Die Schnittstellen zwischen künstlicher Intelligenz (KI) und Datenschutz werden zunehmend komplexer. Unternehmen setzen vermehrt hochentwickelte Algorithmen ein, um wertvolle Erkenntnisse zu generieren, Prozesse zu automatisieren und die Entscheidungsfindung zu optimieren. Der Einsatz von KI wirft jedoch bedeutende Fragen in Bezug auf Datenschutz und die Einhaltung sonstiger Vorschriften auf.

In diesem Kontext beleuchtet der nachfolgende Artikel die Compliance-Anforderungen, die für KI-Systeme im Bereich Datenschutz bestehen, und präsentiert Lösungsansätze in Bezug auf den Umgang mit schützenswerten Geschäftsgeheimnissen.

 

Das Wichtigste in Kürze

  • Mit der angekündigten „Verordnung des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz“ (KI-VO) soll die Verwendung von künstlicher Intelligenz in Unternehmen geregelt werden.
  • Der vorgeschlagene Gesetzesentwurf schafft einen umfassenden rechtlichen Rahmen für den Einsatz von KI-Systemen innerhalb der EU.
  • Im geschäftlichen Kontext kann KI dazu beitragen, Betriebsabläufe zu optimieren, Prognosen zu erstellen und den Kundenservice zu verbessern.
  • Mit dem Aufstieg von KI steigt auch die Menge an Daten, die Unternehmen sammeln und analysieren können.

 

Überblick über die KI-Verordnung

Die rapide Entwicklung der Künstlichen Intelligenz hat weitreichende Auswirkungen auf viele Lebensbereiche. Im April 2021 präsentierte die Europäische Kommission ihren Entwurf einer Verordnung für Künstliche Intelligenz, die vom Europäischen Parlament und dem Rat erlassen werden sollte. Diese vorgeschlagene KI-Verordnung wird als wegweisende Gesetzgebung betrachtet, um einheitliche Vorschriften für den Einsatz von künstlicher Intelligenz in der Europäischen Union zu etablieren.

Durch die KI-Verordnung wird bestrebt, eine Reihe wichtiger Ziele zu erreichen, die das Wohl und die Rechte der Bürgerinnen und Bürger in der Europäischen Union schützen sollen. Eines der vorrangigen Ziele besteht darin, die Grundrechte und Grundfreiheiten der Einzelpersonen zu wahren. Hierbei geht es darum sicherzustellen, dass KI-Systeme die Würde und die Privatsphäre der Menschen respektieren und keine diskriminierenden oder schädlichen Auswirkungen haben. Die Verordnung legt großen Wert darauf, dass KI-Systeme transparent, nicht manipulativ und im Einklang mit den Grundrechten agieren.

Ein weiteres Ziel der KI-Verordnung besteht darin, das Vertrauen der Bürgerinnen und Bürger in KI-Systeme zu stärken. Dies soll durch die Förderung von Transparenz, Rechenschaftspflicht und Verständlichkeit erreicht werden. Damit wird sichergestellt, dass KI-Systeme nachvollziehbar und erklärbar sind, was es den Menschen ermöglicht, die Funktionsweise und die Entscheidungsprozesse dieser Systeme besser zu verstehen.

Neben dem Schutz der Bürgerrechte und dem Aufbau von Vertrauen in KI-Systeme soll durch die KI-Verordnung auch die Förderung von Innovationen und die Steigerung der Wettbewerbsfähigkeit der europäischen Wirtschaft erreicht werden. Unternehmen sollen ermutigt werden, KI-Technologien zu entwickeln und zu nutzen, da dies nicht nur ihre Wettbewerbsfähigkeit stärkt, sondern auch zur wirtschaftlichen Entwicklung der EU beiträgt. Die KI-Verordnung hat somit das ambitionierte Ziel, die Vorteile der KI-Technologie zu nutzen, während sie gleichzeitig sicherstellt, dass sie im Einklang mit den Grundprinzipien der Freiheit und Würde agiert.

 

Compliance

Die Integration künstlicher Intelligenz in das operative Geschäft ist zweifellos ein Schlüssel zur Steigerung der Effizienz und Wettbewerbsfähigkeit vieler Unternehmen. Die automatisierte Datenverarbeitung und Analyse, die KI ermöglicht, eröffnen Unternehmen neue Möglichkeiten, um schneller fundierte Entscheidungen zu treffen und ihre Prozesse zu optimieren. Doch während die KI ein enormes Potenzial birgt, gehen damit auch erhebliche Risiken einher, insbesondere im Hinblick auf den Datenschutz.

Grundsätzlich ist eine gewisse Skepsis gegenüber neuen Technologien angebracht, insbesondere bei solchen mit perspektivisch großer Tragweite. In Bezug auf künstliche Intelligenz müssen Unternehmen jedoch sicherstellen, dass sie die Vorteile nutzen können, ohne die Datenschutzbelange zu vernachlässigen. Es ist entscheidend, dass Unternehmen in Technologien, Schulungen und Systeme investieren, um sowohl die Vorteile von KI zu maximieren als auch die Risiken zu minimieren.

Die Verantwortung für den Datenschutz liegt nicht alleine bei den Datenschutzbeauftragten, sondern insbesondere bei den Geschäftsführern und Vorstandsmitgliedern eines Unternehmens. Gemäß § 43 GmbH und § 93 AktG tragen die Geschäftsführer und Vorstandsmitglieder die Haftung und Verantwortung für die Einhaltung der Datenschutzvorschriften und die Sicherung der Daten ihrer Kunden und Mitarbeiter. Diese rechtlichen Bestimmungen unterstreichen die Bedeutung einer sorgfältigen und verantwortungsvollen Handhabung von Daten, insbesondere im Kontext von KI.

Insgesamt ist die Regulierung von künstlicher Intelligenz im Hinblick auf Datenschutz eine komplexe Aufgabe, die sowohl technisches Know-how als auch rechtliche Kenntnisse erfordert. Unternehmen müssen aktiv daran arbeiten, die Vorteile von KI zu nutzen, ohne dabei den Datenschutz zu vernachlässigen, und gleichzeitig sicherstellen, dass ihre Führungskräfte die Verantwortung für den Datenschutz tragen und die gesetzlichen Anforderungen erfüllen. Nur so können sie das volle Potenzial der KI ausschöpfen, ohne die Integrität und Sicherheit der Daten zu gefährden.

 

Geschäftsgeheimnisse

Geschäftsgeheimnisse sind ein kostbares Gut für Unternehmen. Es handelt sich dabei um sorgfältig entwickeltes Know-how, das oft jahrelange Forschung und Entwicklung erfordert. Anders als Patente, die zeitlich begrenzt sind, können Geschäftsgeheimnisse potenziell zeitlich unbegrenzt bestehen bleiben und umfassen Bereiche, die nicht durch Patentschutz geschützt werden können. Gerade auch für Daten, die nicht der Datenschutz-Grundverordnung (DSGVO) unterliegen, bietet der Schutz von Geschäftsgeheimnissen einen wichtigen Schutzmechanismus für Unternehmen. Allerdings ist hierfür entscheidend, die erforderlichen Maßnahmen zu ergreifen, um diesen Geheimnisschutz zu begründen und aufrechtzuerhalten.

Es ist wichtig zu beachten, dass die Eingabe vertraulicher Informationen in KI-Chatbots wie ChatGPT potenziell riskant ist. ChatGPT und ähnliche KI-Chatbots verwenden die eingegebenen Daten zur Verbesserung ihres eigenen Systems. Dadurch könnten die Informationen, die in solche Chatbots eingegeben werden, unter Umständen nicht mehr als vertraulich betrachtet werden, wodurch der Schutz des Geschäftsgeheimnisses gefährdet und ggf. ein Verstoß gegen das Lauterkeitsrecht begründet werden könnte.

Es ist schwer abzuschätzen, wie einfach es für andere Nutzer ist, durch die Eingabe eines entsprechenden Prompts früher eingegebene Geschäftsgeheimnisse einzusehen. Daher sollten Unternehmen sicherstellen, dass ihre Mitarbeiter keine Geschäftsgeheimnisse in öffentlich verfügbare KI-Tools eingeben. Dies könnte durch die vollständige Sperrung von Websites, auf denen solche Chatbots betrieben werden, gewährleistet werden.

Wenn ein Unternehmen den Einsatz von generativen KI-Tools erlaubt, sollte es sicherstellen, dass Mitarbeiter durch entsprechende Klauseln im Arbeitsvertrag bzw. einer gesonderten Erklärung daran gehindert werden, Geschäftsgeheimnisse in Chatbots einzugeben. Zusätzlich könnten Schulungen und Verhaltenskodizes eingeführt werden, um Mitarbeiter für den sorgfältigen Umgang mit Geschäftsgeheimnissen zu sensibilisieren und sie darauf hinzuweisen, wie sie erkennen können, ob es sich überhaupt um ein Geschäftsgeheimnis handelt.

Für Unternehmen, die dennoch von KI profitieren möchten, gibt es zwei mögliche Alternativen. Die erste besteht darin, ein maßgeschneidertes KI-Tool von einem externen Unternehmen entwickeln zu lassen und vertraglich sicherzustellen, dass die eingegebenen Informationen nur für die Zwecke des Auftraggebers verwendet werden und nicht zur Modellverbesserung dienen. Die sicherste Variante ist jedoch die Entwicklung eigener, firmeninterner KI-Tools, auch wenn dies kostenintensiv sein kann. Insbesondere große Technologieunternehmen, die einen erheblichen Teil ihres Know-hows in ihren KI-Anwendungen nutzen, könnten von solchen Investitionen erheblich profitieren.

Sollte Ihr Unternehmen Unterstützung bei dem Thema Datenschutz und Mitarbeiterschulungen benötigen, kontaktieren Sie uns gerne.

 

 

Fazit

Künstliche Intelligenz wird zunehmend eingesetzt, wobei die zukünftige Entwicklung ungewiss ist. Im Compliance-Bereich stellt die Technologie sowohl eine Herausforderung als auch eine Chance dar. Einerseits unterstützt sie bei der Bewältigung steigender Anforderungen und andererseits birgt sie auch neue Risiken. Unternehmen sollten sich aus diesem Grund frühzeitig mit den rechtlichen Rahmenbedingungen für einen rechtskonformen Einsatz von KI-Systemen befassen, denn die Umsetzung der angekündigten „Verordnung des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz“ (KI-VO) dürfte vielschichtige Anforderungen für Unternehmen mit sich bringen, wie etwa die strategische Entscheidung, wer im Unternehmen für die Einhaltung der KI-Governance zuständig sein wird.

 

„>

 
 
 

 

 

 

Um einen langfristigen Unternehmenserfolg zu erzielen und Kunden an das Unternehmen zu binden, ist es wichtig, die Interessen des bestehenden Kundenstamms, aber auch potenzieller Kunden und ihr Nutzerverhalten zu kennen. Hierzu greifen Betreiber von Webseiten oder Apps auf sogenanntes Web-Tracking zurück. Heutzutage gibt es kaum mehr einen Anbieter von Webdiensten, der keine Tracking- und Analyse-Tools zum Zwecke der Erfassung und Auswertung des Nutzungsverhaltens auf seiner Website oder in seiner App einsetzt. Denn Online-Tracking bietet den Betreibern vielfältige Möglichkeiten, um die eigene Website sowie das Angebot von Ware oder Dienstleistung gewinnbringender anzubieten und zu vermarkten. Das Web-Tracking ist unerlässliches Instrument der Erfolgskontrolle und der Prozessoptimierung im digitalen Bereich. Heutzutage gibt es zahlreiche Möglichkeiten, Nutzer zu tracken. Da dies für die Nutzer wiederum aber häufig nicht bzw. nur sehr schwer nachvollziehbar ist und ihre Daten in großem Umfang verarbeitet werden, besteht ein scheinbar unüberwindbarer Widerspruch zwischen Tracking und Datenschutz. Unternehmen haben ein nachvollziehbares Interesse daran das Nutzerverhalten zu tracken, gleichzeitig müssen dabei aber natürlich die Grenzen des Datenschutzes beachtet werden.

 

Das Wichtigste in Kürze

  • Unter Tracking versteht man die Beobachtung, Nachverfolgung und die Auswertung des Verhaltens von Website- oder App-Nutzern.
  • Web-Tracking-Methoden sind für Unternehmen wichtig, um effektiv und gewinnbringend werben zu können.
  • Grundlage des Web-Trackings ist die Verarbeitung personenbezogenen Daten der Internetnutzer.
  • In der Regel ist dafür eine datenschutzkonforme Nutzereinwilligung erforderlich.

 

Was versteht man unter Tracking?

Unter Tracking versteht man die Beobachtung, Nachverfolgung und die Auswertung des Verhaltens von Website- oder App-Nutzern. Dabei können Analysedaten mithilfe verschiedenster Tracking-Tools sowohl live als auch im Anschluss in aufgezeichneter Form angesehen und ausgewertet werden. Sie treten in unterschiedlichsten Formen auf und enthalten Informationen über das Online-Verhalten von Website- oder App-Nutzern, wie beispielsweise den Standort, die Anzahl der Website- oder App-Aufrufe sowie die Dauer des Besuchs.

