, Unternehmen müssen ihre Beschäftigten darüber informieren, wenn sich ein Mitarbeiter mit SARS-CoV-2 infiziert hat. Aber: Der Name des Infizierten darf dabei nicht genannt werden, da dies zu einer enormen Stigmatisierung führen kann

Müssen Mitarbeiter über ihre Ansteckung mit SARS-CoV-2 informieren?

Grundsätzlich müssen Mitarbeiter, die sich krankmelden, nicht die Art ihrer Erkrankung mitteilen. Lediglich Ärzte haben nach dem Infektionsschutzgesetz die Pflicht, eine Infektion mit SARS-CoV-2 an das zuständige Gesundheitsamt mitzuteilen. Allerdings dürfte eine Mitteilungspflicht gegenüber dem Arbeitgeber aufgrund der arbeitsrechtlichen Treuepflicht begründet sein. Denn nur dann kann der Arbeitgeber entsprechenden Maßnahmen gegen die weitere Ausbreitung des Virus ergreifen.

Arbeit im Home-Office: Was gibt es datenschutzrechtlich zu beachten?

Eine der sichtbarsten Veränderungen durch das Coronavirus SARS-CoV-2 ist die Einrichtung von Möglichkeiten zum Home-Office für die Mitarbeiter. Trotz Pandemiegefahr besteht selbstverständlich weiterhin der Grundsatz, dass die personenbezogenen Daten der Mitarbeiter zu schützen sind. Als datenschutzrechtlich Verantwortliche müssen Arbeitgeber diesen Schutz gewährleisten.

Welche Maßnahmen zur IT-Sicherheit sind notwendig?

Daher sollten ausreichende Sicherheitsmaßnahmen getroffen werden, um die personenbezogenen Daten der Mitarbeiter sowie Dritter zu schützen. Denn Home-Office bedeutet in der Regel auch erhöhte Sicherheitsrisiken, vor allem wenn Arbeitnehmer nicht allein wohnen.

Zu den Sicherheitsmaßnahmen gehören insbesondere:

Datenübertragungen sollten verschlüsselt erfolgen.
Der Zugang zum Firmenintranet sollte nur durch ein VPN-Netzwerk erfolgen.
Der Zugang zu Arbeitsgeräten sollte passwortgeschützt sein.
Das verwendete Arbeitsgerät sollte eine (automatische) Bildschirmsperre besitzen.
Nach Möglichkeit sollten Zwei-Faktor-Authentifizierungen eingesetzt werden.
Datenträger mit Firmendaten sollten verschlüsselt sein.
Eine Speicherung auf privaten Datenträgern sollte unterbleiben.

Aber auch außerhalb der IT gilt es, auf Datenschutz zu achten. Das umfasst insbesondere:

Vertrauliche Akten müssen bei Abwesenheit sicher eingeschlossen werden.
Das Arbeitszimmer sollte nicht von Unbefugten betreten werden und abschließbar sein.
Die Entsorgung von Akten muss sachgerecht erfolgen.

Da nicht alle Maßnahmen in der Hand des Arbeitgebers liegen können, sollten Mitarbeiter entsprechend zum Datenschutz im Home-Office verpflichtet und geschult werden. Im ersten Schritt gilt es, zunächst Informationen zusammenzustellen und die Mitarbeiter für das Thema zu sensibilisieren. Das ist umso wichtiger, wenn Home-Office im jeweiligen Unternehmen jetzt neu ist oder kurzfristig eingerichtet wurde.

Dürfen Mitarbeiter im Home-Office kontrolliert werden?

Angesichts geringerer Kontrollmöglichkeiten gegenüber ihren Mitarbeitern im Home-Office stellt sich für Unternehmen die Frage, inwieweit dieser Umstand wieder ausgeglichen werden kann. Im Rahmen des Beschäftigtendatenschutzes gilt § 26 BDSG: Ein Arbeitgeber darf personenbezogene Daten der Mitarbeiter ohne Einwilligung nur verarbeiten, wenn dies etwa für die Durchführung des Arbeitsverhältnisses erforderlich ist oder der Aufdeckung von Straftaten dient. Hier gelten die Grundsätze der Erforderlichkeit und Verhältnismäßigkeit von Maßnahmen, die für die Arbeit im Unternehmen genauso gelten wie für die Arbeit von zu Hause.
Für den Bereich Home-Office gibt es keine Spezialvorschriften, weshalb gilt: Weitergehende Kontrolle oder gar Überwachung allein durch den Umstand des Home-Office sind unzulässig und sollten daher ausbleiben. Arbeitgeber können sich allerdings Kontroll- und Zutrittsrechte vertraglich einräumen lassen. Ob das für temporäre Heimarbeit wegen SARS-CoV-2 sinnvoll ist, muss aber je nach Einzelfall entschieden werden. Grundsätzlich jedoch sollten die Kontroll- und Zugriffsrechte bei Home-Office – auch in Hinblick auf Datenschutzbeauftragte und Behörden – vertraglich mit den Mitarbeitern geregelt werden. Im Übrigen sind die Mitarbeiter im Home-Office natürlich auch zur Vertraulichkeit zu verpflichten.

Fazit und Empfehlung

Das Coronavirus SARS-CoV-2 führt bei Arbeitnehmern und Arbeitgebern gleichermaßen zur Verunsicherung und ist mit kurzfristigen Maßnahmen und Anpassungen verbunden. Sofern sich Unternehmen entscheiden, ihre Mitarbeiter besser im Home-Office arbeiten zu lassen, um so den Kontakt zwischen den Mitarbeitern und Kunden zu reduzieren, empfehlen wir diesen, ihre Mitarbeiter für die wesentlichen Aspekte im Home-Office zu schulen. Zum Home Office bietet lawpilots einen entsprechenden interaktiven Schulungskurs für Mitarbeiter an, der die wesentlichen Grundlagen anschaulich vermittelt.
Den lawpilots Kurs zu Covid-19 möchten wir Ihnen kostenlos anbieten. Lawpilots ist als Legal-Tech-Unternehmen in enger Kooperation mit der Rechtsanwaltskanzlei Schürmann Rosenthal Dreyer Rechtsanwälte und dem Beratungsunternehmen ISiCO Datenschutz entstanden. Damit verfügt es über die Expertise, Datenschutzwissen zu vermitteln.

Sofern Sie weitergehende Fragen zum Datenschutz im Beschäftigungsverhältnis haben oder Home-Office in Ihrem Unternehmen einführen oder etablieren wollen, helfen wir Ihnen gerne, die entsprechenden Maßnahmen zu ergreifen, Richtlinien zu entwickeln und so die datenschutzrechtlichen Anforderungen einzuhalten.

5. März 2020

Grenzüberschreitende Datenübermittlung: Zulässigkeit und Möglichkeiten

Konstellationen, in denen Daten grenzüberschreitend verarbeitet werden, spielen in der Praxis eine bedeutende Rolle und nehmen stetig zu. Die Übermittlung personenbezogener Daten aus in der EU ansässigen Unternehmen in Drittländer als solche ist allerdings nur unter besonderen Voraussetzungen zulässig. Sichergestellt werden soll dabei im Grundsatz die Einhaltung eines angemessenen Datenschutzniveaus. Dazu werden verschiedene Instrumente angeboten und es sind sogar Ausnahmen vorgesehen. Nicht alle eignen sich aber gleichermaßen für Unternehmen in der Praxis und bei der Auswahl sind verschiedene Risiken bei der Umsetzung einzubeziehen.

Zwei-Stufen-Prüfung

Drittländer sind solche Länder, die weder Mitglied der EU, noch des Europäischen Wirtschaftsraums sind, wie zum Beispiel die USA. Die Länder des Europäischen Wirtschaftsraums Island, Liechtenstein und Norwegen sind keine Drittländer, da hier die DSGVO unmittelbar gilt und somit die Anforderungen an das Datenschutzniveau wie in Ländern der EU erfüllt werden.

Ob Sie als Unternehmen einen externen Hosting-Anbieter mit Servern in einem Drittland oder auch nur eine Software nutzen, in deren Rahmen personenbezogene Daten in ein solches Land übermittelt werden – zur Prüfung der Datenschutzkonformität ist nach Art. 44 DSGVO eine so genannte „Zwei-Stufen-Prüfung“ erforderlich. Auf der ersten Stufe ist unabhängig der Vorschriften der in den Art. 45 ff. DSGVO geregelten Datenübermittlung in Drittländer die Einhaltung der Anforderungen der Datenschutz-Grundverordnung und dabei insbesondere die Rechtmäßigkeit der Verarbeitung zu überprüfen. Sofern diese gegeben ist, folgt dann auf der zweiten Stufe die Prüfung der spezifischen Anforderungen der Datenübermittlung in Drittländer nach den Art. 45 ff. DSGVO.

Der Begriff der Übermittlung ist dabei sehr weit zu verstehen und umfasst jegliche Offenlegung von personenbezogenen Daten gegenüber Empfängern in Drittländern. Nicht nur etwa die Speicherung oder weitere Verarbeitung von Daten auf Servern im Drittland, sondern bereits die Abrufbarkeit von Daten in einem Drittland oder die Zugänglichmachung kann eine solche darstellen. In Fällen der Verarbeitung personenbezogener Daten, in denen ein Drittland beteiligt ist, muss folglich sorgfältig deren Zulässigkeit geprüft werden.

Verschiedene Instrumente

Die Datenschutz-Grundverordnung sieht verschiedene Instrumente vor, mit denen die zweite Stufe der Übermittlung datenschutzkonform gestaltet werden kann. So kann die Europäische Kommission nach Art. 45 DSGVO Angemessenheitsbeschlüsse erlassen, mit denen sie den Drittländern ein angemessenes Schutzniveau attestiert. Angemessen ist das Schutzniveau dann, wenn es der Sache nach dem innerhalb der Union gewährleisteten Schutzniveau gleichwertig ist. Daneben können nach Art. 46 DSGVO geeignete Garantien ein angemessenes Schutzniveau gewährleisten, wobei den betroffenen Personen zusätzlich durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen müssen. Zu den geeigneten Garantien gehören insbesondere Standardvertragsklauseln, verbindliche interne Datenschutzvorschriften, genehmigte Verhaltensregeln und genehmigte Zertifizierungsmechanismen. Besonders praxisrelevant sind hier die Standardvertragsklauseln der Europäischen Kommission. Zuletzt sind nach Art. 49 DSGVO Ausnahmetatbestände vorgesehen, bei deren Vorliegen unabhängig vom Vorliegen eines Angemessenheitsbeschlusses und geeigneter Garantien die Datenübermittlung zulässig ist. Dazu gehören insbesondere die Einwilligung und die Erforderlichkeit zur Vertragserfüllung.

Angemessenheitsbeschluss der Europäischen Kommission

Prinzipiell unproblematisch ist die Übermittlung in Drittländer dann, wenn die Europäische Kommission für das Drittland einen Angemessenheitsbeschluss nach Art. 45 Abs. 1 DSGVO erlassen hat und diesem damit ein angemessenes Schutzniveau bescheinigt. In diesem Fall sind zumindest grundsätzlich keine weiteren Maßnahmen von den Unternehmen erforderlich. Ein solcher Beschluss liegt bisher allerdings nur für wenige Länder vor, namentlich Andorra, Argentinien, Färöer-Inseln, Guernsey, Isle of Man, Israel, Japan, Jersey, Neuseeland, Schweiz, Uruguay und – mit besonderen Einschränkungen – auch für die USA und Kanada. Allerdings gibt es auch hier Besonderheiten, denn die inhaltliche Reichweite dieser Beschlüsse kann sektoral beschränkt sein. So ist beispielsweise der Angemessenheitsbeschluss für Kanada beschränkt auf kommerzielle Organisationen. Für den besonders relevanten Fall der Übermittlung von Daten in die USA gilt der Beschluss nur für solche Unternehmen, welche nach dem EU-US Privacy Shield Abkommen zertifiziert sind.