 

Welche Tracking-Methoden gibt es im Marketing-Bereich?

Im Bereich des Marketings existieren vielfältige Tracking-Methoden. Dabei ist der Einsatz einer bestimmten Tracking-Methode vom jeweiligen Analyseziel abhängig. Dieses kann beispielsweise in der Verbesserung der Benutzerfreundlichkeit der Internetseite oder der Erzielung einer Umsatzsteigerung bestehen.

 

Mention Tracking.

Mithilfe dem Mention-Tracking kann die Erwähnung einer Marke oder eines Unternehmens im Internet analysiert werden. Dies dient insbesondere dazu, den Erfolg von Marketing Kampagnen zu messen. Spezielle Tools durchsuchen dabei das Internet nach bestimmten Begriffen. Ziel dieser Tracking-Methode ist es, über einen bestimmten Zeitraum konkrete Ergebnisse für eine Werbemaßnahme zu erhalten.

 

Event Tracking.

Durch das Event Tracking werden bestimmte Interaktionen auf einer Website oder einer App analysiert. Darunter fallen beispielsweise Downloadzahlen oder Klicks. Event Tracking dient dazu, dass sich dadurch ein Gesamtbild über das Nutzerverhalten gemacht werden kann.

 

Eye- oder Mouse-Tracking.

Darunter versteht man die Aufzeichnung der Interaktion eines Webseitenbesuchers. Mithilfe des Eye- bzw. Mouse-Tracking können Bewegungen, Klicks und Scrolling auf einer Webseite aufgezeichnet werden. Aus den aufgezeichneten Informationen kann dann abgeleitet werden, welche Bereiche der Webseite besonders aufmerksam betrachtet werden. Diese Methode wird vor allem dann eingesetzt, wenn die Nutzerfreundlichkeit einer Webseite untersucht werden soll.

 

E-Mail-Tracking.

Beim E-Mail-Tracking werden Informationen über den E-Mail-Empfänger gesammelt, indem beim Newsletter-Versand kleine Grafiken im HTML-Format integriert werden. Beim Öffnen der E-Mail wird die Grafik, die in der Regel die Größe eines Pixels hat, vom Server geladen und so das Abrufen der E-Mail-Nachricht dokumentiert.

 

Geo-Targeting.

Mithilfe vom Geo-Targeting können bestimmte Zielgruppen in einer Region angesprochen werden. Personenbezogene Daten wie die IP-Adresse oder GPS-Daten werden dann genutzt, um die jeweiligen Nutzer einer Region zuzuordnen und zu lokalisieren. Anwendung finden solche Tools in der Marktforschung oder auch bei Online-Shops, um die Nachfrage regional einzugrenzen und zu analysieren.

 

WLAN-Tracking.

Beim WLAN-Tracking können wichtige Informationen für das Marketing gewonnen werden.

Wenn sich eine Person in einem Geschäft aufhält und das WLAN des Handys aktiv ist, versucht das Handy ständig eine WLAN-Verbindung zu finden, um sich dann damit zu verbinden. Dies wird dann beim WLAN-Tracking registriert und ausgewertet. So kann man zum Beispiel Informationen darüber erhalten, wie viele Kunden sich im Geschäft aufhalten und wie ihre Bewegungen sind.

 

Welche Web-Tracking-Methoden gib es?

Web-Tracking ist für Unternehmen die wichtigste Methode, um das Nutzerverhalten zu verfolgen, um anhand der gewonnenen Erkenntnisse anschließend interessen- und zielgruppenspezifische Werbung schalten zu können. So können Marketing-Ziele schneller erreicht und der Geschäftserfolg nachhaltig gesichert werden. Die bekannteste aller Web-Tracking-Methoden ist das Cookie-Tracking. Jedoch gehen die aktuellen Möglichkeiten auf dem Gebiet des Web-Tracking weit über Cookies hinaus:

 

CNAME Cloaking.

Durch sog. CNAME Cloaking können Tracking- und Werbetreibende Werbe-Blocker (AdBlocker) umgehen, indem sie ihre Domains „tarnen“, um nicht in den sog. Host-Listen der Werbeblocker gelistet zu werden, sodass sie Nutzern trotz AdBlocker Werbung anzeigen können.

 

Cross Device-Tracking.

Cross Device Tracking ermöglicht Unternehmen eine geräteübergreifende Verfolgung ihrer Kunden. Ziel ist es, den Nutzer zu identifizieren, unabhängig davon, welches Gerät er für den Zugriff auf die jeweiligen Webdienste verwendet, um ihm anschließend seinen Interessen entsprechende Werbung anzeigen zu können.

 

Fingerprinting.

Das Fingerprinting erstellt anhand von auf den Endgeräten gespeicherten Informationen einen digitalen Fingerabdruck, sodass Nutzer wiedererkannt werden können. Auch mit diesem Tool wird bezweckt, dem Nutzer zielgerichtete Werbung anzuzeigen.

 

Common-IDs

Bei dieser Tracking-Methode muss der Nutzer einen Nutzeraccount anlegen, um auf bestimmte Webdienste zugreifen zu können. Dabei erhält jeder Nutzer eine eigene Identifizierungsnummer, um bei einem späteren Website-Besuch identifiziert und verfolgt werden zu können. Große Anbieter wie beispielsweise Google eröffnen anderen Website-Betreibern die Möglichkeit, dass sich Nutzer mit ihrem bereits vorhandenen Google-Account auf deren Website einloggen können.

 

App-Tracking.

Im Rahmen der Nutzung einer App kann das sogenannte App-Tracking eingesetzt werden, um sowohl das Nutzerverhalten von der Installation bis hin zu einer Löschung der App als auch die App-Performance zu messen.

 

Welche datenschutzrechtlichen Probleme ergeben sich beim Tracking?

Grundlage des Web-Trackings ist die Verarbeitung personenbezogener Daten von Internetnutzern, sodass Web-Tracking in einem engen – wenn gleich auch einem problematischen – Verhältnis zum Datenschutz steht. Insbesondere fordert die DSGVO hierfür eine Rechtsgrundlage. Als Rechtsgrundlage für die Verarbeitung personenbezogener Daten kommt vor allem die Einwilligung in Betracht.

 

Keine wirksame Nutzereinwilligung.

Der Nutzereinwilligung kommt im Rahmen des Tracking eine wichtige Rolle zu, da ihr Verhalten in der Regel in erheblichem Umfang aufgezeichnet werden soll. Dafür verlangt die DSGVO grundsätzlich eine freiwillige und informierte Einwilligung der betroffenen Nutzer. Wird keine Einwilligung erteilt, wirkt sich dies nachteilig auf den analysierbaren Datenbestand aus. Aus diesem Grund versuchen viele Werbetreibende, Nutzer durch unzureichende Erfüllung der Informationspflichten zur Einwilligung zu bewegen. Doch selbst wenn eine entsprechende Nutzereinwilligung erteilt wird, besteht dennoch die Gefahr, dass die Nutzer diese durch Ausübung ihres Widerrufsrechts zurücknehmen. Zur Vermeidung dieser Situation werden Nutzer oftmals gar nicht erst über ihr Widerrufsrecht informiert oder die Ausübung dieses Rechts in unzulässigerweise erschwert.

 

Unzureichende Anonymisierung.

Um den strengen Anforderungen der DSGVO auszuweichen, haben Website-Betreiber grundsätzlich die Möglichkeit, anonymisierte Nutzerprofile zu erstellen. Für die Erstellung eines anonymisierten Nutzerprofils dürfen nur solche Daten verwendet werden, die weder personenbezogen noch personenbeziehbar sind. Darunter fallen unter anderem Datum und Uhrzeit des Website-Besuchs oder die jeweils aufgerufene Datei. Dasselbe gilt für die IP-Adresse, die grundsätzlich ein personenbezogenes Datum darstellt, durch Kürzung und Abänderung jedoch anonymisiert werden kann. . Inwiefern der Personenbezug durch Verwendung einer ID aufgehoben werden kann ist umstritten. Dies ist insbesondere deswegen zweifelhaft, weil je nach Umfang der gesammelten Daten zum Verhalten einer Person eine Wahrscheinlichkeit dafür besteht, dass die hinter der ID stehende natürliche Person ohne verhältnismäßig großen Aufwand wieder identifiziert werden kann.

 

Berechtigtes Interesse des Werbetreibenden

Letztlich hat die DSK in ihrer „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ (Stand: März 2019) die Möglichkeit, Web-Tracking auf ein berechtigtes Interesse des Website-Betreibers gem. Art. 6 Abs. 1 lit. f) DSGVO zu stützen, nicht von vornherein ausgeschlossen. Mit dem Inkrafttreten des Telekommunikation-Telemedien-Datenschutzgesetztes am 01.12.2021 hat der Gesetzgeber jedoch klargestellt, dass Tracking-Maßnahmen, die mit der Speicherung von Daten oder dem Zugriff auf die Endeinrichtung des Endnutzers einhergehen nur auf Basis einer freiwilligen, informierten und ausdrücklichen Einwilligung des Nutzers durchgeführt werden dürfen.

 

Ausblick

Web-Tracking ist insbesondere im Marketing-Bereich nicht mehr wegzudenken, da die Beobachtung des Nutzerverhaltens eine wichtige Basis dafür bildet, Angebot und Nutzerfreundlichkeit von Diensten verbessern zu können. Wie einige aktuelle Bußgeldverfahren deutlich machen, gibt es im Hinblick auf den Einsatz von Tracking-Tools noch einige rechtlich nicht abschließend geklärte Problemfelder. Doch trotz der großen Bedeutung, die dem Schutz personenbezogener Daten und der Datensicherheit zukommt, muss nicht zwangsweise auf Tracking verzichtet werden. Dabei ist allerdings darauf zu achten, dass die Verarbeitung von Daten mit Personenbezug so gering wie möglich zu halten und vor allem im Vorfeld eine DSGVO-konforme Einwilligung der Nutzer einzuholen ist.

 

 
 
 

 

 

 

Seit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Jahr 2018 musste sich der Meta-Konzern (ehemals Facebook) mehrmals Untersuchungen der Datenschutzaufsichtsbehörden unterziehen, da sowohl Meta als auch die Tochterunternehmen immer wieder wegen Datenschutzverstößen auffallen. Die aufsichtsbehördlichen Untersuchungen führten nicht nur einmal zu einer empfindlichen Sanktion in Millionenhöhe. Nun hat die irische Datenschutzbehörde (DPC) bekannt gegeben, dass sie gegen Instagram (Meta Platforms Ireland Limited (im Folgenden: Meta IE)) ein Rekord-DSGVO-Bußgeld in Höhe von 405 Millionen Euro verhängt hat. Grund dafür sei ein fragwürdiger Umgang mit Daten minderjähriger Nutzer.

 

Das Wichtigste in Kürze

  • Die Entscheidung beruht auf einer bereits im Jahr 2020 initiierten Untersuchung, bei der es um die Angemessenheit der Einstellungen zu Instagram-Profilen und um die Verantwortung der Plattform bei der Wahrung der Datenschutzrechte von Kindern ging.
  • Andere Datenschutzbehörden hatten Einwände gegen den ursprünglichen Entscheidungsentwurf eines Bußgeldbescheids der DPC.
  • Der Europäische Datenschutzausschuss (EDSA) kam in einem Streitbeilegungsverfahren zu dem Schluss, dass Instagram personenbezogenen Daten von Kindern ohne Rechtsgrundlage und damit unrechtmäßig verarbeitete.
  • Die DPC wurde angewiesen, ihren Entscheidungsentwurf dahingehend zu ändern, dass in diesem auch die Verstöße gegen Art. 6 Abs. 1 DSGVO berücksichtigt werden.

 

Fehlerhafter Umgang mit personenbezogenen Daten Minderjähriger

Die Entscheidung der irischen Datenschutzbehörde folgte auf eine selbstinitiierte Untersuchung im Jahr 2020, bei der es um die Angemessenheit der Einstellungen bei Instagram-Profilen und um die Verantwortung der Plattform bei der Wahrung der Datenschutzrechte von Kindern als besonders schützenswerte Nutzergruppe ging. Konkret ging es dabei um den öffentlichen Zugang zu einer Vielzahl von E-Mail-Adressen und/oder Telefonnummern von Kindern, die die Instagram-Funktion für Geschäftskonten nutzten, sowie um die Standardeinstellung „öffentlich“ für Instagram-Konten von Kindern während des Zeitraums, der in den zeitlichen Geltungsbereich der Untersuchung fiel. Da es minderjährigen Nutzern möglich war, auf der Social Media Plattform einen Business-Account anzulegen, wechselten viele Jugendliche auf solche Accounts, um mehr Interaktionsdaten zu ihrem Profil einsehen zu können. Durch einen solchen Wechsel wurden jedoch Kontaktinformationen der Minderjährigen im Profil öffentlich zugänglich. Diese Praxis wurde als Folge der Untersuchung der irischen Datenschutzbehörde inzwischen eingestellt.

 

Einwände gegen die Rechtsgrundlage für die Verarbeitung und die Festsetzung der Geldbuße

Bereits im September 2020 startete die DPC die erste Überprüfung von Vorwürfen gegen die Social Media Plattform Instagram im Zusammenhang mit der Verarbeitung von personenbezogenen Daten Minderjähriger. Aufgrund der grenzüberschreitenden Verarbeitung personenbezogener Daten beteiligte die irische Datenschutzbehörde andere betroffene europäische Datenschutzaufsichtsbehörden im Kooperationsverfahren nach Artikel 60 DSGVO. Das formelle Verfahren sieht vor, dass die betroffenen Aufsichtsbehörden sowie die federführende Datenschutzaufsichtsbehörde zusammenarbeiten und alle notwendigen Informationen untereinander austauschen, um letztlich eine Einigung zu erzielen. Nach Abschluss ihrer Untersuchungen fertige die Datenschutzbehörde einen ersten Entscheidungsentwurf eines Bußgeldbescheides an, gegen den sich andere betroffene Aufsichtsbehörden ausgesprochen hatten. Diese hatten unter anderem Einwände gegen die Feststellung einer Rechtsgrundlage für die Datenverarbeitung auf die sich die Plattform-Betreiber stützen und die Festsetzung der Geldbuße im Entscheidungsentwurf erhoben.

 

Endgültige Entscheidung des Europäischen Datenschutzausschusses

Nachdem die irische Datenschutzbehörde als federführende Aufsichtsbehörde bezüglich der Einwände mehrerer betroffener Aufsichtsbehörden das Streitbeilegungsverfahren eingeleitet hatte, erließ der EDSA eine entsprechende Entscheidung gemäß Art. 65 DSGVO. Im Anschluss an das Streitbeilegungsverfahren nahm die irische Datenschutzbehörde Änderungen an ihrem Entscheidungsentwurf vor. Der Streitbeilegungsbeschluss des Datenschutzausschusses ist die erste verbindliche Entscheidung der Behörde, die sich mit der Rechtmäßigkeit der Verarbeitung nach Art. 6 DSGVO und damit einem der Grundpfeiler des EU-Datenschutzrechts befasst.

In seinem Beschluss hat der EDSA insbesondere die Anwendbarkeit der Rechtsgrundlagen „Vertragserfüllung“ und „berechtigtes Interesse“ näher erläutert, da Meta IE sich bei der Veröffentlichung der Kontaktdaten von Kindern, die Instagram-Geschäftskonten nutzten, alternativ auf diese beiden Rechtsgrundlagen gestützt hat. Der Europäische Datenschutzausschuss stellte dabei fest, dass es für die irische Datenschutzbehörde keine Gründe für die Schlussfolgerung gab, dass die fragliche Verarbeitung für die Erfüllung eines Vertrags erforderlich war. Folglich konnte sich Meta IE nicht auf Art. 6 Abs. 1 lit. b) DSGVO als Rechtsgrundlage für diese Verarbeitung berufen. Im Hinblick auf das berechtigte Interesse als alternative Rechtsgrundlage für die Verarbeitung stellte der EDSA fest, dass die Veröffentlichung der E-Mail-Adressen und/oder Telefonnummern von Kindern die Anforderungen des Art. 6 Abs. 1 lit. f) DSGVO nicht erfüllte, da die Verarbeitung entweder nicht erforderlich war oder, falls sie als erforderlich angesehen werden sollte, die bei der Bestimmung des berechtigten Interesses erforderliche Interessenabwägung nicht vorgenommen wurde.

Die Mitglieder des Ausschusses kamen daher zu dem Schluss, dass Meta IE die personenbezogenen Daten von Kindern ohne Rechtsgrundlage unrechtmäßig verarbeitet hat. Aus diesem Grund wurde die irische Datenschutzbehörde angewiesen, ihren Entscheidungsentwurf dahingehend zu überarbeiten, dass in diesem auch der Verstoß gegen Art. 6 Abs. 1 DSGVO festgestellt wird. In diesem Zusammenhang wurde die irische Datenschutzbehörde weiterhin dazu veranlasst, ihr geplantes Bußgeld gemäß Art. 83 Abs. 1 und 83 Abs. 2 DSGVO zu überprüfen, um eine wirksame, verhältnismäßige und abschreckende Gesamtgeldbuße für alle Verstöße zu verhängen.

 

Entscheidung des EDSA von großer Bedeutung für den Datenschutz

Der Europäische Datenschutzausschuss führte aus, dass es sich bei dieser Entscheidung um eine solche handle, die von historischer Bedeutung für den Datenschutz sei. Dies sei nicht allein der Tatsache geschuldet, dass es sich bei dem verhängten Bußgeld um die zweithöchste Sanktion seit Inkrafttreten der Datenschutzgrundverordnung handle, sondern weil es sich auch um die erste EU-weite Entscheidung handle, die Datenschutzrechte von Kindern zum Gegenstand hat. Mit dieser verbindlichen Entscheidung macht der EDSA deutlich, dass Unternehmen, die personenbezogene Daten von Kindern verarbeiten, im Umgang mit diesen Daten besonders behutsam umgehen müssen, weil die Daten dieser Personengruppe in einem besonderen Maße schützenswert sind.

 

Endgültige Entscheidung der irischen Datenschutzbehörde

Die irische Datenschutzbehörde hat am 15. September 2022 den Abschluss ihrer Untersuchung gegen Instagram bekannt gegeben. Im ursprünglichen Entscheidungsentwurf der Datenschutzbehörde wurde eine Geldbuße von bis zu 405 Mio. Euro empfohlen. Unter Berücksichtigung der verbindlichen Entscheidung des EDSA beläuft sich die verhängte Geldbuße weiterhin auf insgesamt 405 Mio. Euro, einschließlich einer Geldbuße von 20 Mio. Euro für den Verstoß gegen Art. 6 Abs. 1 DSGVO. Zusätzlich zu diesem Bußgeld hat der EDSA auch einen Verweis und eine Anordnung getroffen, die Meta Platforms Ireland Limited dazu verpflichtet, die stattfindenden Datenverarbeitungsprozesse durch eine Reihe spezifischer Abhilfemaßnahmen mit geltendem Recht in Einklang zu bringen.

 

Ausblick

Bereits zum dritten Mal innerhalb der letzten 12 Monate hat die irische Datenschutzbehörde ein Bußgeld in Millionenhöhe gegen den Meta-Konzern ausgesprochen. Nach den bisherigen Bußgeldern der DPC in Höhe von 225 Mio. Euro gegen WhatsApp und 17 Mio. Euro gegen Meta hat die irische Datenschutzbehörde nun mit 405 Millionen EUR eines der höchsten Datenschutzbußgelder seit Inkrafttreten der DSGVO verhängt. Der Konzern soll in einer nicht-öffentlichen Stellungnahme angekündigt haben, die Entscheidung der Behörde anzufechten, insbesondere weil er nicht damit einverstanden sei, wie das Bußgeld berechnet wurde. Ferner soll der Konzern betont haben, dass es sich bei den kritisierten Optionen um veraltete Einstellungen handle, die in der Zwischenzeit behoben worden seien. Die Konten von minderjährigen Nutzern werden nun automatisch in den privaten Modus gestellt, wenn sie sich bei Instagram anmelden. Dadurch ist es Nicht-Follower grundsätzlich nicht möglich, die Jugendlichen über die Nachrichtenfunktion zu kontaktieren. Das Vorgehen der europäischen Aufsichtsbehörden verzeichnet mittlerweile einen klaren Trend dahingehend, dass die Datenschutzpraxis großer Techkonzerne zielstrebig untersucht und Verstöße in diesem Zusammenhang empfindlich sanktioniert werden. Doch auch kleinen und mittleren Unternehmen sollte die aktuelle Praxis der Datenschutzbehörde Warnschuss dafür sein, das eigene Datenschutzmanagement zu etablieren und zu verbessern. Dies gilt insbesondere dann, wenn besonders schützenswerte Datenkategorien verarbeitet werden.

 

 
 
 

 

 

 

In den letzten Jahren traten Videokonferenzdienste immer mehr in den Fokus der Datenschutzbehörden. In Zeiten der Digitalisierung sind diese Tools nicht mehr aus dem beruflichen Alltag wegzudenken. Dabei war insbesondere auch die Corona-Pandemie in den letzten Jahren treibender Faktor für die Nachfrage nach Videokonferenzdiensten. Im Hinblick auf die Verarbeitung personenbezogener Daten warfen diese Dienste jedoch immer wieder datenschutzrechtliche Fragen und Unsicherheiten auf. In ihrem 27. Tätigkeitsbericht vom 29.06.2022 für das Jahr 2021 hat die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Bettina Gayk, hervorgehoben, dass Videokonferenzsysteme durch das Inkrafttreten der Änderungen des Telekommunikationsgesetztes (TKG) nun nicht mehr als Telemediendienste, sondern als Telekommunikationsdienste einzuordnen sind. Dieser Umstand führt unter anderem dazu, dass ein Abschluss von Auftragsverarbeitungsverträgen zwischen den Verwendern und Anbietern solcher Dienste nicht mehr erforderlich ist. Das hat nicht nur Auswirkungen auf die Verantwortlichkeit nach Art. 4 Nr. 7 DSGVO, sondern vielmehr auch auf die aufsichtsbehördliche Zuständigkeit.

 

Das Wichtigste in Kürze

  • Der Begriff des Telekommunikationsdienstes wird im TKG nun deutlich weiter gefasst, sodass Videokonferenzsysteme nicht mehr als Telemediendienst, sondern als Telekommunikationsdienst gelten.
  • Nach Einordnung der LDI sind die öffentliche Stellen und Unternehmen, die Videokonferenzsysteme von Drittanbietern nutzen, nicht mehr „Verantwortliche“ im Sinne von Art. 4 Nr. 7 DSGVO.
  • Zwischen dem Videokonferenzdienstanbieter und dem Anwender bestehet daher kein Auftragsverarbeitungsverhältnis mehr.
  • Das Erfordernis eines Auftragsverarbeitungsvertrag im Sinne von Art. 28 Abs. 3 DSGVO zwischen den Parteien entfällt insoweit.
  • Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit ist dann anstatt der jeweiligen Landesdatenschutzbehörde zuständige Stelle.

 

Inkrafttreten des TTDSG und Änderungen des TKG

Das TTDSG ist zur Umsetzung der E-Privacy-Richtlinie erlassen worden und am 01.12.2021 in Kraft getreten. In diesem Gesetz wurden die datenschutzrechtlichen Vorschriften des Telemediengesetzes (TMG) und des Telekommunikationsgesetzes (TKG) zusammengeführt. Ziel des Gesetzes ist es, die im TKG und TMG enthaltenen spezialgesetzlichen Regelungen zum Datenschutz in ein für sich eigenständiges Gesetz, welches mit den europäischen Vorgaben in Einklang steht, zu überführen.

Gleichzeitig wurden aber auch, wenig beachtet, Änderungen im TKG vorgenommen und der Anwendungsbereich des Telekommunikationsrechts deutlich ausgeweitet. In den Anwendungsbereich fallen nun nicht mehr nur Telekommunikationsdienste, die nummerngebunden sind (klassische Telelefonie), sondern auch nummernunabhängige Dienste (sog. OTT-Dienste/interpersonelle Kommunikation). Telekommunikationsdienste sind demnach Dienste, wie sie etwa die Betreiber von Messengern, Videokonferenzen und webbasierte E-Mail-Diensten anbieten. Im Gegensatz dazu sind Anbieter von Telemedien solche, die Inhalte im Internet bereitstellen..

 

Bisherige datenschutzrechtliche Lage

Datenschützer beschäftigten sich bereits in den letzten Jahren sehr intensiv mit den datenschutzrechtlichen Fragestellungen hinsichtlich der Verwendung von Videokonferenzdiensten. Insbesondere in Zeiten von Corona haben Videokonferenzdienste eine zentrale Bedeutung für die Kommunikation untereinander erlangt. Unternehmen oder andere Stellen mussten schnell auf diese Situation reagieren und hatten oft keine eigenen Konferenzplattformen zur Verfügung. Daher wurde häufig auf Dienste Dritter zurückgegriffen, wie beispielsweise Zoom oder Microsoft Teams. In einem solchen Fall lag nach Auffassung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) dann zwischen dem Unternehmen/ einer öffentlichen Stelle (Nutzer) und dem Videokonferenzdienst als Anbieter (z.B. Zoom) ein Auftragsverarbeitungsverhältnis im Sinne von Art. 28 DSGVO vor. Dabei trat das Unternehmen oder die öffentliche Stelle als „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO auf und der Videokonferenzdienst als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO.

Grundlage des Auftragsverarbeitungsverhältnisses ist ein Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter im Sinne von Art. 28 Abs. 3 DSGVO, der den Auftragsverarbeiter in Bezug auf die Weisungen des Verantwortlichen bindet. Inhaltlich soll dieser den Gegenstand und die Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen beinhalten. Die DSK wies auch darauf hin, dass bei der Auswahl des Auftragsverarbeiters durch den Verantwortlichen darauf zu achten sei, dass dieser hinreichende Garantien zu den erforderlichen technischen und organisatorischen Maßnahmen bietet.