EU-US Privacy Shield

Nach dem EU-US Privacy Shield dürfen US-Unternehmen dann personenbezogene Daten verarbeiten, die ihnen von Verantwortlichen aus der EU übermittelt wurden, wenn sie sich nach den Vorgaben des amerikanischen Rechts zur Einhaltung der Prinzipien des Privacy Shields verpflichten und daher ausreichende Schutzgarantien bieten. Der Privacy Shield ist jedoch als Nachfolgeabkommen des vom Europäischen Gerichtshofs (EuGH) für unwirksam erklärten Safe Harbor-Abkommens von Beginn an Gegenstand scharfer Kritik gewesen und es existierte stets die Befürchtung, dass dieser durch den EuGH ebenfalls für unwirksam erklärt werden könnte. Aufgrund dieser Unsicherheit wird bisher in der Praxis auch von Privacy Shield zertifizierten Unternehmen die Datenübermittlung oft zusätzlich auf Standardvertragsklauseln gestützt. Diese zusätzliche Absicherung ist auch aktuell noch empfehlenswert, kann aber derzeit aufgrund eines anhängigen Vorabentscheidungsverfahrens am EuGH, welches die Wirksamkeit der Standardvertragsklauseln der Europäischen Kommission für die Übermittlung an Auftragsverarbeiter in Drittländer zum Gegenstand hat, nicht als vollkommen unproblematisch bezeichnet werden.

Standardvertragsklauseln

Standardvertragsklauseln der Europäischen Kommission nach Art. 46 Abs. 2 lit. c DSGVO stellen ein weiteres vergleichsweise unkompliziertes Instrument dar, um ein angemessenes Schutzniveau zu gewährleisten. Derzeit bestehen Vertragsmuster für die Übermittlung eines Verantwortlichen in der EU (sog. Datenexporteur) an Verantwortliche in Drittländern (sog. Datenimporteur) sowie für die Übermittlung eines Verantwortlichen in der EU an Auftragsverarbeiter in Drittländern (auch hier sog. Datenimporteur). Für die Umsetzung müssen Datenexporteur und Datenimporteur diese in unveränderter Weise verwenden, womit sie die dort festgelegten Rechte und Pflichten anerkennen. Eine zusätzliche Genehmigung durch die Aufsichtsbehörde ist nicht erforderlich. Gerade aufgrund dieser unkomplizierten Handhabung werden diese oftmals zusätzlich zu anderen Instrumenten abgeschlossen.

Gegenstand des derzeit anhängigen und vom irischen High Court ersuchten Vorabentscheidungsverfahrens sind die Standardvertragsklauseln für die Übermittlung eines Verantwortlichen an Auftragsverarbeiter aus dem Jahr 2010. Diesem ging eine Beschwerde von Max Schrems gegen Facebook Ireland voraus, welches auf Grundlage der Standardvertragsklauseln Daten in die USA übermittelt. Am 19. Dezember 2019 hat sich der Generalanwalt Henrik Saugmandsgaard Øe in seinen Schlussanträgen für die Gültigkeit der Standardvertragsklauseln ausgesprochen. Der Generalanwalt geht daher davon aus, es bedürfe keiner Entscheidung über die Wirksamkeit des Beschlusses der Kommission zum EU-US Privacy Shield. Gleichwohl zweifelt er im Gegensatz zu den Standardvertragsklauseln dessen Wirksamkeit an, da Beeinträchtigungen hinsichtlich der Rechte auf Achtung des Privatlebens, auf den Schutz personenbezogener Daten und auf einen wirksamen Rechtsbehelf zu befürchten seien.

Die Schlussanträge entfalten keine rechtlich bindende Wirkung, beeinflussen allerdings regelmäßig die Entscheidung des EuGH. Wie weitgehend der EuGH schließlich entscheiden wird, bleibt allerdings abzuwarten.

Weiterhin bleibt abzuwarten, ob in naher Zukunft ein neues Set an Standardvertragsklauseln den Genehmigungsprozess passiert, das an die Gegebenheiten der DSGVO angepasst ist und auch die Konstellation eines Auftragsverarbeiters in der EU und eines Sub-Auftragsverarbeiters im Drittland abbildet.

Weitere geeignete Garantien

Internationale Unternehmensgruppen haben als weitere geeignete Garantien nach Art. 46 Abs. 2 lit. b DSGVO die Möglichkeit, verbindliche interne Datenschutzvorschriften (sog. Binding Corporate Rules, BCR) nach Art. 47 DSGVO festzulegen. Dieses Verfahren ist allerdings mit hohem Aufwand verbunden. Die Unternehmensrichtlinien binden in Gestalt eines Gruppenvertrages alle einbezogenen Unternehmenseinheiten und sind damit ausschließlich für die unternehmensinterne Datenübermittlung verwendbar. Die Richtlinien müssen allerdings vorab durch die zuständige Aufsichtsbehörde genehmigt werden. Letztlich werden verbindliche interne Datenschutzvorschriften damit nur sehr begrenzt einsetzbar sein.

Ähnliches gilt für genehmigte Verhaltensregeln nach Art. 40 DSGVO (sog. Code of Conduct) und genehmigte Zertifizierungsmechanismen nach Art. 42 DSGVO, die nach Art. 46 Abs. 2 lit. e und f DSGVO geeignete Garantien darstellen. Aufgrund des hohen Aufwands und des Genehmigungserfordernisses haben diese bisher in der Praxis keine besondere Bedeutung erlangt.

Ausnahmetatbestände

Die in Art. 49 DSGVO genannten Ausnahmetatbestände umfassen abschließende Fälle, in denen kein Angemessenheitsbeschluss und keine geeigneten anderweitigen Garantien erforderlich sind. Diese sind jedoch besonders eng auszulegen. Zu ihnen gehören unter anderem die Einwilligung, Erforderlichkeit zur Vertragserfüllung, Schutz lebenswichtiger Interessen oder Wahrung zwingender berechtigter Interessen. In der unternehmerischen Praxis dürften jedoch aufgrund der hohen zusätzlichen Anforderungen der Ausnahmetatbestände nur wenige Fälle tatsächlich auf diese Ausnahmen gestützt werden können.

Abschließende Handlungsempfehlungen

Nach wie vor ist zur Gewährleistung geeigneter Garantien insbesondere der Abschluss von Standardvertragsklauseln zu empfehlen. Auch im Falle von Privacy Shield zertifizierten Unternehmen sollte sicherheitshalber zusätzlich auf diese zurückgegriffen werden. Gleichzeitig muss die weitere Entwicklung und hier insbesondere die anstehende Entscheidung des EuGH genauestens beobachtet werden, um auf Änderungen reagieren zu können. Daneben sollte geprüft werden, ob andere Mechanismen genutzt werden können, um die Zulässigkeit der Datenübermittlung sicherstellen zu können.

Besonderheiten ergeben sich für die Übermittlung in das Vereinigte Königreich aufgrund des inzwischen vollzogenen „Brexit“. Grundsätzlich ist durch den Austritt aus der EU das Vereinigte Königreich nun als Drittland einzustufen. Aufgrund des geregelten Austritts besteht jedoch ein Übergangszeitraum bis Ende 2020, in welchem das Unionsrecht und somit die Datenschutz-Grundverordnung weiter gilt. Dieser könnte grundsätzlich noch um bis zu zwei Jahre verlängert werden. Möglich ist auch, dass bis zum Ende des Zeitraums ein Angemessenheitsbeschluss durch die Kommission ergeht. Um auf der sicheren Seite zu sein, sollte die politische Entwicklung verfolgt werden und vor Ablauf des Übergangszeitraums die Übermittlung über dessen Ende hinaus sichergestellt werden. So kann es sich beispielsweise empfehlen, vorsorglich Standardvertragsklauseln abzuschließen.

Mehr zum Thema

26. Juli 2023

Smart-Data-Verfahren im Finanzsektor: Datenschätze behutsam erschließen

Unternehmen der Finanzwirtschaft haben angesichts der zunehmenden Inanspruchnahme von Online-Finanzdienstleistungen mittlerweile erkannt, welche Potenziale die datengetriebene Kundenansprache auch für sie bietet. Welche datenschutzrechtlichen Fragen stellen sich und unter welchen Voraussetzungen ist der Einsatz von Smart-Data Verfahren im Finanzsektor nach derzeitigem Stand möglich?
Weiterlesen
12. Juli 2023

Die wichtigsten Fragen zu Datenübermittlung an US-Dienste: Was bedeutet der neue EU-US Datenschutzrahmen für Unternehmen?

Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss nach Artikel 45 Abs. 3 der DSGVO für die USA erlassen: Das „EU-US Data Privacy Framework“ (EU-US-Datenschutzrahmen). Damit stellt die Kommission nach dem vom EuGH im Juli 2020 gekippten Privacy Shield erneut fest, dass die USA ein angemessenes Schutzniveau für aus der EU übermittelte personenbezogene Daten gewährleisten können.
Weiterlesen
22. April 2022

Die neuesten Entwicklungen zu Datentransfers in Drittländer

Der Beitrag fasst für Sie die neuesten Entwicklungen für Unternehmen zu Datentransfers in Drittländer zusammen. Was gibt es zu beachten?
Weiterlesen

19. Februar 2020

Wen trifft die Beweislast beim Schadensersatz nach DSGVO?

Mit seinem Urteil vom 27.11.2019 (Az.: 6 Ob 217/19h) hat der österreichische Oberste Gerichtshof (OGH) darüber entschieden, wer beim Schadensersatzanspruch nach Art. 82 DSGVO was zu beweisen hat.
In dem zugrundeliegenden Fall wurde dem Kläger die Gewährung eines Kredits verweigert, da die Bonitätsauskunft einer Wirtschaftsauskunftei mit einem Eintrag über ein Inkassoverfahren behaftet gewesen war. Der Kläger klagte gegen das Unternehmen unter anderem auf Schadensersatz, da der Eintrag falsch gewesen war und er daraufhin einen anderen Kredit zu ungünstigeren Konditionen aufgenommen hatte.

In der Regel muss ein Kläger, der Schadensersatz verlangt, das Vorliegen aller Voraussetzungen beweisen, die für den Anspruch vorliegen müssen. Allerdings macht Art. 82 Abs. 3 DSGVO davon eine Ausnahme. Danach haftet der Beklagte nicht, „wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“ Es war bisher nicht eindeutig geklärt, welche Beweispflichten genau dem Beklagten damit auferlegt werden

Hier hat der OGH nun Stellung bezogen. Wie es der Wortlaut nahelegt, ist der Kläger nur in Bezug auf das Verschulden von seiner Beweispflicht befreit. Ohne einen Gegenbeweis des Beklagten wird also davon ausgegangen, dass er den Verstoß gegen die DSGVO verschuldet hat. Alle anderen Voraussetzungen, namentlich das Vorliegen eines Schadens und dass die rechtswidrige Handlung der Gegenpartei für den Schaden ursächlich war, muss der Kläger beweisen. Auch über die Höhe des Schadens muss er Nachweise erbringen. Das gelang dem Kläger im vorliegenden Fall nicht, sodass ihm der Schadensersatz verwehrt wurde. Das Urteil hat zwar keinen unmittelbare Wirkung für die Rechtslage in Deutschland, zeigt aber die Richtung in dieser Frage auf. Da die Beweispflichten für betroffene Personen einen höheren Aufwand bedeuten, dürfte für Unternehmen nach dem Urteil ein geringeres Risiko bestehen, Schadensersatzansprüchen ausgesetzt zu sein.

Mehr zum Thema

1. April 2024

Ransomware-Prävention in Zeiten von KI – Wie Unternehmen Attacken vorbeugen können

Ransomware ist nach wie vor eine der größten Bedrohungen für Wirtschaftsunternehmen. Besonders IT-Dienstleister sind in den vergangenen Jahren in den Fokus von Cyberkriminellen gerückt. Durch präventive Maßnahmen der Cybersicherheit werden personenbezogene Daten angemessen und wirksam vor den alltäglichen Gefahren des digitalen Zeitalters geschützt.
Weiterlesen
20. Februar 2024

Die Deadline naht: Machen Sie Ihr Unternehmen noch vor Oktober fit für NIS-2

Mit der nahenden Deadline im Oktober für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS-2) stehen Unternehmen vor der Herausforderung, nicht nur gesetzliche Vorgaben zu erfüllen, sondern auch ihre eigenen Geschäftsprozesse und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern.
Weiterlesen
6. Februar 2024

Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.
Weiterlesen

10. Februar 2020

Datenübermittlung in Drittländer: Standardvertragsklauseln bald vor dem Aus?