Auch im Hinblick auf die Haftung bei Datenschutzverstößen gibt es in einem Auftragsverarbeitungsverhältnis einige Besonderheiten. Denn Art. 82 DSGVO normiert eine gemeinsame Haftung des Auftragsverarbeiters und des Verantwortlichen gegenüber dem Betroffenen für materielle und auch immaterielle Schäden.

 

Datenschutzrechtliche Auswirkungen der Änderungen

Der Einschätzung der Landesbeauftragten für Datenschutz und Informationsfreiheit und der Definition „interpersoneller Telekommunikationsdienste“ in § 3 Nr. 24 TKG zufolge, stellen Videokonferenzdienste nun keine Telemediendienste mehr dar, sondern werden als Telekommunikationsdienste eingeordnet. Denn der Begriff der Telekommunikationsdienste ist im TKG nun weiter gefasst. Dies zieht auch datenschutzrechtliche Konsequenzen nach sich.

Zum einen seien die Nutzer von Videokonferenzsystemen, die diese in ihren Unternehmen oder öffentlichen Stellen einsetzen, regelmäßig nicht mehr als datenschutzrechtlich Verantwortliche anzusehen. Dieser Umstand bedeutet wiederum, dass keine Auftragsverarbeitung gegeben ist und der Diensteanbieter in eigener Verantwortung handelt. Dementsprechend ist insoweit auch der Abschluss eines Auftragsverarbeitungsvertrages nicht mehr erforderlich. Ein solcher sei nach Ansicht der LDI nur noch dann erforderlich, wenn weitere Dienste angeboten oder verwendet werden, die über die bloße Kommunikation hinausgehen. Jedoch wird im Bericht auch betont, dass Unternehmen und öffentliche Stellen trotzdem nach wie vor dazu verpflichtet seien, technische und organisatorische Maßnahmen zu treffen. Insbesondere wird dabei auf die Pflicht der Nutzer zur Vornahme datenschutzrechtlicher Grundeinstellungen hingewiesen.

Außerdem kommt es zu einer Verlagerung der aufsichtsbehördlichen Zuständigkeiten. Nunmehr ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hinsichtlich der als Telekommunikationsdienst zu verstehenden Videokonferenzsysteme wie beispielsweise Google Meet, Microsoft Teams oder Zoom zuständig und nicht mehr die zuständigen Landesdatenschutzbehörden.

 

European Data Protection Board (EDPB): Telekommunikationsdienstleister sind Verantwortliche nach Art. 4 Nr. 7 DSGVO

Die Verantwortlichkeit von Telekommunikationsdienstanbietern hat auch bereits der Europäische Datenschutzausschuss bestätigt. Dieser stuft in seinen Guidelines (07/2020 on the concepts of controller and processor in the GDPR) Telekommunikationsdienstanbieter bei der Erbringung ihrer elektronischen Kommunikationsdienste als Verantwortliche im Sinne der DSGVO ein. Nach Ansicht des EDPB gelte der Anbieter solcher Dienste in der Regel als Verantwortlicher für die Verarbeitung personenbezogener Daten, die für den Betrieb des Dienstes als solchen erforderlich seien. Die von diesen zu beachtenden datenschutzrechtlichen Bestimmungen werden sich dann nun maßgeblich nach dem neuen TTDSG richten.

 

Weiterhin besteht Unsicherheit

Der Bericht der Landesbeauftragen bestätigt nochmals die Bedeutung der TKG-Änderungen für den Umgang mit Videokonferenzsystemen, lässt aber dennoch einige Fragen unbeantwortet und konkretisiert einige wichtige Begrifflichkeiten nicht weiter. Unklar bleibt insbesondere, welche konkreten Daten „aufgrund der Übertragung des Videochats“ nach Auffassung der LDI verarbeitet werden, für die der Nutzer dann nicht mehr verantwortlich ist. Auch bleibt weiterhin offen, was eigentlich genau unter einem „Videochat“ zu verstehen ist. Für die Praxis am relevantesten dürfte jedoch die offene Frage nach dem Umgang mit Funktionen der Videokonferenzsysteme, die über die reine Kommunikationsübertragung an sich hinaus gehen, werden. Fraglich bleibt, ob diese als Teil des Telekommunikationsdienstes angesehen werden oder doch der DSGVO unterliegen. Solange diese Fragen nicht geklärt sind, kann es im Einzelfall sinnvoll sein weiterhin Auftragsverarbeitungsverträge zu schließen, um sich nicht am Ende dem Vorwurf einer DSGVO-widrigen Verarbeitung ausgesetzt sehen zu müssen. Für einen rechtssicheren Umgang bedarf es daher auf jeden Fall einer intensiven Prüfung und Bewertung im Einzelfall.

 

Fazit

Im Rahmen der TKG-Novelle, die am 01.12.2021 in Kraft getreten ist, fallen nunmehr auch sogenannte OTT-Dienste oder interpersonelle Kommunikation wie Videokonferenzdienste unter den Begriff des Telekommunikationsdienstes und stellen keine Telemedien mehr dar. Dies bringt auch datenschutzrechtliche Konsequenzen mit sich. Es ist jedoch zweifelhaft, ob so pauschal empfohlen werden kann, dass im Hinblick auf Videokonferenzdienste keine Auftragsverarbeitungsverträge mehr erforderlich sind. Denn es ist umstritten, inwieweit auch weiterhin Auftragsverarbeitungsverträge geschlossen werden müssen, wenn die Dienste über die bloße Kommunikation hinausgehen. Insoweit zeigt der Bericht der LDI NRW eine Richtung auf, bei der viele Fragen unbeantwortet bleiben. Wo werden die Grenzen gezogen? Welche konkreten Daten werden „aufgrund der Übertragung des Videochats“ verarbeitet und was genau sind „Videochats“ überhaupt? Sind die über den Kommunikationsvorgang hinausgehenden Funktionen eines solchen Dienstes Teil des Telekommunikationsdienstes oder unterliegen sie den Vorgaben der DSGVO? Aus rechtlicher Sicht ist diese Zuordnung von großer Bedeutung. Aus diesem Grund sollten Verwender mit besonderen Tools oder Funktionen der Videokonferenzanbieter vorsichtig sein und sofern sie diese verwenden den datenschutzrechtlichen Umgang besser zweimal überprüfen. Unternehmen und öffentlichen Stellen, die solche Videokonferenzdienste nutzen, ist vor diesem Hintergrund zu raten, individuell zu prüfen, ob nicht doch ggf. weiterhin Auftragsverarbeitungsverträge abgeschlossen werden sollten, bis alle offenen Fragen geklärt sind. Es bleibt abzuwarten, wie diese Fragestellungen in Zukunft beantwortet werden. Dies wäre vor allem im Hinblick auf die große Unsicherheit, die insgesamt um die Verwendung von Videokonferenzdiensten besteht, von besonderer Dringlichkeit.

 

 
 
 

 

 

 

Aufgrund von Datenschutzverstößen sehen sich Unternehmen immer häufiger hohen Bußgeldern ausgesetzt. Darum ist es lohnenswert sich einmal genauer mit den Ursachen von Datenschutzverstößen und präventiven Maßnahmen zur Verhinderung von Verstößen auseinanderzusetzen. Im Falle einer Verletzung des Schutzes personenbezogener Daten müssen Verantwortliche, wie etwa Unternehmen oder Behörden, diese Verletzung nach Art. 33 DSGVO unverzüglich der zuständigen Aufsichtsbehörde melden. Den Aufsichtsbehörden gehen so jährlich unzählige Meldungen zu. Nun hat der Landesbeauftragte für den Datenschutz Sachsen-Anhalt häufige Ursachen von Datenschutzverletzungen sowie Maßnahmen, mit denen diese Maßnahmen präventiv verhindert werden können, in einer Übersicht zusammengestellt. Diese Übersicht stellt wichtige Handlungsempfehlungen für Unternehmen kompakt zusammen. dar. Die vorgeschlagenen Maßnahmen sind natürlich nicht abschließend und es muss im Einzelfall überprüft werden, ob weitergehende Maßnahmen erforderlich sein könnten.

 

Das Wichtigste in Kürze

  • Eine der häufigsten Ursachen für Datenschutzverletzungen ist der Fehlversand von E-Mails und offene Mailverteiler.
  • Häufige Ursache für Datenschutzverletzungen in Zeiten der Digitalisierung sind Hackerangriffe, die durch Sicherheitslücken ermöglicht werden.
  • Unternehmen sollten geeignete technische und organisatorische Maßnahmen implementieren, um Datenschutzverletzungen präventiv zu verhinder.
  • Datenschutzverletzungen müssen durch den Verantwortlichen unverzüglich an die zuständige Aufsichtsbehörde nach Art. 33 DSGVO gemeldet werden.

 

Meldung einer Verletzung des Schutzes personenbezogener Daten

Art. 33 DSGVO erlegt dem Verantwortlichen eine Meldepflicht eines Datenschutzvorfalls auf. Demnach hat der Verantwortliche eine Verletzung unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde zu melden,. Eine Ausnahme hiervon gilt nur dann, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Das hierfür relevante Risiko ergibt sich dabei aus dem Zusammenspiel der Schwere der Verletzung und der Eintrittswahrscheinlichkeit des drohenden Schadensereignisses.

 

Benachrichtigung der betroffenen Person bei hohem Risiko

Sobald die Verletzung des Schutzes personenbezogener Daten voraussichtlich sogar ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat, muss der Verantwortliche nach Art. 34 DSGVO als Teil der Betroffenenrechte auch die betroffene Person unverzüglich über die Verletzung benachrichtigen. Ein hohes Risiko liegt in der Regel immer dann nahe, wenn besondere oder sensible Kategorien personenbezogener Daten, wie beispielsweise Gesundheitsdaten, Unberechtigten zur Kenntnis gelangen könnten.

 

Fehlversand durch E-Mail, Post oder Fax

Eine der häufigsten Ursachen für Datenschutzverletzungen ist der Fehlversand von E-Mails, Post oder Fax. Eine E-Mail oder ein Fax ist schnell an den falschen Empfänger versandt und auch bei der Postadressierung kann es leicht zu Zahlendrehern oder Schreibfehlern kommen, sodass der Brief falsch zugestellt wird und in fremde Hände gelangt.

In erster Linie muss dann umgehend der falsche Empfänger zur Löschung oder Vernichtung aufgefordert werden und sich die erfolgte Löschung durch den Fehladressaten bestätigen lassen. Als Präventionsmaßnahme wird empfohlen die Adressinformationen oder Faxnummern sorgfältig zu übernehmen und auf ihre Aktualität zu überprüfen sowie vor dem Versand nach dem Vier-Augen-Prinzip vorzugehen. Weiterhin sollten Anlagen in E-Mails verschlüsselt und ein elektronisches Adressbuch genutzt werden.

 

Offener E-Mail Verteiler

E-Mails sind heutzutage ein beliebtes Mittel, um Daten zu übermitteln. Jedoch birgt so ein Mailverteiler auch ein entsprechend großes Risiko für Datenschutzverletzungen. Dies ist vor allem dann gegeben, wenn eine Mail an mehrere Empfänger versendet werden soll. Denn es werden häufig sogenannte offene Mailverteiler genutzt. Davon spricht man, wenn für jeden Empfängerdie E-Mail-Adressen der anderen Empfänger offen einsehbar sind. Um zu verhindern, dass die Adressaten der E-Mail offengelegt werden, sollte die Funktion „BCC“ verwendet werden. Wenn jedoch die üblichen Felder wie „An“ und „CC“ verwendet werden, liegt eine Datenschutzverletzung vor, wenn die Bekanntgabe der Tatsache wer Adressat ist bzw. die Weitergabe der E-Mailadressen nicht gerechtfertigt werden kann.

Um die Datenschutzverletzung zu beheben beziehungsweise die nachteiligen Auswirkungen wenigstens abzumildern, sollten auch hier die Empfänger zur Löschung und Bestätigung der Löschung aufgefordert werden. Die E-Mail kann dann erneut verdeckt versendet werden. Um dieser Verletzung präventiv entgegenzuwirken, ist es wichtig, eine regelmäßige Sensibilisierung der Mitarbeiter durchzuführen und den Versand per Blindkopie schon vorher einzustellen.

 

Abhandenkommen von elektronischen und papierbasierten Datenträgern

Eine weitere Ursache ist das Abhandenkommen von elektronischen oder papierbasierten Datenträgern durch Verlust oder Diebstahl. Der physische Diebstahl von Datenträgern, wie Akten, USB-Sticks oder auch Festplatten ist vielleicht nicht so häufig, kommt aber immer noch ab und zu vor. Häufiger dürfte jedoch der Verlust der Datenträger sein. In einem solchen Fall sollte, wenn möglich, bei elektronischen Datenträgern eine Fernlöschung der Daten veranlasst werden. Natürlich ist bei einem Straftatverdacht eine Anzeige bei der Polizei zu erstatten. Als präventive Maßnahme wird in der Übersicht des Landesdatenschutzbeauftragten angeführt, dass eine Verschlusssicherheit hergestellt und insbesondere Regelungen für den Umgang mit Datenträgern und Akten getroffen werden sollten.

 

Entsorgung von Unterlagen im (Papier-)Müll

Immer wieder kommt es vor, dass Unterlagen mit personenbezogenen Daten im normalen Papiermüll und nicht im Schredder oder einer Datentonne landen. Sofern noch möglich, sind die Unterlagen sofort sicherzustellenund ordnungsgemäß zu entsorgen. Dafür müssen natürlich auch datenschutzkonforme Entsorgungsvorrichtungen implementiert sein. Unter anderem sollte durch die Beschäftigten bereits im Vorfeld geprüft werden, ob Papiere oder andere Datenträger vernichtet werden müssen.

 

Verschlüsselung von Dateien durch Angreifer

Große Probleme und Unsicherheiten für Unternehmen bringen vor allem externe Angriffe mit sich, die ganze Systeme lahm legen können. Häufig werden Unternehmen davon überrascht und wissen nicht wie sie damit umgehen sollen. Wichtig ist dabei insbesondere, dass eine sofortige Trennung der Systeme vom Netz erfolgt, in der Folge die Schwachstellen identifiziert und daraus dann die notwendigen Konsequenzen gezogen werden. Wichtig ist jedoch, dass bei der Netztrennung dieses nicht abgeschaltet wird, damit mögliche Spuren nicht verwischt werden. Denn diese können helfen die Schwachstellen aufzudecken. Weiterhin sollten befallene Rechner und Systeme neu installiert und Daten aus dem Backup wiederhergestellt werden.

Um Angriff von außen zu verhindern, wird unter anderem empfohlen, Anhänge oder Links in E-Mails nur zu öffnen oder anzuklicken, wenn diese seriös und plausibel erscheinen. Weiterhin ist in der Übersicht aufgeführt, dass vorher detaillierte Regelungen geschaffen werden sollten, wie mit eingehenden Dateien und E-Mailanlagen umgegangen werden muss. Zudem sollte immer darauf geachtet werden, dass ein aktueller Virenschutz besteht und Systeme und Anwendungen regelmäßig aktualisiert werden und auf dem neuesten Stand sind. Weiterhin wird geraten, ein Rechte- und Rollenmanagement zu implementieren, um Zugriffsrechte in der Art zu gestalten, dass lediglich ein möglichst beschränkter Datenumfang betroffen sein kann.

 

Hackerangriffe

Hackerangriffe treten insbesondere in der heutigen digitalen Welt immer häufiger auf und stellen eine große Gefahr für Unternehmen dar. Zwar erfolgt hier die Datenschutzverletzung nur passiv, jedoch haften die Unternehmen trotzdem dafür, wenn sie durch mangelnde technische und organisatorische Maßnahmen diese Angriffe begünstigen. Denn es liegt im Verantwortungsbereich des Unternehmens, alle ihr möglichen Maßnahmen und Vorkehrungen zu treffen, um solche Angriffe zu verhindern. Die Angriffe erfolgen meist von außen mittels einer Schadsoftware, Trojanern oder Malware. Durch diese Angriffe wird versucht an relevante Firmendaten zu gelangen, um diese zum Beispiel zu verkaufen oder um davon selbst zu profitieren. Hierbei ist es wichtig, dass das Unternehmen versucht, solche Sicherheitslücken oder Fehlkonfigurationen im Firmennetzwerk zu identifizieren, um dann das Risiko einer solchen Datenschutzverletzung zu minimieren.

 

Unberechtigte Zugriffe durch Beschäftigte zu privaten Zwecken

Häufig kommt es auch zu unberechtigten Zugriffen auf personenbezogene Daten durch Beschäftigte, die diese für private Zwecke nutzen wollen. Wenn ein solcher Verdacht besteht, sollte eine Auswertung der elektronisch gespeicherten Datenzugriffe erfolgen und im Anschluss arbeitsrechtliche Maßnahmen geprüft werden. Präventiv könnte solchen Datenschutzverletzungen vorgebeugt werden, indem Datenzugriffe protokolliert werden und Beschäftigte auf das Datengeheimnis verpflichtet werden.

 

Veröffentlichung personenbezogener Daten ohne Rechtsgrundlage

Als weitere häufige Ursache für Datenschutzverletzungen wird ganz allgemein die Veröffentlichung personenbezogener Daten ohne Rechtsgrundlage in der Übersicht aufgeführt. In einem solchen Fall sollte, wenn möglich, sofort die Löschung veranlasst werden und versucht werden die Verbreitung weitestgehend einzudämmen. Als Vorsichtsmaßnahme zur Verhinderung einer rechtswidrigen Datenverarbeitung wird empfohlen, Regelungen zur Prüfung der Rechtmäßigkeit vor der Veröffentlichung der Daten zu treffen und dem Vier-Augen-Prinzip zu folgen. Ebenso kann eine Schwärzung von personenbezogenen Daten aus zu veröffentlichenden Dokumenten erfolgen, um eine Datenschutzverletzung zu vermeiden.

 

Fazit

Die Übersicht des Landesbeauftragten für den Datenschutz Sachsen-Anhalt ist hilfreich, da sie zum einen häufige Ursachen von Datenschutzverletzungen auflistet und zum anderen Maßnahmen zur Behebung der Datenschutzverletzung beziehungsweise zur Abmilderung der nachteiligen Auswirkungen der Verletzung sowie technisch und organisatorische Maßnahmen zur präventiven Vermeidung der Datenschutzverletzungen aufführt. Neben den hier erläuterten Ursachen und Abwehrmaßnahmen enthält die Übersicht noch einige weitere. Sie kann einem Unternehmen oder einer Behörde als Anhaltspunkt für das Vorgehen dienen, wenn sich ein Datenschutzvorfall ereignet. Unternehmen können diese Übersicht auch dazu heranziehen, um sich zu orientieren und zu prüfen, in welchen Bereichen noch Handlungsbedarf für präventive Maßnahmen besteht und ob gegebenenfalls noch Sicherheitslücken bestehen.

Unternehmen sollten jedoch beachten, dass im Einzelfall auch weitergehende Maßnahmen erforderlich sind. Es ist von großer Bedeutung interne Prozesse zu implementieren, die eine datenschutzkonforme Verarbeitung von personenbezogenen Daten gewährleisten und das Risiko einer Datenschutzverletzung verringern. Für einen reibungslosen Ablauf ist weiterhin wichtig, dass auch Beschäftigte und insbesondere die IT-Abteilung für den Datenschutz sensibilisiert werden und im gesamten Unternehmen einheitliche Rahmenbedingungen und Regelungen getroffen werden. Für Unternehmen und andere Verantwortliche ist die Übersicht des Landesbeauftragten für den Datenschutz Sachsen-Anhalt daher ein sehr guter Ansatzpunkt um daraus Handlungsempfehlungen zur Vermeidung der grundlegen datenschutzrechtlichen Gefahrstellen ableiten zu können.

 

 
 
 

 

 

 

Microsoft 365 gehört sowohl im unternehmerischen als auch im öffentlichen Bereich zu den meistgenutzten cloudbasierten Office-Anwendungen. Jedoch bestehen seit längerer Zeit Zweifel an der Datenschutzkonformität der Nutzung der Software-Produkte, die sich spätestens seit dem Schrems II-Urteil des EuGH verstärkt haben (Urteil vom 16. Juli 2020, Rs. C-311/18). Seit Jahren sprechen sich die deutschen Datenschutzbehörden gegen die Nutzung der Online-Tools aus. So kommt das Gremium der unabhängigen Datenschutzbehörden des Bundes und der Länder, der sogenannten Datenschutzkonferenz (DSK) auch in seiner diesjährigen Zwischenkonferenz vom 22. September 2022 wieder zu dem Ergebnis, dass ein rechtskonformer Einsatz des Office-Pakets Microsoft 365, das von Unternehmen, Behörden und Schulen eingesetzt wird, ohne zusätzliche technische Maßnahmen nicht in möglich ist.

 

Das Wichtigste in Kürze

  • Die DSK kommt im Rahmen ihrer Untersuchung von Microsoft 365 zu dem Ergebnis, dass ein datenschutzkonformer Einsatz nicht möglich sei.
  • Die überarbeitete Fassung des Auftragsverarbeitungsvertrages liefere weiterhin nicht die notwendige Transparenz.
  • Es sei nicht erkennbar, welche Daten von dem US-Unternehmen für eigene Zwecke verarbeitet werden bzw. verarbeitet werden können.
  • Das Ergebnis der Untersuchung der DSK stellt kein formales Verbot des Einsatzes von Microsoft 365 dar, da es sich um einen unverbindlichen Beschluss handelt.

 

Das Problem beim Einsatz von Microsoft 365

Das Problem beim Einsatz von Microsoft 365 ist seit jeher, dass im Rahmen der Nutzung eine große Menge an personenbezogenen Daten für verschiedene Zwecke verarbeitet werden und oft nicht überschaubar ist, ob und welche Datendirekt an den Softwareanbieter in den USA übermittelt werden. Seitdem der EuGH in seiner Schrems II-Entscheidung das EU-US-Privacy Shield für ungültig erklärt hat, ist eine Datenübermittlung in die USA mit dem europäischen Datenschutzrecht zudem nur noch schwer vereinbar.

 

Untersuchung der Microsoft-Onlinedienste im Jahr 2020

Die DSK hat bereits im Jahr 2020 einen Bericht veröffentlicht, in dem sie auf Basis der Ergebnisse einer von ihr durchgeführten Untersuchung der Lizenz- und Datenschutzbestimmungen der Microsoft-Onlinedienste zu dem Ergebnis kam, dass ein datenschutzkonformer Einsatz der Softwareprodukte nicht möglich ist. Bei der Untersuchung nahmen die Behörden insbesondere die Einhaltung der Anforderungen von Art. 28 DSGVO ins Visier. Art. 28 DSGVO regelt die Verarbeitung personenbezogener Daten durch einen Auftragsverarbeiter. Darunter sind z.B. Unternehmen zu verstehen, die personenbezogene Daten vom Verantwortlichen zum Zwecke der auftragsgebundenen und weisungsabhängigen Datenverarbeitung erhalten. Die DSGVO stellt an dieses Vorgehen hohe Anforderungen. Als Softwaredienstleister ist Microsoft auch ausweislich der Lizenzbedingungen Auftragsverarbeiter i.S.d. Art. 28 DSGVO. Auftraggeber ist dabei jeweils das die Dienste nutzende Unternehmen.

 

Nachprüfung aufgrund einer neuen Fassung des Auftragsverarbeitungsvertrages

Der Softwaredienstleister hat im September eine neue Version des „Microsoft Products and Services Date Protektion Addendum“, in dem unter anderem die neuen Standardvertragsklauseln der EU-Kommission übernommen wurden, veröffentlicht. Dies nahmen die Behörden zum Anlass, eine neue Bewertung von Microsoft 365 vorzunehmen.

Insbesondere hat Microsoft nähere Angaben dazu gemacht, welche Daten zu eigenen Zwecken genutzt werden. So werden beispielsweise statistische Daten, die keinen Personenbezug aufweisen, aus pseudonymisierten Daten aggregiert, um daraus anschließend Statistiken zu erstellen. Auf Inhalte von Kundendaten erfolge kein Zugriff. Zwecke, die bisher aufgezählt wurden, wie der Kampf gegen Betrug oder Cyberkriminalität, werden nicht mehr aufgeführt.

 

DSGVO-konformer Einsatz aufgrund fehlender Transparenz nicht möglich

Auch wenn Microsoft zwischenzeitlich Besserungen des Produkts im Hinblick auf den Datenschutz vorgenommen hat, sei es dem Unternehmen nicht gelungen, die DSGVO-Konformität des Produkts sicherzustellen, so die Datenschützer.

Von zentraler Bedeutung war unter anderem die Frage der Behörden, in welchen Fällen Microsoft als Auftragsverarbeiter tätig ist und wann eine eigene Verantwortlichkeit im Sinne der DSGVO vorliegt. Dies konnte im Rahmen der Zusammenarbeit mit Microsoft nicht abschließend geklärt werden.

Problematisch ist dies auch deshalb, weil Verantwortliche i.S.d. Art. 5 Abs. 2 DSGVO zur Rechenschaft verpflichtet sind. Beim Einsatz von Microsoft 365 gestaltet sich der Nachweis der Einhaltung der DSGVO-Vorgaben auch auf Grundlage des „Datenschutznachtrags“ weiterhin schwierig, da der Dienstleister nicht vollumfänglich offenlegt, welche Verarbeitungen im Einzelnen stattfinden. Die überarbeitete Fassung des Auftragsverarbeitungsvertrages liefert nach Auffassung der Datenschutzbehörden immer noch nicht die notwendige Transparenz, da nicht erkennbar ist, welche Daten von dem US-Unternehmen für eigene Zwecke verwendet werden können, sodass sich nicht prüfen lässt, ob alle Verarbeitungsschritte rechtmäßig sind.