Die rechtliche Grundlage für die Übermittlung personenbezogener Daten aus in der EU-ansässigen Unternehmen in Drittländer (Länder, die weder Mitglied der EU, noch des Europäischen Wirtschaftsraums sind, wie zum Beispiel die USA) könnte möglicherweise bald verworfen werden. Bisher dienen hierzu insbesondere die in Art. 46 Abs. 2 lit. c DSGVO genannten Standardvertragsklauseln der Europäischen Kommission, welche die Einhaltung eines europäischen Datenschutzniveaus gewährleisten sollen. Werden diese Standardvertragsklauseln folglich zwischen Unternehmen abgeschlossen, ist die Übermittlung per se in das jeweilige Land möglich. Allerdings könnte diese Vorgehensweise bald der Vergangenheit angehören, da der Europäische Gerichtshof (EuGH) diese Klauseln für das Verhältnis zwischen einem Verantwortlichen und einem Auftragsverarbeiter derzeit auf ihre Zulässigkeit prüft.

Zulässigkeit der Datenübermittlung in Drittländer

Die hier relevanten Standardvertragsklauseln der Kommission stammen aus dem Jahr 2010. Sie gewährleisten bei ihrer Umsetzung durch die Unternehmen derzeit die Einhaltung eines europäischen Datenschutzstandards und könnten unter Umständen bald nicht mehr von Unternehmen genutzt werden, sollten sie für unzulässig erklärt werden.
Neben der Heranziehung von Standardvertragsklauseln ist eine Datenübermittlung unter anderem auch dann möglich, wenn für das Drittland ein Angemessenheitsbeschluss gemäß Art. 45 DSGVO besteht. Dieser liegt jedoch nur für wenige Länder, wie zum Beispiel der Schweiz vor.
Eine Datenübermittlung zwischen der EU und den USA kann auch auf den EU-US Privacy Shield gestützt werden. Nach diesem dürfen US-Unternehmen, welche sich nach den Vorgaben des amerikanischen Rechts zur Einhaltung der Prinzipien des Privacy Shields verpflichten und daher ausreichende Schutzgarantien bieten, personenbezogene Daten verarbeiten, die ihnen von Verantwortlichen aus der EU übermittelt wurden. Das Privacy Shield-Abkommen ist jedoch seit seiner Existenz Gegenstand scharfer Kritik und die Wahrscheinlichkeit, dass dieses in der Zukunft durch den EuGH für unzulässig erklärt wird ist daher nicht gering. Aufgrund dessen wird auch der überwiegende Teil dieser Datentransfers in der Praxis parallel auf Standardvertragsklauseln gestützt.

Hintergrund

Facebook beruft sich derzeit auf Standardvertragsklauseln als Rechtsgrundlage für die Übermittlung von Daten durch Facebook Ireland in die USA.
Gegen dieses Vorgehen klagte nun der österreichische Datenschutzaktivist Max Schrems. Seiner Ansicht nach sei zwar nichts gegen die Standardvertragsklauseln einzuwenden, jedoch sei die Datenschutzbehörde dazu verpflichtet, einzelne Datenübermittlungen zu unterbinden, wenn diese dennoch nicht sicher sein sollten. Das Privacy Shield-Abkommen hingegen solle laut Schrems für ungültig erklärt werden, da es zu wenig Schutz hinsichtlich der faktischen Überwachungsmaßnahmen aufgrund der diese begründenden Gesetzeslage in den USA gewähren würde.
Die irische Datenschutzbehörde hingegen wies jegliche Verantwortung von sich, da ihr ihrer Ansicht nach nicht die Befugnis für die Aussetzung einer Datenübermittlung zustehe, so lange sich Facebook auf die Standardvertragsklauseln der Kommission berufe und somit diese zunächst für ungültig erklärt werden müssten.
Der irische High Court wandte sich nun mit Vorlagefragen an den EuGH, die insbesondere die Frage nach der Gültigkeit des derzeitigen Verfahrens zur Datenübermittlung in die USA und die Rolle der Datenschutzbehörden beinhalten.

Empfehlung des EuGH-Generalanwalts

In seinen Schlussanträgen vom 19. Dezember sprach sich Generalanwalt Henrik Saugmandsgaard Øe für die Gültigkeit der Standardvertragsklauseln aus, da diese grundsätzlich dazu geeignet seien, ein ausreichendes Datenschutzniveau zu garantieren, sofern dies nicht bereits durch die Rechtslage im Drittland gegeben sei. Ergänzend wären gewisse Regelungen zur Einhaltung der Klauseln erforderlich, welche auch gewährleisten, dass eine auf Standardvertragsklauseln begründete Datenübermittlung ausgesetzt würde, sollten Klauseln verletzt werden oder eine Einhaltung dieser nicht möglich sein. Für die Einhaltung der Standardvertragsklauseln seien dabei sowohl die Vertragsparteien als auch insbesondere die Datenschutzbehörden verantwortlich und diese müssten sowohl die Datenübermittlung prüfen als auch entsprechende Maßnahmen (wie gegebenenfalls die Untersagung der Datenübermittlung) treffen, sollte diese nicht den Vereinbarungen entsprechen. Ihre Befugnis dazu leite sich aus der DSGVO ab, welche ihrerseits im Lichte der EU-Grundrechte-Charta auszulegen sei.
Da der High Court innerhalb seiner Vorlagefragen insbesondere einen Beschluss der Europäischen Kommission in Frage gestellt hatte, in dem diese das Datenschutzniveau in den USA bei Übermittlungen auf Grundlage des Privacy Shields für ausreichend erachtet hatte, ging der Generalstaatsanwalt daher zudem noch auf das Privacy Shield-Abkommen ein und zweifelte im Zuge dessen den Beschluss der Kommission hierzu an. Seiner Ansicht nach seien Beeinträchtigungen im Hinblick auf die Rechte auf Achtung des Privatlebens, auf den Schutz personenbezogener Daten und auf einen wirksamen Rechtsbehelf zu befürchten.

Handlungsempfehlungen

Derzeit ist eine Datenübermittlung in Drittländer auf Grundlage der Standardvertragsklauseln von 2010 möglich. Eine Übermittlung in die USA kann zudem auf das Privacy Shield-Abkommen gestützt werden, wenn das US-Unternehmen entsprechend zertifiziert ist. Sollte dieser die Standardvertragsklauseln für unwirksam erklären, so hat die Kommission die Möglichkeit, sie durch neue Standardvertragsklauseln zu ersetzen, die der Rechtsauffassung des EuGH, der Behörden und des Europäischen Parlamentes entsprechen sowie die aktuellen Entwicklungen in den USA berücksichtigen.

Für Unternehmen, welche bisher ausschließlich auf Standardvertragsklauseln gesetzt haben, wäre dabei zu beachten, dass in diesem Fall mit allen Unternehmen die neuen Standardvertragsklauseln abgeschlossen werden müssten. Sofern ein Partnerunternehmen in den USA in diesem Fall Privacy Shield zertifiziert ist und dieses Abkommen nicht gleichsam für unwirksam erklärt wird, könnte die Übermittlung zwischenzeitlich weiterhin auch auf dieses gestützt werden. Auch dann wäre allerdings weiterhin der Abschluss der neuen Standardvertragsklauseln als zusätzliche Absicherung empfehlenswert.

Für internationale Unternehmensgruppen besteht ein weiteres Instrument zur Einhaltung eines einheitlichen Datenschutzniveaus. Für sie eignet sich die Festlegung von verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules) gemäß Art. 47 DS-GVO. Es handelt sich dabei um Unternehmensrichtlinien, die in Gestalt eines Gruppenvertrages alle einbezogenen Unternehmenseinheiten binden und somit auch nur für den unternehmensinternen Datentransfer heranzuziehen sind. Für diese Fälle wären dann keine anderen flankierenden Maßnahmen in Gestalt von etwa Standardvertragsklauseln erforderlich. Allerdings bedürfen diese Richtlinien der Zustimmung der zuständigen Aufsichtsbehörde und können daher nicht ohne weiteres eingesetzt werden.

Weitere Alternativen?

Im Übrigen sind Unternehmen allgemein dazu angehalten, die Datenübermittlung entsprechend der DSGVO zu gestalten und die Zeit bis zur Entscheidung des EuGH zu nutzen, um ihre Datentransfers ins außereuropäische Ausland zu überprüfen. So sollte beispielsweise sichergestellt werden, dass bei Abschluss von Standardvertragsklauseln diese auch entsprechend umgesetzt werden. Es bestehen grundsätzlich noch weitere Möglichkeiten, bei denen die Übermittlung zulässig ist. Dazu gehören die Erforderlichkeit zur Durchführung eines Vertrags oder eine wirksame Einwilligung des Betroffenen. Zumindest letzteres ist allerdings kaum praktikabel und sollte im Einzelfall genau geprüft werden.

Weitere Möglichkeiten sind genehmigte Verhaltensregeln und genehmigte Zertifizierungsmechanismen. Diese haben in der Praxis bisher noch keine Bedeutung erlangt und sind gleichfalls mit größerem Aufwand verbunden. Um den Weg einzuschlagen, der ihnen das höchste Maß an Rechtssicherheit bietet, können sich Unternehmen zudem die Frage stellen, inwieweit sich der Datentransfer möglicherweise auf die EU beschränken lässt.

Es bleibt abzuwarten, ob sich der EuGH in seiner Entscheidung den Ausführungen des Generalanwalts anschließen und weitere grundsätzliche Ausführungen machen wird, die gegebenenfalls sogar das Privacy Shield aushebeln könnten. Grundsätzlich entfalten zwar Schlussanträge keine rechtlich bindende Wirkung, jedoch beeinflussen sie erfahrungsgemäß die Entscheidung des EuGH in hohem Maße.

Mehr zum Thema

26. Juli 2023

Smart-Data-Verfahren im Finanzsektor: Datenschätze behutsam erschließen

Unternehmen der Finanzwirtschaft haben angesichts der zunehmenden Inanspruchnahme von Online-Finanzdienstleistungen mittlerweile erkannt, welche Potenziale die datengetriebene Kundenansprache auch für sie bietet. Welche datenschutzrechtlichen Fragen stellen sich und unter welchen Voraussetzungen ist der Einsatz von Smart-Data Verfahren im Finanzsektor nach derzeitigem Stand möglich?
Weiterlesen
12. Juli 2023

Die wichtigsten Fragen zu Datenübermittlung an US-Dienste: Was bedeutet der neue EU-US Datenschutzrahmen für Unternehmen?

Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss nach Artikel 45 Abs. 3 der DSGVO für die USA erlassen: Das „EU-US Data Privacy Framework“ (EU-US-Datenschutzrahmen). Damit stellt die Kommission nach dem vom EuGH im Juli 2020 gekippten Privacy Shield erneut fest, dass die USA ein angemessenes Schutzniveau für aus der EU übermittelte personenbezogene Daten gewährleisten können.
Weiterlesen
22. April 2022

Die neuesten Entwicklungen zu Datentransfers in Drittländer

Der Beitrag fasst für Sie die neuesten Entwicklungen für Unternehmen zu Datentransfers in Drittländer zusammen. Was gibt es zu beachten?
Weiterlesen

4. Februar 2020

Cookie-Urteil um Planet49: Update

Nach einer Klage des deutschen Bundesverbands der Verbraucherzentralen und Verbraucherverbände (vzbv) gegen die Planet49 GmbH hatte sich der BGH mit dem Thema zu beschäftigen, welche Anforderungen an die Einwilligung in die Nutzung von Cookies zu Werbezwecken gestellt werden. Nachdem er einige Fragen dazu an den EuGH gerichtet hatte, entschied dieser darüber am 1. Oktober 2019. Das Urteil des BGH wurde nun für den 28. Mai angekündigt, nachdem am 30. Januar mündlich verhandelt wurde. Die Kritik von Klägerseite richtete sich dabei auch an den Gesetzgeber, der eine ausreichende Anpassung des Telemediengesetzes (TMG) an die maßgebende EU-Richtlinie verpasst habe. Dem widersprach die Gegenseite mit dem Argument, dass eine Richtlinie nicht unmittelbar anwendbar und die Regelung des TMG, auch die Widerspruchslösung mit vorangekreuztem Kästchen zuzulassen, daher eine bewusste und zulässige Entscheidung des deutschen Gesetzgebers gewesen sei.