 

Zusätzliche Maßnahmen erforderlich

Der Bundesdatenschutzbeauftragte kündigte an, dass die Datenschutzbehörden in Einzelfällen prüfen müssen, ob nicht doch ein datenschutzkonformer Einsatz möglich ist. Dies betrifft den Umgang mit Biometrie-, Diagnose und Telemetriedaten. Zudem wäre es denkbar, eine Mikrovirtualisierung oder einen Proxyserver einzusetzen, um verhindern zu können, dass die genannten Daten zu Microsoft abfließen. Jedenfalls sollte das Softwarepaket nicht ohne zusätzliche Schutzmaßnahmen auf dem Rechner genutzt werden.

 

Verantwortliche müssen ausreichende Datenschutz-Garantien prüfen

Nach der DSGVO dürfen Verantwortliche grundsätzlich nur solche Dienstleister beauftragen, die ausreichende Garantien für den Datenschutz bieten. Daher liegt es im Verantwortungsbereich des Unternehmens, dies vor dem Einsatz von Microsoft-Produkten zu prüfen. Für den Einsatz der Dienste ist zu empfehlen, die Programmeinstellungen zur Verbesserung der Benutzerfreundlichkeit zu deaktivieren und Diagnosedaten in den Einstellungen auf die Mindestmenge zu beschränken. Selbstverständlich sollten Auftragsverarbeitungsverträge unter Beachtung der neuen Standardvertragsklauseln abgeschlossen und eine Datenschutzfolgenabschätzung durchgeführt werden. Letztlich sollten sämtliche Maßnahmen umfassend dokumentiert werden, um im Falle einer behördlichen Prüfung nachweisen zu können, dass man als Verantwortlicher sämtliche Maßnahmen getroffen hat, die im Rahmen der Nutzung von Microsoft 365 möglich sind.

 

Kein formelles Verbot des Einsatzes von Microsoft 365

Der Beschluss der DSK stellt kein formales Verbot des Einsatzes von Microsoft 365 dar, da die Beschlüsse der DSK nicht rechtsverbindlich sind. Zudem handelt es sich bei er aktuellen Veröffentlichung der DSK nicht um eine vollständige Datenschutzbewertung des Cloud-Dienstes Microsoft 365, sondern lediglich um eine Bewertung der Datenschutzbestimmungen als Teil der Nutzungsverträge für Microsoft 365. Dennoch können und werden einzelne Aufsichtsbehörden der Bundesländer die Bewertung zum Anlass nehmen, um den Einsatz der Dienste intensiver zu überprüfen.

 

Ausblick

An der datenschutzrechtlichen Bewertung der Softwareprodukte durch die DSK hat sich nichts geändert. Der Einsatz von Microsoft 365 ist und bleibt damit grundsätzlich ein Risiko für Unternehmen und muss genau geprüft werden. Insoweit besteht nicht nur das Risiko einer Prüfung durch die Datenschutzbehörden, die im gravierendsten Fall mit einem empfindlichen Bußgeld enden kann. Vielmehr könnten auch Kunden des Unternehmens, das Microsoft 365-Dienste einsetzt, Betroffenenrechte geltend machen. Es ist zu erwarten, dass Bund und Länder unterschiedlich mit dem Beschluss umgehen werden. Konkrete Maßnahmen, insbesondere Sanktionen sind in nächster Zeit noch nicht zu erwarten. Vielmehr werden die Behörde zunächst in den Dialog mit den Unternehmen gehen, um gemeinsam Lösungsmöglichkeiten oder Alternativen zu erörtern. Dennoch sollten sich Verantwortliche jetzt schon mit der Thematik auseinandersetzen und auf eine datenschutzkonforme Lösung hinarbeiten, die je nach Nutzungsumfang durchaus möglich sein kann.

 

 
 
 

 

 

 

In der jüngsten Vergangenheit häufen sich Fragen hinsichtlich der Beurteilung von datenschutzrechtlichen Schadensersatzansprüchen immer stärker, was auch dazu führt, dass sich Gerichte vermehrt damit auseinandersetzen müssen. Dabei sind auch in der gerichtlichen Urteilspraxis Unterschiede festzustellen, wann und in welcher Höhe den Geschädigten ein Schadensersatzanspruch aus Art. 82 DSGVO zugesprochen wird. Dies ruft weiterhin große Unsicherheit sowohl bei Betroffenen als auch den für die Datenverarbeitung Verantwortlichen hervor. Das OLG Köln hat sich mit dieser Frage beschäftigt und nun in seinem Urteil vom 13.07.2022 (AZ. 15 O 356/20) entschieden, dass der Klägerin ein Schadensersatzanspruch aus Art. 82 DSGVO in Höhe von 500 € aufgrund der verspäteten datenschutzrechtlichen Auskunft zusteht. Das LG Bonn hatte in der Vorinstanz noch anders entschieden und einen Schadensersatzanspruch abgelehnt.

 

Das Wichtigste in Kürze

  • Art. 82 Abs. 1 DSGVO eröffnet jeder Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Schadensersatzanspruch.

  • Schadensersatz von 500 € ist laut OLG der Höhe nach angemessen und ausreichend.

  • Der von der Klägerin vorgetragene immateriellen Schaden überschreitet die Erheblichkeitsschwelle im vorliegenden Fall und begründet daher einen Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO.

 

Ausgangsfall

Im erstinstanzlichen Urteil des LG Bonn vom 01.07.2021 (AZ. 15 O 356/20) ging es um den datenschutzrechtlichen Schadensersatzanspruch aufgrund einer Verletzung von DSGVO- Vorgaben gemäß Art. 82 DSGVO. Vorliegend wurde die Geltendmachung eines Schadensersatzanspruchs aufgrund einer verspäteten und unvollständigen Datenauskunft verhandelt. Ein konkreter ersatzfähiger Schaden lag nach Ansicht des LG Bonns allerdings nicht vor. Gegen dieses Urteil hat die Betroffene nun Berufung eingelegt. Das OLG Köln hat in seinem Urteil vom 13.07.2022, anders als das LG Bonn, der Klägerin Schadensersatz in Höhe von 500 € zugesprochen.

Dem vorinstanzlichen Urteil lag folgender Sachverhalt zugrunde.

Im August 2016 erlitt die Klägerin einen schweren Verkehrsunfall, woraufhin sie am 08.09.2016 den Beklagten als Rechtsanwalt zur Regulierung der Unfallschäden beauftragte.

Am 07.01.2020 kündigte die Klägerin das Mandatsverhältnis und verlangte vom Beklagten eine vollständige Datenauskunft gemäß Art. 15 DSGVO sowie Herausgabe einer Kopie der Handakte. Diese Akte ist eine Zusammenstellung aller gesammelten und zu einem bestimmten Rechtsfall gehörenden Schriftstücke.

Der Beklagte ließ sich mit Erteilung der Datenauskunft neun Monate Zeit und erfüllte den Anspruch auch anschließend nicht vollständig. Es fehlten Angaben zum Mandatskonto, sowie Berichte über die Kommunikation zwischen der Klägerin und dem Beklagten via E-Mail und WhatsApp. Außerdem ist unklar, ob Daten an einen weiteren Rechtsanwalt weitergegeben worden sind, der sich mit dem Beklagten in einer Bürogemeinschaft befand und die gleiche Telefaxnummer nutzte.

Die Klägerin sah sich aufgrund dessen gezwungen, einen anderen Rechtsanwalt zu beauftragen, woraus weitere Kosten entstanden, die sie ersetzt haben wollte. Sie bezeichnete das Verhalten des Beklagten als mutwillig, da dieser nicht nur eine erheblich verspätete, sondern vor allem unvollständige Datenauskunft erteilt habe.

Aufgrund der verspäteten Datenauskunft war die Klägerin nicht in der Lage, Ansprüche gegenüber der Versicherung geltend zu machen.

In diesem Zusammenhang forderte die Klägerin zusätzlich Schmerzensgeld aus Art. 82 DSGVO, das € 1.000 nicht unterschreiten sollte. Die verspätete Erteilung sowie der unterstellte Vorsatz wurden zur Begründung eines immateriellen Schadens angeführt.

 

 

Schadensersatzanspruch des Betroffenen nach Art. 82 DSGVO

Nach Art. 82 Abs. 1 und 2 DSGVO hat jede natürliche Person, der wegen eines Verstoßes gegen die DSGVO ein immaterieller Schaden entstanden ist, einen Anspruch auf Schadenersatz gegen den Verantwortlichen. Im vorliegenden Fall sei ein solcher Verstoß durch den Beklagten als „Verantwortlicher“ nach Art. 4 Nr. 7 DSGVO gegeben. Denn nach Art. 15 Abs. 1, Abs. 3, Art. 12 Abs. 3 S. 1 DSGVO habe der Verantwortliche innerhalb eines Monats nach Eingang des Antrags auf Datenauskunft die entsprechenden Auskünfte zu erteilen. Dies erfolgte durch den Beklagten jedoch erst im Laufe des Verfahrens, also verspätet.

Das OLG Köln vertrat hier eine andere Auffassung als das LG Bonn. Dieses vertrat nämlich den Standpunkt, dass von Art. 82 DSGVO ausschließlich solche Schäden erfasst seien, die durch eine DSGVO-widrige Verarbeitung entstanden sind und dass daher bloße Verstöße gegen Auskunftspflichten aus Art. 12 Abs. 3 beziehungsweise Art. 15 DSGVO nicht als Rechtsgrundlage für einen Ersatzanspruch dienen könnten. Das LG Bonn führte aus, dass Art. 82 Abs. 1 DSGVO durch dessen Abs. 2 DSGVO dahingehend konkretisiert werden würde. Anders sieht dies jedoch das OLG.

Denn diese Annahme sei weder dem Gesamtkontext noch dem Sinn und Zweck oder auch der Entstehungsgeschichte der Norm zu entnehmen. Erwägungsgrund 146 spreche zwar auch von dem Gedanken, dass Schäden ersetzt werden sollen, die „einer Person aufgrund der Verarbeitung entstehen, die mit der Verordnung nicht im Einklang steht“. Jedoch sei der Begriff der Verarbeitung in Art. 4 Nr. 2 DSGVO weit gefasst. Darunter sei auch die gegenständliche Auskunft, also „Offenlegung durch Übermittlung“, zu subsumieren. Weiter führt das OLG aus, dass sich ebenso aus Erwägungsgrund 60 ergebe, dass es die Grundsätze einer fairen und transparenten Verarbeitung erforderlich machen würden, dass der Betroffene über die Existenz des Verarbeitungsvorgangs und seine Zwecke informiert werde. Vor dem Hintergrund, dass solche Auskunfts- und Informationsrechte dem Schutz des Betroffenen dienen und der Verarbeitungsprozess für den Betroffenen fair und transparent gestaltet werden soll, ist es nur überzeugend die Ersatzpflicht nach Art. 82 Abs. 1 DSGVO weit zu verstehen und auf jeden Verstoß gegen Regelungen der DSGVO anzuwenden.

 

 

OLG Köln: Nachgewiesener Schaden durch die Klägerin  

Dadurch, dass der Beklagte die angeforderte Auskunft verspätet erteilte, ist der Betroffenen ein immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO entstanden.
Dazu führte das Gericht wie folgt aus:

„Dabei kommt es vorliegend nicht auf die umstrittene Frage an, ob allein die Verletzung einer Vorschrift der DSGVO fu¨r einen Anspruch aus Art. 82 Abs. 1 DSGVO ausreicht oder ob es daru¨ber hinaus der Darlegung und des Nachweises eines konkreten Schadens bedarf.“

Die Klägerin hat vorliegend vorgetragen, dass die verspätete Datenauskunft ihr die weitere Schadensregulierung aufgrund fehlender Informationen aus der Handakte des Beklagten erschwert wurde und die dadurch entstandene Wartezeit für sie eine psychische Belastung dargestellt habe. Das OLG sah diese vorgetragenen Umstände als ausreichend an, einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO zu begründen. Das LG Bonn sah dies in seiner Entscheidung noch anders und verneinte einen immateriellen Schaden.. Das „Warten“ auf die Datenauskunft, sei nicht ausreichend um einen ersatzfähigen Schaden nach der DSGVO zu begründen, da die erforderliche Erheblichkeitsschwelle nicht überschritten würde.

 

Überschreitung etwaiger Bagatellgrenze

Nach Ansicht des OLG Köln gehen die von der Klägerin geltend gemachten Beeinträchtigungen durch die verzögerte Datenauskunft des Beklagten über eine reine Bagatelle hinaus, sodass deshalb kein Ausschluss des Schadensersatzanspruchs in Betracht komme. Das Gericht führte dazu wie folgt aus:

„Die Kla¨gerin ist fu¨r eine nicht unerhebliche Dauer vom Beklagten u¨ber das weitere Schicksal des Mandates im Unklaren gelassen worden und war u¨ber Monate nicht in der Lage, auf die Handakte zuzugreifen, Kenntnis u¨ber den Inhalt der dort gespeicherten Daten zu erlangen und das sie betreffende Verfahren mit dem neuen Prozessbevollma¨chtigten voran zu treiben.“

Insofern kam es hier gerade nicht auf die teilweise noch umstrittene Frage an, ob für einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO eine Erheblichkeitsschwelle erforderlich sein soll.