Da der BGH selbst aber eine richtlinienkonforme Auslegung des TMG für möglich hält und sich der EuGH im Falle der Erforderlichkeit einer Einwilligung für eine aktive Zustimmung ausgesprochen hat, sollten Webseitenbetreiber ihre bisherige Vorgehensweise bei der Einwilligung in die Nutzung von Cookies daraufhin überprüfen. Das gilt gerade deshalb, da der Termin des BGH-Urteils nun feststeht. Ebenso sollten sie durchsehen, welche Cookies sie zu welchem Zweck verwenden und auf ihre rechtliche Zulässigkeit hin untersuchen. Wer an seiner Rechtsgrundlage etwas ändert, muss zudem seine Datenschutzerklärung entsprechend anpassen.

Nichts geändert hat sich an der Ankündigung der Bundesregierung, das TMG entsprechend zu ändern. Darauf müssen Webseitenbetreiber noch warten, die Änderungen werden allerdings in Kürze erwartet. Ebenso ist weiterhin die e-Privacy-Verordnung der EU geplant, die im Gegensatz zur Richtlinie unmittelbar anwendbar wäre und im besten Fall einen europaweit einheitlichen Rechtsrahmen schaffen könnte, der zu mehr als nur Einzelpunkten Klarheit schaffen könnte. Zeitpunkt der Verabschiedung und Inhalt der Verordnung sind allerdings weiterhin nicht absehbar. Daher dürften auch nach dem Urteil im Mai noch manche Fragen offenbleiben, sodass Veränderungen durch den Gesetzgeber abzuwarten sind.

Mehr zum Thema

6. Februar 2024

Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.
Weiterlesen
26. Januar 2024

Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download

Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.
Weiterlesen
9. Januar 2024

Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling

In Zeiten zunehmender Cyberbedrohungen können Unternehmen durch die Mitigation von Datenschutzrisiken nicht nur sich selbst und ihre Beschäftigten vor Bedrohungen bewahren, sondern vor allem auch den Schutz ihrer Kund:innen effektiver gewährleisten. Ein Schlüsselelement der Risikoanalyse ist das sogenannte Threat Modeling. Wir erläutern, was Threat Modeling beinhaltet und wie es speziell in der Datenschutzberatung eingesetzt wird.
Weiterlesen

22. Januar 2020

Sprachassistenten im Gesundheitswesen: Datenschutzbedenken?

Stellen Sie sich vor, Sie liegen im Winter in einem Krankenhauszimmer, ans Bett gebunden, die Heizung nicht aufgedreht – und Ihr erster Ansprechpartner ist kein Arzt und kein Krankenpfleger, sondern ein kleiner Lautsprecher, der auf dem Nachttisch steht und auf den Namen Alexa hört. Eine kurze Bitte, und Alexa dreht die Heizung auf. Sie ruft den Arzt, erinnert Sie daran, dass Medikamente eingenommen werden müssen oder schaltet auch einfach nur das Fernsehprogramm um. Was hierzulande bislang nur schwer vorstellbar scheint, wird im Cedars-Sinai Medical Center in Los Angeles seit Anfang 2019 in einem Pilotprojekt getestet.

Solche Beispiele zeigen, dass es Amazon – und den vielen anderen digitalen Assistenten wie Apples Siri, Samsungs Bixby, Microsofts Cortana oder dem Google Assistant – trotz aller anfänglichen Bedenken über den Sinn solcher Geräte und trotz der Vorstellung, einen Spion in die eigenen vier Wände zu lassen, gelungen ist, eine Erfolgsgeschichte zu schreiben. Amazon-Manager David Limp erklärte kürzlich, dass insgesamt über 100 Millionen Geräte des 2014 vorgestellten Lautsprechers „Echo“ verkauft worden seien. Und nicht nur die Zahlen, auch die Anwendungsmöglichkeiten erweitern sich ständig. Das hat Amazon vor allem durch sogenannte Skills ermöglicht, mit denen Drittanbieter zusätzliche Funktionen für Alexa freischalten und sie mit Sprachsoftware zu den unterschiedlichsten Themengebieten anreichern können. Sowohl in Bezug auf Nutzer als auch auf ihre Einsatzmöglichkeiten wächst das Potenzial von Sprachassistenten stetig. Mindestens genauso groß ist allerdings die Skepsis (insbesondere beim Datenschutz), und tatsächlich sprechen viele Gründe für einen vorsichtigen Umfang. Ob man sie nun aber völlig verbannen muss oder ihre Vorteile doch unter bestimmten Umständen rechtssicher nutzen kann, klären wir in diesem Artikel.

Skepsis gegenüber digitalen Sprachassistenten

Doch warum tut man sich mit solchen Projekten hierzulande schwer? Kurz gesagt könnte man die Skepsis gegenüber solcher Technik und den Datenschutz ins Feld führen. Und tatsächlich ist der Umgang mit Programmen wie Alexa nicht immer einfach. Als ein US-amerikanischer Nachrichtensprecher über ein Mädchen berichtete, das sich mit Alexa ein Puppenhaus gekauft hatte, verstanden das die Alexas in den Zimmern der Fernsehzuschauer als Aufforderung, Puppenhäuser zu bestellen. Auf ähnliche Weise ließ Alexa beispielsweise schon ungewollt Katzenfutter oder mehrere Kilogramm Kekse nach Hause liefern. Ganz besonders für Aufsehen sorgte Ende letzten Jahres ein Datenleck bei Amazon in Deutschland, durch das ein Kunde an 1.700 fremde Sprachaufzeichnungen gelangte, nachdem er Auskunft über die von ihm bei Amazon gespeicherten Daten verlangte. Doch Vorsicht ist beim Thema Sprachassistenten auch wegen IT-Schwachstellen geboten. Deutschen Forschern gelang es nämlich, bei Amazon Alexa und Google Home heimlich mitzuhören.

Ganz grundlos ist es also nicht, wenn man nicht ganz so unbekümmert wie in den USA lauter Echos in Krankenhäusern und Arztpraxen aufstellt. Schließlich möchte man gerade als Arzt nicht dafür verantwortlich sein, dass Amazon oder andere sensible Daten der eigenen Patienten erhalten. Doch natürlich kann man die vielen Vorteile nicht einfach außer Acht lassen. Die Lautsprecher im Cedars-Sinai zeigen, wie sie Ärzten und ihren Assistenten viele einfache Aufgaben abnehmen und ihnen mehr Zeit für ihre eigentliche Arbeit mit den Patienten schenken. Es lohnt sich also, einen Blick auf die Gesetzeslage zu werfen, ob ein Einsatz von Sprachassistenten nicht doch auch hierzulande möglich ist, der gegen bestehende Regelungen nicht verstößt und der die Rechte der Patienten wahrt.

Wie sieht es aus, wenn Alexa so arbeitet, wie sie arbeiten sollte?

Ob nun bei Alexa oder den anderen Programmen, die sehr ähnlich funktionieren – bei aller Medienwirksamkeit der Datenpannen und „Unfälle“ mit den Geräten handelt es sich letztlich doch um Einzelfälle. Jedenfalls aber ist es empfehlenswert, sie als mögliches Risiko zu berücksichtigen, wenn es um die Implementierung von Sprachassistenten geht. Doch auch wenn man sich ansieht, wie Alexa im Idealfall arbeitet, ergibt sich eine Vielzahl von Sachverhalten, auf die ebenfalls Acht gegeben werden muss.

Die Lautsprecher hören jederzeit zu, um eines der Signalwörter erkennen zu können, mit denen man die Geräte in den Betriebsmodus versetzt. Das, was sie vorher hören, speichern sie laut Unternehmensangaben zwar nicht – doch wie die vielen Fälle zeigen, ist es schnell mal passiert, dass ein Alexander gerufen wird und stattdessen Alexa sich angesprochen fühlt. Einmal aktiviert, werden die an das Gerät gerichteten Fragen und sonstigen Äußerungen an die Cloud des Unternehmens übermittelt, gespeichert und verarbeitet. Das kann der Nutzer auch nicht vermeiden, da dort erst die Antworten von Alexa generiert werden und ohne Speicherung das Programm auch nicht lernen und sich auf den Nutzer individuell einstellen kann.

Datenschutz: Immer an die Einwilligung des Patienten denken

Möchte man es trotzdem versuchen, Sprachassistenten einzusetzen, muss besonders im Gesundheitswesen (datenschutz-) rechtlich eine Menge beachtet werden. Da personenbezogene Daten umfangreich verarbeitet werden, müssen die Patienten vorher über die Verarbeitungszwecke informiert werden. Das hängt jeweils von der Art der speziellen Anwendung ab und wird angesichts der vielen denkbaren Einsatzgebiete und der Lernfähigkeit der Programme zumeist nicht umfassend möglich sein. Es sollte aber deutlich werden, wozu die Geräte eingesetzt werden und was mit den erfassten Daten geschieht.

Vorzugsweise Beachtung gilt den sensiblen Daten, die die Kommunikation innerhalb eines Krankenhauses oder einer Arztpraxis mit sich bringt. Dabei kann es sich um Gesundheitsdaten nach Art. 9 DSGVO handeln, für deren Verarbeitung weitreichende Anforderungen zu erfüllen sind. Betrachtet man die Datenschutz-Grundverordnung (DSGVO) und die jeweiligen Landeskrankenhausgesetze, ist bei der Verarbeitung dieser Daten eine Einwilligung des Betroffenen zwingend einzuholen. Die muss den Anforderungen genügen, die dem Patienten im Voraus mitgeteilt werden müssen. Darunter fallen die Information über die Identität des Verantwortlichen, die bereits erwähnten Datenverarbeitungszwecke, das Widerrufsrecht und die möglichen Risiken bei einer Übermittlung in Drittländer.

Ärztliche Schweigepflicht beachten

Jeder niedergelassene und angestellte Arzt unterliegt darüber hinaus der Schweigepflicht, die alle Informationen umfasst, welche ihr oder ihm in der „Eigenschaft als Ärztin oder Arzt anvertraut oder sonst bekannt geworden ist“, § 9 Abs. 1 Muster-Berufsordnung für die in Deutschland tätigen Ärztinnen und Ärzte (MBO-Ä). Und immerhin können solche Informationen an Amazon gehen, wenn Arzt und Patient sich vertraulich austauschen und Alexa im Zimmer steht. Auch von der Schweigepflicht kann der Patient die Ärzte mittels Einwilligung entbinden, doch muss sie auf der freien Entscheidung des Patienten beruhen. Es sollte also auf jeden Fall möglich sein, die jeweilige Behandlung auch ohne einen Sprachassistenten und ohne Nachteile für den Patienten durchführen zu können. Zudem bestehen besondere Anforderungen an ihre Bestimmtheit: es muss eindeutig sein, an wen die Behandlungsdaten übermittelt werden. Der Patient muss vollumfänglich darüber informiert werden, wer seine Daten erhält und was mit ihnen geschieht.

Eine Besonderheit gilt bei der Übermittlung von Informationen über verordnete Arzneimittel durch Kassenärzte, Apotheken, Krankenkassen, Großhandel oder Rechenzentren. Diese dürfen diesbezügliche Daten nur an Stellen übermitteln, die sich verpflichten, die Daten ausschließlich als Nachweis für die in einer Kassenärztlichen Vereinigung in Anspruch genommenen Leistung zu verarbeiten (vgl. § 305a SGB V). Und hier kommt man auch mit einer Einwilligung nicht weiter. Denn es geht im § 305a SGB V weniger um den Schutz des Patienten, dem schon umfassend in den anderen Gesetzen Rechnung getragen wurde, sondern darum, Arzneimittelherstellern Informationen darüber zu verwehren, welche Vertragsärzte welche Medikamente verordnen, die sie dann zu Werbezwecken verwenden könnten. Diese Norm sollte also im Auge behalten werden. Soll der Sprachassistent nämlich dafür benutzt werden, die Patienten an die Einnahme ihrer Medikamente zu erinnern, muss vorher sehr genau geprüft werden, welche Informationen dadurch an die Server des jeweiligen Unternehmens gesendet werden und wer für die Übermittlung verantwortlich ist.