 

Schadensersatz in Höhe von 500 € angemessen und ausreichend

Das OLG hielt die Höhe des Schadensersatzes von 500 € für angemessen und ausreichend, um die von der Klägerin geltend gemachten immateriellen Schäden nach Art. 82 Abs. 1 DSGVO auszugleichen. Dabei wurde bei der Festsetzung der Höhe des zu ersetzenden Schadens zugunsten des Beklagten der Umstand herangezogen, dass die Daten keinem Dritten zugänglich gemacht worden sind. Jedoch falle dem Beklagten sein vorsätzliches Verhalten hinsichtlich der verspätet erteilten Auskunft negativ zur Last.

 

 

Ausblick

Das OLG Köln hat der Klägerin einen immateriellen Schadensersatz in Höhe von 500 € wegen verspäteter Datenauskunft zugesprochen. In seinem Urteil beleuchte es überzeugend, dass eine Ersatzpflicht nach Art. 82 Abs. 1 DSGVO weit zu verstehen ist und hinsichtlich der Verletzung aller Vorschriften der DSGVO Anwendung findet.

Unternehmen sollten sich bewusst sein, dass es bei Verstößen gegen die Vorgaben der DSGVO nicht nur zur Verhängung von Bußgeldern durch zuständige Aufsichtsbehörden kommen kann, sondern sie sich auch einem etwaigen Schadensersatzanspruch der Betroffenen ausgesetzt sehen könnten. Daher sollten sie insbesondere auf die Fristen bei Auskunftsbegehren seitens des Betroffenen achten und diese rechtzeitig bearbeiten. Um dies im Ernstfall rechtssicher realisieren zu können bedarf es daher etablierter Prozesse und dem Überblick welche Daten wann wo verarbeitet werden.

Es bleibt abzuwarten, wie die Gerichte in Zukunft im Hinblick auf geltend gemachte Schadensersatzansprüche entscheiden werden und wie mit Bagatellschäden umgegangen wird. Die Handhabung mit immateriellen Schäden stellt immer noch eine große Unsicherheit sowohl bei Betroffenen als auch Verantwortlichen dar und bedarf noch einer größeren Rechtssicherheit.

 

 
 
 

 

 

 

Wer haftet bei Datenschutzverstößen durch Arbeitnehmer? Der Arbeitgeber oder möglicherweise doch der Arbeitnehmer selbst? Das ist eine zentrale Frage, die sowohl Arbeitnehmer als auch Arbeitgeber im Kontext der datenschutzrechtlichen Vorschriften beschäftigt. Denn bei einem Verstoß können hohe Summen an Bußgeldern durch Aufsichtsbehörden verhängt werden oder Schadensersatzansprüche durch Betroffene geltend gemacht werden. Diese Sanktionen sind zentrales Mittel, um die Durchsetzung des Datenschutzes zu verbessern. Adressat ist dabei der „Verantwortliche“ oder der Auftragsverarbeiter. Dies ist in der Regel der Arbeitgeber. Doch wie sieht es mit der persönlichen Haftung des Arbeitnehmers in Fällen eines Verstoßes aus?.

 

Haftung bei Datenschutzverstoß nach der DSGVO

Grundsätzlich sieht die DSGVO zwei Möglichkeiten bei Verstößen gegen die DSGVO vor. Zum einen die Verhängung eines Bußgeldes durch die Aufsichtsbehörden nach Art. 83 DSGVO und zum anderen einen Schadensersatzanspruch des Betroffenen nach Art. 82 DSGVO. Ausgangspunkt dafür ist der „Verantwortliche“ im Sinne von Art. 4 Nr. 7 DSGVO. Danach ist „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Nur nach der Definition zu urteilen, könnten darunter sowohl Arbeitgeber als auch der einzelne Arbeitnehmer fallen. Jedoch kann im Ergebnis in der Regel nur der Arbeitgeber als „Verantwortlicher“ angesehen werden, da dieser im Normalfall darüber entscheidet, welche Daten erhoben werden, welchem unternehmerischen Zweck sie dienen und welche dafür notwendigen technischen und organisatorischen Maßnahmen erforderlich sind. Dies ergibt sich auch schon aus den rechtlichen Besonderheiten eines Arbeitsverhältnisses, in dem der Arbeitnehmer grundsätzlich den Weisungen des Arbeitgebers unterliegt und für diesen tätig wird.

Daraus kann geschlossen werden, dass in der Praxis der Arbeitgeber als „Verantwortlicher“ der Haftende ist, auch wenn vielleicht der Arbeitnehmer gegen datenschutzrechtliche Vorschriften verstoßen hat.

Das sieht auch die Datenschutzkonferenz (DSK) so. Nach Meinung der DSK sollen Unternehmen für schuldhafte Datenschutzverstöße ihrer Beschäftigten haften, sofern kein Mitarbeiterexzess vorliegt. Diese Haftung für Mitarbeiterverschulden ergebe sich aus der Anwendung des sogenannten funktionalen Unternehmensbegriffs. Danach sollen Unternehmen für das Fehlverhalten sämtlicher Mitarbeiter haften. Ausgenommen seien solche Handlungen von Beschäftigten, die nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zugerechnet werden können, sogenannte „Exzesse“.

 

Ausnahme: Haftung des Arbeitnehmers beim sogenannten Mitarbeiterexzess

In bestimmten Fällen kann also auch der Arbeitnehmer der Haftende sein. Begeht der Arbeitnehmer nämlich einen datenschutzrechtlichen Verstoß in einem „Mitarbeiterexzess“, ist der Arbeitgeber von der Haftung ausgenommen und nicht mehr Adressat des Bußgeldes oder des Schadensersatzanspruchs, sondern alleine der jeweilige Arbeitnehmer. Der sogenannte „Mitarbeiterexzess“ betrifft die Fälle, in denen sich der Arbeitnehmer nicht mehr innerhalb seines arbeitsvertraglich vorgesehenen Aufgabenbereichs bewegt. In solchen Fällen kann eine Zurechnung des Verschuldens auf den Arbeitgeber als nicht sachgerecht empfunden werden, sodass dieser auch nicht mehr „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO ist. Dadurch wird der Mitarbeiter im Rahmen des „Mitarbeiterexzesses“ zum „Verantwortlichen“.

Klassische Anwendungsfälle des „Mitarbeiterexzesses“ sind Konstellationen, in denen beispielsweise auf berufliche Dateien zugegriffen wird, um diese erlangten Informationen dann für private Zwecke zu gebrauchen. Hier ist dann der Arbeitnehmer allein verantwortlich. Zwar stellt der Arbeitgeber die Mittel für den Zugriff auf die Informationen zur Verfügung, jedoch nicht für den Zweck, diese für den privaten Gebrauch zu verwenden.

 

Konsequenzen für den Arbeitnehmer

Wenn der Arbeitnehmer seine Zugriffsberechtigung überschreitet, indem er Dateien zu persönlichen Zwecken zweckentfremdet, verletzt er den Schutz personenbezogener Daten und verstößt damit gegen die DSGVO. Dieses eigenverantwortliche Fehlverhalten von Beschäftigten ist eine meldepflichtige Verletzung des Schutzes personenbezogener Daten nach Art. 33 Abs. 1 DSGVO, die dann an die zuständige Aufsichtsbehörde weitergeleitet werden muss. Im Rahmen des „Mitarbeiterexzesses“ ist der Arbeitnehmer dann „Verantwortlicher“ gegenüber der betroffenen Person und macht sich ihr gegenüber nach Art. 82 Abs. 1 DSGVO schadensersatzpflichtig. Betroffene werden jedoch meist ihre Schadensersatzansprüche gegenüber dem Unternehmen an sich geltend machen und nicht gegen den einzelnen Arbeitnehmer.

Das Unternehmen könnte möglicherweise auch mitverantwortlich sein, wenn es gegebenenfalls keine effektiven Sicherungsmaßnahmen eingerichtet hat. Art. 82 Abs. 3 DSGVO sieht jedoch die Möglichkeit der Exkulpation vor. Demnach wird der Verantwortliche oder der Auftragsverarbeiter von der Haftung gemäß Absatz 2 befreit wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Jedoch wird es im Falle des „Mitarbeiterexzesses“ in der Regel darauf hinauslaufen, dass der Arbeitnehmer dann vollumfänglich in Regress genommen wird, da ein „Mitarbeiterexzess“ normalerweise vorsätzlich erfolgt.

 

Regress des Arbeitgebers beim Arbeitnehmer

Die derzeitige Rechtsprechung hat eine andere Haltung als die DSK, wenn kein „Mitarbeiterexzess“ vorliegt, aber dennoch ein Datenschutzverstoß durch den Arbeitnehmer erfolgt. Das Arbeitsverhältnis stellt aus rechtlicher Sicht ein Schuldverhältnis dar. Dadurch haben Arbeitnehmer und Arbeitgeber gegenseitige Rechte und Pflichten einzuhalten. Dabei treffen den Arbeitnehmer Nebenpflichten, wie der vertrauliche Umgang mit personenbezogenen Daten und das Einhalten datenschutzrechtlicher Vorschriften. Wenn der Arbeitnehmer jedoch gegen solche Vorschriften verstößt und infolgedessen gegen den Arbeitgeber als „Verantwortlicher“ ein Bußgeld verhängt wird oder dieser Schadensersatz leisten muss, könne der Arbeitgeber vom Arbeitnehmer Regress nehmen.

 

Grundsätze der Arbeitnehmerhaftung

Bei Berechnung des Umfangs der Arbeitnehmerhaftung nimmt das BAG grundsätzlich eine Differenzierung hinsichtlich der Verantwortlichkeit des Arbeitnehmers vor, um den besonderen Situationen des Arbeitsverhältnisses gerecht zu werden und den Arbeitnehmer nicht mit unverhältnismäßig hohen Summen zu belasten. Dabei geht das BAG so vor, dass es das vorwerfbare Verhalten des Arbeitnehmers anhand verschiedener Abstufungen des Grades der Fahrlässigkeit beurteilt.

 

Leichte Fahrlässigkeit

Ist dem Arbeitnehmer der Datenschutzverstoß nur leicht fahrlässig passiert, soll dieser nicht haften. Diese stellen leicht entschuldbare Pflichtverstöße dar, die jedem Arbeitnehmer beim Ausüben seiner Tätigkeit unterlaufen können. Der Arbeitgeber habe solche Verstöße hinzunehmen, da der Arbeitnehmer immerhin in „dessen Wirtschafts- und Interessenkreis für diesen“ tätig ist und kleine Fehler jedem Arbeitnehmer passieren können.

 

Mittlere Fahrlässigkeit

Wenn der Arbeitnehmer mit mittlerer Fahrlässigkeit einen Verstoß gegen datenschutzrechtliche Vorschriften begeht, ist eine anteilige Haftung vorgesehen. Mittlere Fahrlässigkeit liegt vor, wenn der Arbeitnehmer die objektiv erforderliche Sorgfalt außer Acht lässt. Das bedeutet, dass der Arbeitnehmer den Schaden hätte vorhersehen müssen, aber nicht sorgfältig genug war. Bei der Berechnung der Anteile sind die Umstände des Einzelfalls zu beachten. Dabei werden verschiedene Kriterien herangezogen, sodass sich der Umfang des Schadensersatzes beispielsweise an der Höhe des eingetretenen Schadens, dem Grad des Verschuldens und der Gefahrengeneigtheit der konkreten Tätigkeit, die Höhe des Lohns sowie Billigkeits- und Zumutbarkeitskriterien orientiert.

 

Grobe Fahrlässigkeit

Ist der Datenschutzverstoß des Arbeitnehmers grob fahrlässig verursacht worden, so soll er gegenüber dem Arbeitgeber vollumfänglich haften. Dabei ist jedoch zu beachten, dass es auch hier Haftungsobergrenzen gibt, die sich zum Beispiel am Gehalt des Arbeitnehmers orientieren können.

 

Übertragung auf die DSGVO

Fraglich ist jedoch, inwieweit sich diese Grundsätze hinsichtlich der datenschutzrechtlichen Besonderheiten auf die DSGVO übertragen lassen. Für die Haftung nach der DSGVO ist maßgeblich, dass ein Verstoß gegen die datenschutzrechtlichen Vorschriften vorliegt. Jedoch sind solche Abstufungen des Grades der Fahrlässigkeit, wie zuvor dargelegt, der DSGVO nicht bekannt. Das bedeutet, man müsste diese Haftungsgrundsätze auf ein System anwenden, das solche Abstufungen gar nicht vorsieht.

Wenn man die DSGVO näher betrachtet, findet sich in Art. 83 Abs. 2 DSGVO eine Berücksichtigung der Umstände des Einzelfalls für die Verhängung von Bußgeldern. Jedoch im Rahmen der Haftung und dem Recht auf Schadensersatz nach Art. 82 DSGVO. In Art. 82 Abs. 5 DSGVO ist zwar normiert, dass im Falle eines Schadensersatzes ein Ausgleich je nach Verschulden zwischen den Verantwortlichen oder Auftragsverarbeitern stattfinden soll. Jedoch entspricht dies gerade nicht dem vorliegenden Fall, da kein Mitarbeiterexzess vorliegt. Daher ist der Arbeitgeber der Verantwortliche und es liegt eben keine gemeinsame Verantwortlichkeit mit dem Arbeitnehmer vor.