Möglichkeiten für einen sicheren Einsatz

Amazon selbst ist um Schutzmaßnahmen durchaus bemüht und lässt inzwischen einige unterschiedliche Einstellungen zu. So kann die Einkaufsfunktion einfach abgeschaltet werden, um ungewollte Einkäufe durch Alexa zu verhindern. Um überprüfen zu können, dass Audiodateien in die Cloud weitergeleitet werden, leuchtet je nach Modell ein Ring oder Balken blau auf. Wem das nicht reicht, der kann vor der Weiterleitung ein kurzes akustisches Signal abspielen lassen. Alle Dateien, die gespeichert wurden, kann man zudem einsehen und bei Bedarf einzeln oder auch vollständig löschen. Damit kann allerdings laut Amazon das Nutzererlebnis eingeschränkt werden, da Alexa die Lernfähigkeit für individuellere Antworten genommen wird. Ob man darauf auch verzichten kann, hängt mit der Vorhersehbarkeit der Anwendungen ab und müsste jeweils ausgetestet werden.

Alexa muss auch nicht in einen schallsicheren Raum verfrachtet werden, wenn seine Nutzer einmal ein vertrauliches Gespräch führen wollen. Bei jedem Gerät kann man mit einer eigenen Taste das Mikrofon ausschalten, um die Aufnahme von Audiodaten und ihre Weiterleitung in die Cloud auszuschließen. Wer gerade bei sensiblen Daten ganz sicher gehen möchte, sollte genau das auch machen.

Lassen sich die Medikamente und die Namen der Patienten verschlüsseln und kann ein Missbrauch sicher ausgeschlossen werden, kann ein Sprachassistent möglicherweise auch dafür eingesetzt werden, Patienten an ihre Einnahme zu erinnern. Ansonsten ist es aber sicherer, ihm „neutrale“ Aufgaben zu geben und ihn bei Gesprächen, die sensible Daten beinhalten, auszuschalten oder aus dem Zimmer zu schaffen.

Fazit

Wer also überlegt, Sprachassistenten einzusetzen, sollte vor allem im Gesundheitswesen die einschlägigen Anforderungen der DSGVO, der Landeskrankenhausgesetze oder auch Spezialnormen wie § 305a SGB V Aufmerksamkeit widmen. Man muss berücksichtigen, dass man für die Übermittlung der Daten schnell datenschutzrechtlich verantwortlich sein kann. Am sichersten ist es, gerade im Hinblick auf die nicht immer lückenlose Zuverlässigkeit der Geräte, den Assistenten keine Gesundheitsdaten anzuvertrauen. Es gibt einige Möglichkeiten, die das gewährleisten zu können. Am Ende bleibt es aber dabei, dass es sich um problematische Anwendungen handelt und man alle Voraussetzungen ganz genau prüfen sollte, um Rechtsverstöße zu vermeiden und den Schutz und das Vertrauen der Patienten nicht zu verspielen.

Mehr zum Thema

12. Juli 2023

Die wichtigsten Fragen zu Datenübermittlung an US-Dienste: Was bedeutet der neue EU-US Datenschutzrahmen für Unternehmen?

Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss nach Artikel 45 Abs. 3 der DSGVO für die USA erlassen: Das „EU-US Data Privacy Framework“ (EU-US-Datenschutzrahmen). Damit stellt die Kommission nach dem vom EuGH im Juli 2020 gekippten Privacy Shield erneut fest, dass die USA ein angemessenes Schutzniveau für aus der EU übermittelte personenbezogene Daten gewährleisten können.
Weiterlesen
22. März 2023

Joint Controller Agreement: Vorteile und Herausforderungen der gemeinsamen Verantwortlichkeit

Die Vereinbarung über die gemeinsame Verantwortlichkeit („Joint Controller Agreement“ oder auch kurz „JCA“ genannt) erscheint vielen Verantwortlichen in der Praxis noch immer als kompliziert und umständlich. Doch zu Unrecht: Mit der sorgfältigen Ausgestaltung des Agreements können verantwortliche Unternehmen von vielen Vorteilen profitieren, Effizienzgewinne durch vorausschauende Prozessgestaltung erzielen und ein entsprechendes effektives Risikomanagement betreiben.
Weiterlesen
7. März 2023

Anonymisierung und Pseudonymisierung in der Praxis

Wie der vermeintliche Widerspruch zwischen Datenschutz durch Pseudonymisierung und dem Nutzen personenbezogener Daten in der wissenschaftlichen Praxis bearbeitet werden kann, beleuchten wir in diesem Beitrag. Außerdem werfen wir einen Blick auf die besonderen Herausforderungen, denen Akteur:innen des Gesundheitswesens bei diesem Thema begegnen.
Weiterlesen

9. Januar 2020

Best of 2019: Die zehn meistgelesenen ISiCO-Beiträge des Jahres

Liebe Leserinnen und Leser,
wir begrüßen mit Ihnen zusammen das Jahr 2020! Zum Start wollen wir gemeinsam mit Ihnen einen redaktionellen Rückblick auf das vergangene Jahr werfen: Was waren die erfolgreichsten Themen 2019?
Im Folgenden präsentieren wir Ihnen die meistgelesenen Beiträge aus unserem News- & Wissen-Bereich. Viel Spaß!

1. Die größten DSGVO-Mythen zum Datenschutzbeauftragten: was stimmt?
Beansprucht der Datenschutzbeauftragte bloß woanders dringend benötigte Ressourcen oder kann er gewinnbringend eingesetzt werden? Und wann braucht man einen Datenschutzbeauftragten überhaupt? In unserem beliebtesten Artikel 2019 klären wir über Mythen zum DSB auf.

2. Löschkonzepte nach der DSGVO – Leitfaden
Wann sind Daten aufzubewahren, wann sind sie zu löschen? Noch immer herrschen darüber einige Unsicherheiten.

3. KI & DSGVO: Mit Anonymisierung und Pseudonymisierung Compliance-Aufwand minimieren!
Wie lassen sich die Herausforderungen der KI durch Anonymisierung & Pseudonymisierung am Besten lösen?

4. Künstliche Intelligenz und Datenschutz – Anwendungsfälle
Künstliche Intelligenz war 2019 ein großes Thema, und so auch in unserem Blog. Daher widmen sich die Plätze 3 und 4 dem Spannungsfeld KI und DSGVO. In einem Bereich, in dem sich viel ändert, bleibt auch rechtlich vieles ungeklärt. Ob nun Entwicklungsbremse oder nicht – die DSGVO hat KI im Blick und macht einige Vorgaben. Wie Sie diese bewältigen, können Sie in unseren Artikeln zum Thema nachlesen.

5. Das zweite Datenschutz-Anpassungs- und Umsetzungsgesetz kommt
Im Juni 2019 hat der Bundestag das zweite Datenschutz-Anpassungs- und Umsetzungsgesetz verabschiedet. Warum und was nun alles neu ist, finden Sie zusammengefasst in unserem Artikel.

6. Die Whistleblower-Richtlinie: eine datenschutzrechtliche Herausforderung?!
Whistleblowing kann auch Datenschutz sein. Denn wird eine Meldung bearbeitet, werden in der Regel auch personenbezogene Daten verarbeitet. Das kann Unternehmen durchaus vor Herausforderungen stellen. Wie der Schutz von Hinweisgebern und Datenschutz miteinander in Einklang zu bringen sind.

7. Das Omnibusgesetz: geplante Änderungen im Datenschutz
Das 2. Datenschutz-Anpassungsgesetz war bereits Thema und auch im Omnibusgesetz ging es darum, nationale Regeln an die Vorgaben des europäischen Datenschutzrechts anzupassen. Hier erfahren Sie die wichtigsten Änderungen.

8. Cookie-Einwilligungen: Nach EuGH-Generalanwalt in Zukunft nur mit Opt-In zulässig?
Ein wichtiges und noch immer umstrittenes Thema war 2019 das Thema Cookies. Opt-In, Opt-Out, Double-Opt-In: Auch der EuGH-Generalanwalt hat sich den Cookies angenommen. Worum ging es und was wurde beschlossen?

9. Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Tipps und Checklisten
Unternehmen müssen nach der DSGVO ein Verzeichnis von Verarbeitungstätigkeiten (VVT) führen. Doch was ist ein VVT, wie erstellt man eines und was geschieht danach? Wir haben für Sie Hinweise, Beispiele und eine Checkliste zusammengestellt.

Mehr zum Thema

1. April 2024

Ransomware-Prävention in Zeiten von KI – Wie Unternehmen Attacken vorbeugen können

Ransomware ist nach wie vor eine der größten Bedrohungen für Wirtschaftsunternehmen. Besonders IT-Dienstleister sind in den vergangenen Jahren in den Fokus von Cyberkriminellen gerückt. Durch präventive Maßnahmen der Cybersicherheit werden personenbezogene Daten angemessen und wirksam vor den alltäglichen Gefahren des digitalen Zeitalters geschützt.
Weiterlesen
20. Februar 2024

Die Deadline naht: Machen Sie Ihr Unternehmen noch vor Oktober fit für NIS-2

Mit der nahenden Deadline im Oktober für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS-2) stehen Unternehmen vor der Herausforderung, nicht nur gesetzliche Vorgaben zu erfüllen, sondern auch ihre eigenen Geschäftsprozesse und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern.
Weiterlesen
6. Februar 2024

Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.
Weiterlesen

18. Dezember 2019

Das 2. Datenschutz-Anpassungsgesetz: Änderungen bei DSB und BDSG?

Mit dem 2. Datenschutz-Anpassungsgesetz („2. DSAnpUG“) sind einige Veränderungen im Bereich des Datenschutzrechts vorgenommen worden, die allerdings unterschiedlich große Auswirkungen auf die Praxis in Unternehmen haben. Relevant sind insbesondere die Änderungen im Bundesdatenschutzgesetz („BDSG“) – das Wichtigste finden Sie hier zusammengefasst.

Zur Rolle des Datenschutzbeauftragten

Wann ein betrieblicher Datenschutzbeauftragter zu benennen ist, bestimmt sich nach Art. 37 Abs. 1 Datenschutz-Grundverordnung („DSGVO“). Insbesondere muss ein Unternehmen tätig werden, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Überwachung von Personen oder in der Verarbeitung besonders sensibler Daten besteht. Beispielsweise wäre das der Fall bei einem Sicherheitsunternehmen, das ein Einkaufszentrum mit Kameras überwacht. Allerdings befindet sich in Art. 37 Abs. 4 S. 1 DSGVO auch eine Öffnungsklausel: Eine Erlaubnis für die EU-Mitgliedsstaaten, für sich zusätzliche Regeln zu erlassen, ab wann ein Datenschutzbeauftragter zu bestellen ist. Mit § 38 Abs. 1 BDSG a.F. wurde bestimmt, dass eine Pflicht besteht, sofern das Unternehmen „in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt. Das 2. DSAnpUG hat die Personenanzahl nun auf 20 erhöht. Unternehmen, die nun in diese Lücke fallen, können allerdings dennoch nicht ohne Weiteres auf den Datenschutzbeauftragten verzichten. Zum einen muss trotzdem geprüft werden, ob er nicht aus anderen Gründen bestellt werden muss. Zum anderen ist es bislang nicht geklärt, ob für einen Datenschutzbeauftragten, für den mit der Gesetzesänderung keine Pflicht mehr besteht, das Kündigungsrecht des § 6 Abs. 4 BDSG nicht mehr gilt. Dafür spricht zwar der recht eindeutig gefasste § 38 Abs. 2 BDSG, nach dem der Schutz nur gilt, wenn die Benennung des Datenschutzbeauftragten verpflichtend ist. Aber Unternehmen sollten bedenken, dass dies gerichtlich noch nicht bestätigt wurde. Zudem bedeutet der Wegfall der Verpflichtung nicht auch den Wegfall der sonstigen datenschutzrechtlichen Vorgaben wie der Erstellung von Verzeichnissen über die Verarbeitungstätigkeiten (VVT). Unternehmen sollten daher prüfen, ob der Datenschutzbeauftragte trotz fehlender Verpflichtung sinnvoll für die Erfüllung dieser Pflichten ist.

Eine Erleichterung für Datenverarbeitungen im Beschäftigungsverhältnis

Neu geregelt ist auch die Datenverarbeitung durch Unternehmen im Beschäftigungsverhältnis. Wer in der Vergangenheit personenbezogene Daten von Beschäftigten auf der Grundlage einer Einwilligung verarbeitet hat, musste die Einwilligung in der Regel schriftlich einholen. Schriftliche Einwilligung bedeutet, dass die Einverständniserklärung des Betroffenen nicht nur schriftlich verfasst, sondern vom Einwilligenden auch eigenhändig zu unterzeichnen ist. Von der Schriftform durfte nur bei besonderen Umständen abgesehen werden, etwa bei Mitarbeitern, die durchgängig im Home-Office arbeiten. Mit der Änderung durch das 2. DSAnpUG kann die Einwilligung nun gemäß § 26 Abs. 2 S. 3 BDSG schriftlich oder elektronisch erfolgen. Damit ist nun auch die Einwilligung ohne Einschränkung per E-Mail möglich. Damit trägt das Anpassungsgesetz den Bedürfnissen der Praxis Rechnung und erleichtert die Handhabung für Unternehmen.

Eine neue Aufsicht für Telekommunikationsunternehmen

Eine weitere Änderung betrifft nur Unternehmen, die „für die geschäftsmäßige Erbringung von Telekommunikationsdienstleistungen“ personenbezogene Daten verarbeiten. Mit der Neufassung des § 9 Abs. 1 BDSG ist für sie nun grundsätzlich der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit („BfDI“) für die Aufsicht zuständig. Die Neuregelung trägt dem Umstand Rechnung, dass das Telekommunikationsgesetz („TKG“) in Zukunft keine Umsetzungsregelungen bezüglich der DSGVO enthält. Diese Lücke wird somit geschlossen und für Unternehmen ergeben sich daher keine besonderen Änderungen.

Stärkung privater Arbeit im öffentlichen Interesse

Eine wichtige Anpassung wurde im § 22 BDSG vorgenommen. Hier geht es um die Verarbeitung besonders schutzwürdiger personenbezogener Daten wie Daten mit Religions- oder Gesundheitsbezug. Diese dürfen nach Art. 9 DSGVO nur in Ausnahmefällen verarbeitet werden. Einige Ausnahmen befinden sich im § 22 BDSG, unter anderem für Datenverarbeitungen, die aus Gründen eines erheblichen öffentlichen Interesses zwingend erforderlich sind. Während diese Ausnahme vom Verarbeitungsverbot besonders schutzwürdiger Daten zuvor nur öffentlichen Stellen vorbehalten war, gilt sie nun auch für nichtöffentliche Stellen, das heißt auch für private Unternehmen. Was unter zwingenden Gründen zu verstehen ist, macht die Gesetzesbegründung anhand einiger Beispiele deutlich. Solche können etwa dann vorliegen, wenn durch zivilgesellschaftliche Träger Daten mit Religionsbezug „im Rahmen von Präventions- und Deradikalisierungsprogrammen im Bereich religiös motiviertem, insbesondere islamistischem, Extremismus“ verarbeitet werden. Gleiches gilt „im Bereich der Bekämpfung von Pandemien oder im Rahmen des Katastrophenschutzes“. Wichtig ist dabei: Diese Norm gilt nicht für private Stellen, die Daten geschäftsmäßig und im Rahmen eines gewerblichen Geschäftsmodells verarbeiten. In diesem Fall könne, so die Gesetzesbegründung, ein erhebliches öffentliches Interesse nicht vorliegen.

Fazit

Die Änderungen im BDSG setzen an den richtigen Stellen an und stellen im Wesentlichen Erleichterungen für die Praxis dar. Die Anerkennung der elektronischen Form im § 26 BDSG ist praxisnah und eine wichtige Änderung. Ebenso ist der neue Erlaubnistatbestand für die Datenverarbeitung privater Stellen im öffentlichen Interesse zu begrüßen und trägt der Gemeinnützigkeit solcher Träger Rechnung. Etwas weniger klar ist die Änderung der Pflicht, einen Datenschutzbeauftragten bestellen zu müssen. Einerseits erhalten kleine bis mittlere Unternehmen Entscheidungsfreiheit in diesem Bereich, die sich andererseits relativiert, wenn man die Rolle des Datenschutzbeauftragten bedenkt: nämlich die Einhaltung des Datenschutzes im Unternehmen zu koordinieren, zu überwachen und zum Thema Datenschutz zu beraten. Auch ohne Verpflichtung kann eine Bestellung also trotzdem sinnvoll sein, was die Wichtigkeit der Norm begrenzt. Dennoch sind mit dem 2. DSAnpUG insgesamt sinnvolle Änderungen vorgenommen worden, deren praktische Relevanz und der sich ergebende Handlungsbedarf allerdings nicht überhöht werden müssen.

Mehr zum Thema

6. Februar 2024

Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.
Weiterlesen
26. Januar 2024

Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download

Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.
Weiterlesen
9. Januar 2024

Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling

In Zeiten zunehmender Cyberbedrohungen können Unternehmen durch die Mitigation von Datenschutzrisiken nicht nur sich selbst und ihre Beschäftigten vor Bedrohungen bewahren, sondern vor allem auch den Schutz ihrer Kund:innen effektiver gewährleisten. Ein Schlüsselelement der Risikoanalyse ist das sogenannte Threat Modeling. Wir erläutern, was Threat Modeling beinhaltet und wie es speziell in der Datenschutzberatung eingesetzt wird.
Weiterlesen

4. Dezember 2019

TISAX, ISO 27001, ISMS – Was steckt dahinter?

Zertifizierungen sind ein echter Wettbewerbsvorteil. Durch sie können Unternehmen ihre Zuverlässigkeit bei der Informationssicherheit unter Beweis stellen. Vorteile bei öffentlichen und privaten Ausschreibungen und ein produktiver Fluss von Informationen mit Partnern gehören zu den Vorteilen von Zertifizierungen. So viel steht fest. Die Frage ist nur, welche Zertifizierungen oder Testate für welche Zwecke erworben werden sollten. Von TISAX über ISO27001 bis C5 und dem dahinter stehenden Begriff des ISMS bringen wir in diesem Artikel für Sie Licht ins Dunkel.

Was ist ein ISMS?

Ein ISMS ist eine Sammlung von Regeln, Methoden und Abläufen, die dazu dienen, das IT-System eines Unternehmens zu sichern und diesen sicheren Zustand dauerhaft zu erhalten und zu steigern. Dafür werden in der Regel durch die Unternehmensleitung Anweisungen in Form von Zielen und Leitlinien vorgegeben. Die konkrete Umsetzung in Form von Maßnahmen, Verhaltensregeln, Protokollen et cetera erfolgt dann auf der Arbeitsebene. Die genaue Dokumentierung und Überwachung der Einhaltung der IT-Sicherheitsregeln kann einem IT-Sicherheitsbeauftragten übertragen werden. Wichtig ist dabei, dass Sicherheitszertifizierungen immer ergebnisoffen sind. Das heißt sie geben keine konkreten Maßnahmen, sondern Ziele und Aufträge vor. Wie das Unternehmen diese erreicht, ist dabei für eine erfolgreiche Zertifizierung nicht wichtig. Eine Einschränkung der eigenen Flexibilität brauchen Unternehmen also durch die Zertifizierung nicht zu fürchten.

Arten von Zertifizierungen

Zertifizierungen für Informationssicherheit gibt es zahlreich: ISO 27001, IT-Grundschutz, VDA / TISAX, VdS 10000, VAIT. Aber welche dieser Zertifizierungen sind für welche Unternehmen sinnvoll oder sogar notwendig?

ISO 27001 und IT-Grundschutz

Zertifikate, die den grundlegenden IT-Schutz sicher stellen, sind das ISO 27001 und der IT-Grundschutz des BSI. Im Gegensatz zu TISAX, VAIT, C5 und VDS 10000 sind diese Zertifikate nicht nur für Unternehmen aus gewissen Branchen oder einer gewissen Größe sinnvoll, sondern grundsätzlich für alle Unternehmen. Die Voraussetzung für möglichst reibungslose und produktive Arbeitsabläufe ist in fast allen modernen Unternehmen eine zuverlässige und sichere IT-Infrastruktur. Dieses Ziel kann man durch eine Zertifizierung nach IT-Grundschutz oder ISO 27001 unterstützen. Kern beider Zertifikate ist die Implementierung eines Informationsmanagementsystem (ISMS). Dieses soll die Integrität des IT-Systems gegen Angriffe von außen und seine Stabilität sicher stellen.

Wenn ein Unternehmen alle Prozesse, Daten und Komponenten seiner IT-Infrastruktur unter technischen, organisatorischen und personellen Gesichtspunkten grundlegend im Sinne des IT-Grundschutzes abgesichert hat, kann ein vom BSI zertifizierter Auditor darüber ein Testat des BSI ausstellen. Dieses ist dann wiederum die Grundlage für die Prüfung der Vorgaben der ISO 27001 durch einen externen Auditor und die anschließende Erteilung des Zertifikates. Das ISO 27001-Zertifikat ist sowohl national als auch international anerkannt. Durch die Erweiterung ISO 27701 sind erstmals Vorgaben für guten Datenschutz in einem Unternehmen in einer ISO Norm festgehalten worden. Diese Norm erfüllt zwar noch nicht die Vorgaben des Art 43 DSGVO. Es ist auch noch nicht möglich für Unternehmen, sich nach ihr zertifizieren zu lassen. Jedoch zeigt sie, dass die Zertifizierung eines guten Datenschutzes möglich ist. Es bleibt abzuwarten, ab wann die ersten Zertifizierungen, im Einklang mit Art 43 DSGVO guten Datenschutz bescheinigen können. Damit verbunden wäre eine große Erleichterung der Arbeit vieler Unternehmen und ein wünschenswerter Pragmatismus im Umgang mit dem Thema Datenschutz.

TISAX für die Automobilbranche

Spezieller ist die Zielgruppe des VDA/TISAX Zertifikates. Diese besteht vor allem aus Unternehmen der Automobilbranche. Die Anforderungen des TISAX-Zertifikats gehen dabei insbesondere bei Fragen der Einbindung von Partnern in die eigene IT-Infrastruktur und dem Prototypenschutz über die Standards der ISO 27001 hinaus. Nach TISAX zertifizierte Unternehmen können ohne Angst vor dem Verlust von Entwicklungsgeheimnissen oder anderem Wettbewerbssensitivem Wissen mit Herstellern, Zulieferern und anderen Unternehmen der Automobilbranche zusammenarbeiten.

VDS 10000 vor allem für KMU

Auch die VDS 10000 ist für einen genauer umrissenen Kreis von Adressaten gedacht. Sie soll kleinen und mittleren Unternehmen (KMU) ermöglichen, ein ISMS mit verhältnismäßig geringem Aufwand aufzubauen und sich dieses zertifizieren zu lassen. Je nach Aufwand der Umsetzung, kann sich diese Zertifizierung jedoch auch schon für kleine und mittlere Unternehmen lohnen.

VAIT für die Finanzbranche

Die von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) herausgegebenen VAIT (Versicherungsaufsichtliche Anforderungen an die IT) sind weniger eine Zertifizierung als eine Auslegung der rechtlichen Anforderungen aus den §§ 23 bis 32 Versicherungsaufsichtsgesetz (VAG). Die Einhaltung dieser Richtlinien ist dementsprechend nicht nur vorteilhaft, sondern für Versicherungen schlicht zwingend notwendig.

C5 für Cloudanbieter

Der Cloud Computing Compliance Controls Catalogue (C5) des BSI fasst Sicherheitsanforderungen an Cloudanbieter zusammen. Neben den Anforderungen an ein ISMS, bei denen sich der Standard nicht von anderen gängigen Normen wie zum Beispiel der ISO 27001 unterscheidet, enthält der Prüfbericht für C5 auch sogenannte Umfeldparameter wie Angaben zu zuständigen Gerichten, dem Ort der Datenspeicherung und -verarbeitung, Offenbarungspflichten gegenüber und Ermittlungsbefugnisse von Ermittlungsbehörden und die für den Cloud-Dienst bereits erteilten Zertifikate und Testate. Dadurch sollen Kunden leichter erkennen können, ob ein Cloudanbieter die relevanten Anforderungen zum Beispiel für den Datenschutz oder unternehmensinterne Richtlinien erfüllt. Unternehmen, die bereits nach ISO 27001 zertifiziert sind, oder dieses Zertifikat noch erwerben wollen, sollten jedoch überlegen, ob sie wirklich die Zertifizierung nach C5 anstreben wollen. Die ISO Normen 27017 und 27018 können nämlich auch im Rahmen einer Zertifizierung nach ISO 27001 umgesetzt werden, was eine Zertifizierung nach C5 überflüssig machen kann, da die Anforderungen beider Normen weitestgehend deckungsgleich mit den Anforderungen der C5 sind.

Anforderungen für KRITIS

Wer kritische Infrastruktur (KRITIS) nach §8a BSiG betreibt, muss angemessene organisatorische und technische Vorkehrungen treffen, um seine IT vor Störungen zu schützen. Diesen angemessenen Schutz muss der Betreiber alle zwei Jahre nachweisen. Welche Infrastruktur dabei als kritische Infrastruktur einzustufen ist, richtet sich nach den §§ 2-8 BSI-KritisV.

Fazit

Wer sich nach dem für ihn sinnvollen Sicherheitsstandard zertifizieren lässt, hat viele Vorteile.

Zertifikate sind ein wichtiges Qualitätssiegel gegenüber potenziellen Kunden.
Sie ermöglichen den Zugang zu Ausschreibungsverfahren und schaffen Vertrauen in bestehende Geschäftsbeziehungen.

Sie bilden also sowohl im Vertrieb als auch im laufenden Geschäft einen greifbaren Mehrwert. Darüber hinaus zeigen Zertifikate, dass Unternehmen weithin anerkannte Qualitätsstandards einhalten. Die Einführung eines solchen Systems kann jedoch ohne fachkundige Beratung schnell zu einer großen zeitlichen organisatorischen und damit auch finanziellen Belastung führen. Es lohnt sich daher für Unternehmen, die die zahlreichen Vorteile einer Zertifizierung ihrer IT-Infrastruktur nutzen wollen, Beratungsdienstleistungen in Anspruch zu nehmen. Das so eingeführte ISMS kann mit einem schlanken und effektiven Risikomanagement sogar zu einer größeren Produktivität und aufgrund geklärter Zuständigkeiten sowie einer starken Feedback-Kultur zu größerer Zufriedenheit bei den Mitarbeitern führen. Es lohnt sich also durchaus das Thema Zertifikate anzugehen!

Sie haben Fragen rund um die Zertifizierung Ihres Unternehmens? Wir wählen mit Ihnen den passenden Zertifizierungs-Standard aus und begleiten Sie bei der Zertifizierung Ihres Unternehmens nach den Standards ISO 27001, C5 sowie für Kritische Infrastrukturen (KRITIS). Kontaktieren Sie uns!

Mehr zum Thema

23. Mai 2023

Die Bedeutung von IT-Sicherheit für Unternehmen und wie sie sich schützen können

Cyber-Angriffe sind der Albtraum eines jeden Unternehmens. Je stärker die Geschäftsprozesse digitalisiert und Systeme vernetzt werden, desto größer wird auch das Risiko von Cyber-Angriffen. Wir werfen einen genaueren Blick auf die Folgen von IT-Angriffen und warum Unternehmen nicht länger zögern sollten, Maßnahmen zur Verbesserung ihrer IT-Sicherheit zu ergreifen.
Weiterlesen
5. April 2022

Neue IT-Sicherheitsanforderungen im Gesundheitswesen

Die Digitalisierung hat auch das Gesundheitswesen erreicht. Was sind demnach die neuen Anforderungen an die IT-Sicherheit? Jetzt lesen!
Weiterlesen
4. November 2020

Referentenentwurf für das IT-Sicherheitsgesetz 2.0: Verbraucherschutz und neue Unternehmenspflichten

Den Entwurf, der sowohl Zuspruch als auch Kritik erhalten hat, haben wir hier für Sie zusammengefasst. Aktuell wird mit einer Befassung des IT-Sicherheitsgesetzes 2.0 im Bundestag erst gegen Ende des Jahres gerechnet.
Weiterlesen

26. November 2019

Google Analytics: Rechtskonformer Einsatz nur mit Einwilligung des Nutzers?

Mit ihrer Stellungnahme vom 14. November sendeten einige Datenschutzbehörden ein deutliches Signal an Websitebetreiber: Eine rechtskonforme Datenverarbeitung durch Google Analytics ist ihrer Rechtsauffassung nach ohne Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a DSGVO nicht möglich. Zugleich machen sie deutlich, dass bei Datenschutzverstößen mit hohen Bußgeldern zu rechnen ist. Besteht daher Handlungsbedarf für Websitebetreiber, die Google Analytics nutzen?

Von Tracking sprechen die Datenschutzbehörden, wenn das eingebundene Tool das individuelle Verhalten der Websitebesucher nachverfolgt. Das gilt zum Beispiel für Dienste wie Google Analytics. Werden diese Nutzungsdaten an Dritte übertragen, die damit eigene Zwecke verfolgen und z. B. Nutzerprofile erstellen, ist nach der Auffassung der Datenschutzbehörden eine Einwilligung des Betroffenen für eine rechtskonforme Datenverarbeitung erforderlich. Das gilt nach Ansicht der Behörden inzwischen auch für Google Analytics. Zuvor war dessen Einsatz als zulässig erachtet worden.

Was hat sich geändert?

Schon früher waren die Behörden sehr kritisch, was die Nutzung von Google Analytics angeht. Zu der aktuellen unzweideutigen Position kamen die Datenschutzbehörden jedoch, weil ihrer Ansicht nach Google mit den getrackten Daten nun eigene Zwecke verfolge. Google selbst sieht das jedoch nicht so und verweist im Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO und den Hinweisen zu Google Analytics darauf, nur im Auftrag des Websitebetreibers die getrackten Daten zu verarbeiten. Aber insbesondere die Berliner Datenschutzbeauftragte ist anderer Ansicht und meint, dass es sich noch nicht einmal um eine Auftragsverarbeitung handle. Hier stehen sich zwei Positionen kompromisslos gegenüber. Ganz entscheidend für die Beurteilung dieser Frage ist, ob Google beim Einsatz von Analytics an die Weisungen des Websitebetreibers gebunden ist. Hierzu werden mit jeweils guten Begründungen die oben genannten gegensätzlichen Positionen vertreten. Eine rechtsverbindliche Klärung dieser Frage durch die Gerichte fand bisher nicht statt.

Ist eine Einwilligung zwingend notwendig?

Als Websitebetreiber muss man bei der Einbindung von Tools prüfen, ob für diese eine Einwilligung benötigt wird oder ob man sich auf berechtigte Interessen im Sinne des Art. 6 Abs. 1 S. 1 lit. f DSGVO stützen kann. Schon im März 2019 hatte die Datenschutzkonferenz hierzu eine Orientierungshilfe veröffentlicht, in der Kriterien aufgestellt wurden, wann nach ihrer Auffassung eine Datenverarbeitung auf ein berechtigtes Interesse gestützt werden kann. Zunächst muss überhaupt ein berechtigtes Interesse an der Nutzung des Tools vorliegen. Dann muss die Datenverarbeitung zur Verwirklichung dieses Interesses erforderlich sein. Das bedeutet, dass es kein gleich geeignetes, milderes Mittel geben darf, um die Funktion des Tools zu verwirklichen. Abschließend ist zu prüfen, ob die Interessen des Websitebetreibers im konkreten Anwendungsfall schwerer wiegen als die Einschränkung der Privatsphäre der Website-Besucher.

Für Analyse-Tools wie Google Analytics hielten die Datenschutzbehörden die Datenverarbeitung in ihren neuesten Stellungnahmen noch nicht einmal für erforderlich. Begründung: Für die Reichweitenmessung gibt es Alternativen, die lokal implementiert werden können und nur eigenen Zwecken dienen (wie z. B. Matomo). Solche Tools brauchen dann gemäß der Bayerischen Datenschutzbehörde folglich auch keine Einwilligung.

Daher gilt: Die Datenschutzbehörden setzen die Hürde für das berechtigte Interesse hoch. Falls man sich darauf stützt, sollte man die acht Kriterien aus der Orientierungshilfe (S. 17 ff.) berücksichtigen und die Interessenabwägung dokumentieren. Denn die Behörden könnten ihre Einhaltung prüfen. Das gilt zwar grundsätzlich für jede Datenverarbeitung nach Art. 6 Abs. 1 lit. f DSGVO, aber gerade, weil das Thema von den Datenschutzbeauftragten momentan vermehrt in den Fokus getragen wird, sollten Websitebetreiber hier besonders präzise arbeiten.

Welche Konsequenzen kann die fehlende Einwilligung haben?

Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) sind nach Art. 83 der Verordnung bußgeldbewährt. Insbesondere eine fehlende Rechtsgrundlage für eine Datenverarbeitung im Sinne von Art. 6 Abs. 1 S.1 DSGVO wiegt schwer. Diesbezüglich betonen die Aufsichtsbehörden, dass sie bereits zahlreiche Verfahren eingeleitet haben, bei denen für die Benutzung von Tracking-Tools auf Websites keine Einwilligung der Besucher eingeholt wurde.

Nicht nur deshalb ist es wichtig, die Stellungnahme der Datenschutzbehörden zum Tracking ernst zu nehmen. Sie sind in der Lage, Prüfungen und Bußgeldverfahren einzuleiten. Eine anfängliche Zurückhaltung bei der Verhängung von Bußgeldern ist mittlerweile nicht mehr erkennbar. Das aktuellste Beispiel dafür ist ein Bußgeld in Höhe von 14,5 Mio. Euro, dass die Berliner Datenschutzbeauftragte erst kürzlich gegen die Deutsche Wohnen AG verhängt hat.

Websitebetreiber sollten sich angesichts dieser Zuspitzung einen Überblick über die verwendeten Tools auf ihrer Website verschaffen und prüfen, welche Rechtsgrundlage für sie infrage kommt und ihre Entscheidungen dokumentieren, insbesondere, wenn Cookies weiterhin auf Basis von berechtigten Interessen nach Art. 6 Abs. 1 lit. f DSGVO eingesetzt werden sollen. Sofern eine Einwilligung nach Art 6 Abs. 1 S. 1 lit. a DSGVO benötigt wird, kann diese z.B. über einen Cookie-Banner oder ein Pop-Up eingeholt werden. Nach den strengen Anforderungen der Datenschutzbehörden soll für die meisten Tools, welche etwa die Personalisierung von Inhalten, Marketing oder die Einbindung Dritter vorsehen, eine Einwilligung notwendig sein. Die Einwilligung ist in der DSGVO in Art. 4 Nr. 11 definiert. Dieser im Gesetz recht unscharfe Begriff kann mit Hilfe des Erwägungsgrundes 32 genauer bestimmt werden. Dort wird festgelegt, dass Stillschweigen, bereits angekreuzte Kästchen oder bloße Untätigkeit keine Einwilligung ersetzen können. „Mit dem Weitersurfen stimmen Sie zu“, ist daher sicher keine zulässige Einwilligung. Sie muss darüber hinaus informiert und freiwillig erfolgen.

Wichtig ist nach Art. 13 Abs. 1 DSGVO auch, über Nutzung der Tools in den Datenschutzhinweisen zu informieren und dort auch die Rechtsgrundlage aufzuführen. Seit dem EuGH-Urteil zu Planet49 muss bei Cookies übrigens auch über Speicherdauer und mögliche Empfänger der Daten informiert werden.

Die rechtlichen Aussagen der Behörden fallen knapp aus und eine Einwilligungspflicht ergibt sich nicht aus dem Gesetz. Die Ansicht der Behörden, dass zur Nutzung von Google Analytics durch Websitebetreiber zwingend eine Einwilligung eingeholt werden muss, ist deshalb umstritten. Trotzdem können die Aufsichtsbehörden Verfahren gegen Websitebetreiber einleiten und Bußgelder verhängen. Rechtssicherheit werden erst Gerichtsurteile zum Einsatz und der Rechtsgrundlage von Tracking-Tools bringen. Um jedoch bis dahin vor Prüfungen und Bußgeldern der Behörden gewappnet zu sein, sollte die eigene Website auf die genutzten Tools untersucht und bewertet werden, um dann ggf. Compliance-Maßnahmen einleiten zu können.

Mehr zum Thema

18. September 2023

Alternativen zum klassischen Cookie-Banner – Paywalls, PUR-Modelle und PIMS

Das Werbetracking bietet Telemedienanbieterinnen und -anbietern die Möglichkeit, den Nutzerinnen und Nutzern personalisierte Werbung auszuspielen und damit die Darstellung ihrer Inhalte zu finanzieren. Der folgende Beitrag untersucht die rechtlichen Herausforderungen personalisierter Werbung und zeigt praktische Lösungsansätze auf.
Weiterlesen
12. Juli 2023

Die wichtigsten Fragen zu Datenübermittlung an US-Dienste: Was bedeutet der neue EU-US Datenschutzrahmen für Unternehmen?

Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss nach Artikel 45 Abs. 3 der DSGVO für die USA erlassen: Das „EU-US Data Privacy Framework“ (EU-US-Datenschutzrahmen). Damit stellt die Kommission nach dem vom EuGH im Juli 2020 gekippten Privacy Shield erneut fest, dass die USA ein angemessenes Schutzniveau für aus der EU übermittelte personenbezogene Daten gewährleisten können.
Weiterlesen
24. April 2023

Digitales Marketing und Datenschutz – Handlungsempfehlungen für E-Commerce-Unternehmen

Gerade aufgrund des riesigen Online-Angebots für sämtliche Produkte und Dienstleistungen sowie der in der Vergangenheit aufgetretenen Datenschutzvorfälle bei großen Online-Händlern, kann effektiver und gut umgesetzter Datenschutz für E-Commerce-Unternehmen bei der Ansprache von Kund:innen ein unersetzliches Asset darstellen. Wir geben einen Überblick!
Weiterlesen

19. November 2019

Facebook Fanpages: Änderungen bei Facebook Insights

Nach einem Urteil des Europäischen Gerichtshofs (EuGH) und einem Beschluss der Datenschutzkonferenz (DSK) aus dem letzten Jahr, die feststellten, dass Fanpages auf Facebook nicht rechtskonform betrieben werden können, reagierte Facebook bereits mit der Ergänzung einer Vereinbarung zur gemeinsamen Datenverarbeitung mit Fanpage-Betreibern nach Art 26 DSGVO in seinen Nutzungsbedingungen. Problematisch war für den Gerichtshof vor allem, dass Facebook mit den Betreibern solcher Fanpages keine Verträge zur gemeinsamen Datenverarbeitung geschlossen hat.

Lesen sie hier, welche Änderungen Facebook im November 2019 an dem Passus zur gemeinsamen Datenverarbeitung vorgenommen hat und was Betreiber von Facebook Fanpages jetzt zu beachten haben.

Trotz der Ergänzung der AGB verblieben Zweifel daran, ob Facebook Fanpages DSGVO-konform betrieben werden können. Ungeklärt bleiben musste die Frage nach der Rechtsgrundlage aus Art. 6 Abs. 1 S. 1 DSGVO für die Datenverarbeitung auf Seiten des Betreibers der Fanpage.
Ein berechtigtes Interesse nach Art 6 Abs. 1 S. 1 f DSGVO kann darin gesehen werden, dass die Seitenbetreiber mehr Nutzer durch besser auf ihre Zielgruppe abgeschirmte Posts erreichen können. Dagegen spricht zwar die Ansicht der DSK, jedoch ist diese umstritten. Bis diese Frage durch die Rechtsprechung entschieden wurde, verbleiben Fanpage-Betreiber weiter im Unklaren über die Möglichkeiten eines DSGVO-konformen Trackings. Insofern hat auch die Veränderung der AGB zu Insights durch Facebook nichts an der Uneindeutigkeit der Rechtslage geändert.

Was genau hat Facebook geändert?

Mit dem Update durch Facebook sind die AGB zu Facebook Insights deutlich umfangreicher geworden.

Facebook nennt das Kind endlich beim Namen und erkennt in den Geschäftsbedingungen zu Insights an, dass das Unternehmen und die Fanpage-Betreiber „gemeinsam Verantwortliche gemäß Artikel 26 DSGVO für die Verarbeitung dieser personenbezogenen Daten[„Insights-Daten“]“ sind. Dieser Passus war zwar zuvor schon vorhanden, ist jedoch durch die Nennung der Norm eindeutiger geworden.

Weiterhin erklärt Facebook seinerseits eindeutig und im Klartext, welche technisch-organisatorischen Maßnahmen (TOM) eingesetzt werden, um die verarbeiteten Daten vor unberechtigtem Zugriff zu schützen.

TOM: Welche Pflichten müssen Fanpage-Betreiber erfüllen?

Facebook übernimmt zwar durch seine AGB einen großen Teil der Pflichten im Rahmen der gemeinsamen Verarbeitung nach Art. 26 DSGVO, aber das bedeutet nicht, dass die Fanpage-Betreiber nicht auch in der Verantwortung stehen. Sie sollten weiterhin die folgenden Punkte beachten:

Es ist wichtig, dass Sie auf Ihrer Fanpage eine Datenschutzerklärung bereit stellen, in der genannt wird, wer auf Seiten des Fanpage-Betreibers Verantwortlicher ist und zu welchen Zwecken sowie auf welcher Rechtsgrundlage Daten verarbeitet werden. Die Erklärung sollte zudem auch nähere Ausführungen zum berechtigten Interesse an der Datenverarbeitung nach Art 6 Abs. S. 1 f DSGVO enthalten, wenn dieses die gewählte Rechtsgrundlage für die Datenverarbeitung ist. Weiterhin sollte die Erklärung einen Link zu Facebooks Informationen über Insights enthalten.
Bis jetzt ist noch nicht eindeutig geklärt, ob die AGB-Passagen zu Facebook-Insights eine wirksame Vereinbarung zur gemeinsamen Datenverarbeitung nach Art. 26 DSGVO sind. Es gibt gute Gründe, die dafür sprechen, jedoch sehen die Datenschutzbehörden das ganze bisher anders. Bis diese Frage abschließend durch die Rechtsprechung geklärt wurde, sollten Seitenbetreiber aufmerksam die Entwicklung Facebook Insights verfolgen.
Wichtig ist auch, dass Sie Betroffenenanfragen, die Insights betreffen, innerhalb von sieben Kalendertagen an Facebook weiterleiten. Dazu sind Sie laut den AGB verpflichtet. Darunter könnten auch Anfragen zu fassen sein, die generell danach fragen, welche Daten Ihr Unternehmen zu einer natürlichen Person verarbeitet. Dagegen sprechen jedoch gleich mehrere Gründe: Facebook gibt über Insights nur anonymisierte Daten weiter und auf Facebook herrscht für User auch keine Klarnamenspflicht. Das heißt, dass Sie die Daten, die über Insights verarbeitet werden, in den allermeisten Fällen gar nicht dem Anfragenden zuordnen können. Mithin sind Sie auch nicht dazu verpflichtet solch allgemeine Anfragen an Facebook weiterzuleiten.

Wenn Sie diese Punkte bereits beim Betrieb ihrer Fanpage beachten, ändert sich auch durch die AGB Änderung auf Seiten von Facebook nichts. Sie können also weiterhin Facebook Insights zur Optimierung Ihrer Fanpage nutzen, ohne in Konflikt mit der DSGVO zu stehen.

Mehr zum Thema

18. September 2023

Alternativen zum klassischen Cookie-Banner – Paywalls, PUR-Modelle und PIMS

Das Werbetracking bietet Telemedienanbieterinnen und -anbietern die Möglichkeit, den Nutzerinnen und Nutzern personalisierte Werbung auszuspielen und damit die Darstellung ihrer Inhalte zu finanzieren. Der folgende Beitrag untersucht die rechtlichen Herausforderungen personalisierter Werbung und zeigt praktische Lösungsansätze auf.
Weiterlesen
12. Juli 2023

Die wichtigsten Fragen zu Datenübermittlung an US-Dienste: Was bedeutet der neue EU-US Datenschutzrahmen für Unternehmen?

Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss nach Artikel 45 Abs. 3 der DSGVO für die USA erlassen: Das „EU-US Data Privacy Framework“ (EU-US-Datenschutzrahmen). Damit stellt die Kommission nach dem vom EuGH im Juli 2020 gekippten Privacy Shield erneut fest, dass die USA ein angemessenes Schutzniveau für aus der EU übermittelte personenbezogene Daten gewährleisten können.
Weiterlesen
24. April 2023

Digitales Marketing und Datenschutz – Handlungsempfehlungen für E-Commerce-Unternehmen

Gerade aufgrund des riesigen Online-Angebots für sämtliche Produkte und Dienstleistungen sowie der in der Vergangenheit aufgetretenen Datenschutzvorfälle bei großen Online-Händlern, kann effektiver und gut umgesetzter Datenschutz für E-Commerce-Unternehmen bei der Ansprache von Kund:innen ein unersetzliches Asset darstellen. Wir geben einen Überblick!
Weiterlesen

Wir melden uns bei Ihnen!

Vielen Dank für Ihre Nachricht. Wir melden uns bei Ihnen.

Es ist ein Fehler aufgetreten.

Die einzelnen Themen:

Newsletter

Mehr zum Thema

Die wichtigsten Fragen zu Datenübermittlung an US-Dienste: Was bedeutet der neue EU-US Datenschutzrahmen für Unternehmen?

Joint Controller Agreement: Vorteile und Herausforderungen der gemeinsamen Verantwortlichkeit

Anonymisierung und Pseudonymisierung in der Praxis

Welche Maßnahmen und Datenverarbeitungen darf der Arbeitgeber zur Infektionsprävention durchführen?

Arbeit im Home-Office: Was gibt es datenschutzrechtlich zu beachten?

Fazit und Empfehlung

Zwei-Stufen-Prüfung

Verschiedene Instrumente

Newsletter

Angemessenheitsbeschluss der Europäischen Kommission

EU-US Privacy Shield

Standardvertragsklauseln

Weitere geeignete Garantien

Ausnahmetatbestände

Abschließende Handlungsempfehlungen

Mehr zum Thema

Smart-Data-Verfahren im Finanzsektor: Datenschätze behutsam erschließen

Die wichtigsten Fragen zu Datenübermittlung an US-Dienste: Was bedeutet der neue EU-US Datenschutzrahmen für Unternehmen?

Die neuesten Entwicklungen zu Datentransfers in Drittländer

Newsletter

Mehr zum Thema

Ransomware-Prävention in Zeiten von KI – Wie Unternehmen Attacken vorbeugen können

Die Deadline naht: Machen Sie Ihr Unternehmen noch vor Oktober fit für NIS-2

Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

Zulässigkeit der Datenübermittlung in Drittländer

Newsletter

Hintergrund

Empfehlung des EuGH-Generalanwalts

Handlungsempfehlungen

Weitere Alternativen?

Mehr zum Thema

Smart-Data-Verfahren im Finanzsektor: Datenschätze behutsam erschließen

Die wichtigsten Fragen zu Datenübermittlung an US-Dienste: Was bedeutet der neue EU-US Datenschutzrahmen für Unternehmen?

Die neuesten Entwicklungen zu Datentransfers in Drittländer

Newsletter

Mehr zum Thema

Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download

Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling

Skepsis gegenüber digitalen Sprachassistenten

Newsletter

Wie sieht es aus, wenn Alexa so arbeitet, wie sie arbeiten sollte?

Datenschutz: Immer an die Einwilligung des Patienten denken

Ärztliche Schweigepflicht beachten

Möglichkeiten für einen sicheren Einsatz

Fazit

Mehr zum Thema

Die wichtigsten Fragen zu Datenübermittlung an US-Dienste: Was bedeutet der neue EU-US Datenschutzrahmen für Unternehmen?

Joint Controller Agreement: Vorteile und Herausforderungen der gemeinsamen Verantwortlichkeit

Anonymisierung und Pseudonymisierung in der Praxis

Newsletter

Mehr zum Thema

Ransomware-Prävention in Zeiten von KI – Wie Unternehmen Attacken vorbeugen können

Die Deadline naht: Machen Sie Ihr Unternehmen noch vor Oktober fit für NIS-2

Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

Zur Rolle des Datenschutzbeauftragten

Newsletter

Eine Erleichterung für Datenverarbeitungen im Beschäftigungsverhältnis

Eine neue Aufsicht für Telekommunikationsunternehmen

Stärkung privater Arbeit im öffentlichen Interesse

Fazit

Mehr zum Thema

Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download

Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling

Was ist ein ISMS?

Arten von Zertifizierungen

ISO 27001 und IT-Grundschutz

Newsletter

TISAX für die Automobilbranche

VDS 10000 vor allem für KMU

VAIT für die Finanzbranche

C5 für Cloudanbieter

Anforderungen für KRITIS

Fazit

Mehr zum Thema

Die Bedeutung von IT-Sicherheit für Unternehmen und wie sie sich schützen können