 

Bedeutung für die Arbeitnehmer

Welche Bedeutung hat dies nun für die Arbeitnehmer? Wie dargestellt, stellt sich die Übertragung der Haftungsgrundsätze mit den Abstufungen des Grades der Fahrlässigkeit auf die DSGVO noch recht schwierig dar. Es bleibt abzuwarten, wann und wie Gerichte datenschutzrechtliche Fallbeispiele für mehr Rechtssicherheit und Vorhersehbarkeit entwickeln. Da die DSGVO als Adressat des Bußgeldes oder Schadensersatzes nur den „Verantwortlichen“ im Sinne des Art. 4 Nr. 7 DSGVO oder den Auftragsverarbeiter vorsieht, wird sich noch zeigen, inwiefern sich die Besonderheiten der DSGVO auswirken werden.

 

Ausblick

Es wird deutlich, dass noch immer Unklarheiten hinsichtlich der Haftung bestehen. Abzuwarten bleibt, wie die Rechtsprechung in Zukunft solche Konstellationen beurteilen und entscheiden wird. Insbesondere im Hinblick auf die Übertragbarkeit der Haftungsgrundsätze des BAG auf die Besonderheiten der DSGVO würden Fallbeispiele wesentlich zu mehr Rechtssicherheit beitragen. Fest steht jedoch, dass der Arbeitgeber im Grundsatz „Verantwortlicher“ und damit der richtige Adressat von Bußgeldern und Schadensersatzansprüchen ist. Eine Ausnahme davon ist das Vorliegen eines „Mitarbeiterexzess“, bei dem der Arbeitnehmer selbst als Verantwortlicher auftritt. Arbeitnehmer sollten also mit besonderer Vorsicht darauf achten die vom Arbeitgeber zur Verfügung gestellten Daten nicht für private Zwecke zu verwenden. Denn dann ist der Arbeitnehmer vollständig persönlich haftbar und läuft Gefahr sich eventuellen Schadensersatzansprüchen ausgesetzt zu sehen.

 

 
 
 
 

 

 

 

Die Kündigung eines Arbeitnehmers aufgrund von Nachlässigkeiten in Sachen Datenschutz ist nicht nur möglich, sondern auch zulässig. Dies bestätigte das LAG Sachsen kürzlich mit Urteil vom 07.04.2022 (Az. 9 Sa 250/21), in dem eine Kündigung wegen mehrmaligen Verstoßes gegen Anweisungen zum Datenschutz für rechtmäßig erklärt wurde.

 

Das Wichtigste in Kürze

  • Verstöße gegen datenschutzrechtliche Vorgaben des Arbeitgebers können eine Kündigung rechtfertigen.
  • In der Regel muss ein Arbeitnehmer auch bei Datenschutzverstößen vor Ausspruch einer Kündigung zunächst (unter Umständen mehrmals) abgemahnt werden.
  • In besonders gravierenden Fällen kann eine Abmahnung entbehrlich sein.
  • Zur Beurteilung ob eine Abmahnung erforderlich ist, kommt es darauf an wie stark sich die konkret begangene Datenschutzverletzung auf das bestehende Vertrauensverhältnis zwischen Arbeitgeber und Arbeitnehmer auswirkt.

 

Ausgangsfall

Die Klägerin war als Kreditsachbearbeiterin im beklagten Unternehmen beschäftigt. Im Unternehmen der Beklagten galt eine umfassende Richtlinie zur Informationssicherheit und Clean-Desk-Policy. Darin ordnete die Beklagte bestimmte organisatorische Maßnahmen des Datenschutzes an. Unter anderem sah die Richtlinie vor, dass Beschäftigte insbesondere beim Verlassen ihres Arbeitsplatzes bestimmte Maßnahmen ergreifen müssen, um sensible Daten vor der Einsichtnahme unbefugter Dritter zu schützen. Insbesondere sahen die Regelungen vor, dass Dokumente oder Datenträger mit vertraulichem Inhalt nicht offen am Arbeitsplatz liegen gelassen werden dürfen, sondern in eine Schublade, einen Schrank oder eine ähnliche Einrichtung gesperrt oder eingeschlossen werden müssen, wenn der Arbeitsplatz verlassen oder aus anderen Gründen nicht beaufsichtigt wird.

Nachdem die Klägerin im Laufe des Arbeitsverhältnisses nachweislich mehrmals gegen die unternehmensinternen Datenschutzvorgaben verstoßen hat, indem sie unter anderem ihre Schreibtischschublade, die sensible Kundendaten enthielt, nicht abgeschlossen hatte, folgte auf mehrere Abmahnungen eine ordentliche Kündigung. Die Arbeitnehmerin hatte mit ihrer darauf folgenden Kündigungsschutzklage in der ersten Instanz zunächst Erfolg. Anders sah das jedoch das LAG Sachsen , dass in der Summe der einzelnen geringfügigen Verstöße eine erhebliche Hauptpflichtverletzung der Klägerin sieht, die sich insbesondere auf den Betriebsablauf der Beklagten ausgewirkt haben sollen. Daher sei die Kündigung rechtmäßig und wirksam.

 

Verstöße gegen Datenschutzrichtlinien des Arbeitgebers stellen einen Kündigungsgrund dar

Das LAG setzt sich in seinem Urteil mit den Pflichtverletzungen der Klägerin detailliert auseinander. Diese lagen im konkreten Fall darin, dass sie entgegen der Arbeitsanweisung ihres Arbeitgebers zur Clean Desk Policy, während ihrer Büroabwesenheit schützenswerte Dokumente unverschlossen in ihrem Schreibtisch aufbewahrt hatte. Insbesondere folgte das Berufungsgericht nicht der Auffassung der Klägerin, wonach die Vorgaben der Beklagten zum Wegsperren von Dokumenten mit schützenswerten Inhalten nicht zwingend bedeute, dass Schränke oder Schubladen verschlossen sein müssen. Unter Verweis auf den Duden hat das LAG ausgeführt, dass das Verständnis der Klägerin, mit der Bedeutung des Wortes „wegsperren“ nicht zu vereinbaren sei. Zudem habe der Arbeitgeber sein Ziel sensible Daten vor unberechtigten Zugriffen zu schützen mit seiner Wortwahl unmissverständlich zum Ausdruck gebracht. Dieses Ziel sei aber durch die Ablage in einer unverschlossenen Einrichtung gerade nicht zu erreichen gewesen. Weiterhin stellte das Gericht klar, dass organisatorische Datenschutzmaßnahmen des Arbeitgebers nicht nur dem Schutz vor unbefugten Zugriffen externer Personen dienen, sondern auch Zugriffe durch andere Mitarbeiter verhindern sollen, die im Rahmen ihrer Tätigkeit keinen Zugriff auf die Daten haben dürfen und daher als unberechtigte Dritte anzusehen sind.

 

Arbeitnehmer haften grundsätzlich nicht für DSGVO-Verstöße

Nach deutschem Recht haftet grundsätzlich derjenige für einen entstandenen Schaden, der diesen zu vertreten hat (§ 276 BGB). Im Rahmen eines Arbeitsverhältnisses gilt das Prinzip der Eigenverantwortung nur eingeschränkt. Für Datenschutzverstöße im Rahmen einer Beschäftigung gilt insoweit nichts anderes. So ist in der Regel der Arbeitgeber Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO, da er darüber entscheidet, welche Daten zu welchem Zweck erhoben und welche technische und organisatorische Maßnahmen in diesem Zusammenhang getroffen werden. So haftet in der Regel der Arbeitgeber gegenüber betroffenen Kunden oder ggf. auch anderen Beschäftigten für Schäden, die infolge von Datenschutzverletzungen seiner Arbeitnehmer verursacht werden. Nur in Ausnahmefällen wird der Arbeitnehmer persönlich in Anspruch genommen. Wann eine persönliche Haftung des Arbeitnehmers vorliegt, können Sie in diesem Beitrag nachlesen.

 

Datenschutzverstöße können zu einer Kündigung des Arbeitsverhältnisses führen

Neben den üblichen Verstößen gegen die DSGVO wie beispielsweise einer unberechtigten Löschung von Daten, einem Datenmissbrauch oder einem Verstoß gegen Verschwiegenheitspflichten können auch Verstöße gegen datenschutzrechtliche Vorgaben des Arbeitgebers von Bedeutung sein. Vor allem dann, wenn diese einen kündigungsrelevanten Sachverhalt begründen. Ob eine Kündigung aufgrund eines Verstoßes gegen unternehmensinterne Datenschutzvorgaben rechtmäßig ist oder nicht, ist letztlich eine Frage des Einzelfalls..

 

Vor dem Ausspruch einer Kündigung muss der Arbeitnehmer grundsätzlich abgemahnt werden

Datenschutzverletzungen aufseiten des Arbeitnehmers stellen regelmäßig einen abmahnungsfähigen Sachverhalt dar, unabhängig davon, ob gesetzliche Vorgaben oder unternehmensinterne Richtlinien des Arbeitgebers verletzt werden. Im Falle einer Kündigung ist es regelmäßig erforderlich, dass im Vorfeld eine oder ggf. auch mehrere Abmahnungen erteilt wurden, so wie es auch in dem hier vorliegenden Fall geschah. Greift ein Arbeitnehmer beispielsweise auf Daten zu, für die er eigentlich keine Zugriffsberechtigung hat, kann der Arbeitgeber eine Abmahnung aussprechen.

 

Eine Abmahnung kann unter bestimmten Umständen entbehrlich sein

In besonders gravierenden Fällen kann eine Abmahnung ausnahmsweise aber auch entbehrlich sein. In welchen Fällen das angenommen werden kann, wird von der Rechtsprechung aufgrund einer Vielzahl denkbarer Verstöße nicht einheitlich beantwortet. Denn jedes Unternehmen weist ein breites Spektrum an schützenswerten Daten in seinem Bestand auf. Weiterhin muss die Stellung des jeweiligen Arbeitnehmers und die Art der geschützten Daten im konkreten Fall berücksichtigt werden, da das Vertrauensverhältnis zwischen Arbeitnehmer und Arbeitgeber je nach Sachlage unterschiedlich stark betroffen sein kann.

 

Wann eine Abmahnung entbehrlich ist, ist eine Frage des Einzelfalls

Die bereits vorhandene Rechtsprechung kann insoweit lediglich als Orientierung dienen. Sie vermag jedoch keine verlässliche Antwort auf die Frage zu geben, wann eine Abmahnung als milderes Mittel zur Kündigung entbehrlich ist. Insofern muss nach allgemeinen Grundsätzen eine Betrachtung des Einzelfalls vorgenommen werden, um entscheiden zu können, wie schwerwiegend der jeweilige Verstoß ist und ob dieser geeignet ist, die Vertrauensgrundlage nachhaltig zu beeinträchtigen. In diesem Zusammenhang sei beispielhaft auf einige Fälle hingewiesen, die in der Vergangenheit von den Arbeitsgerichten entschieden wurden:

Im Rahmen eines Kündigungsschutzprozesses hatte das Landesarbeitsgericht Köln bereits vor dem Inkrafttreten der DSGVO entschieden, dass ein Arbeitnehmer zunächst mit einem deutlichen Hinweis auf die durch ihn begangenen Datenschutzverstöße abgemahnt werden muss, bevor ihm die Kündigung ausgesprochen werden kann. In dem zugrundeliegenden Fall hatte ein angestellter Programmierer, unberechtigterweise Einsicht in eine Geheimliste auf dem Firmen-Computer genommen.

In einem vergleichbaren Fall vor dem Arbeitsgericht Osnabrück nahm ein Arbeitnehmer in rechtswidriger und strafbarer Weise Einsicht in vertrauliche Daten. Das Arbeitsgericht sah im Verhalten des Arbeitnehmers einen schwerwiegenden Vertrauensbruch, der den Arbeitgeber auch ohne den vorherigen Ausspruch einer Abmahnung zur ordentlichen Kündigung berechtigte.

Das Arbeitsgericht Aachen ging noch weiter und hat in einem Fall sogar die außerordentliche Kündigung ohne eine zuvor ausgesprochene Abmahnung für rechtmäßig erkannt. In dem zu entscheidenden Fall hatte ein Arbeitnehmer mit langjähriger Betriebszugehörigkeit drei E-Mails seines Vorgesetzten mitgelesen. Dies war ihm aufgrund seiner Position als Systemadministrator technisch zwar möglich, in seinem Arbeitsvertrag jedoch ausdrücklich untersagt.

Die vorgenannten Entscheidungen machen deutlich, dass es bei Verstößen gegen Datenschutzbestimmungen stets einer Einzelfallbetrachtung bedarf. Dabei ist vor allem entscheidend, wie stark sich die konkret begangene Datenschutzverletzung auf das bestehende Vertrauensverhältnis zwischen Arbeitgeber und Arbeitnehmer auswirkt. Je stärker dieses tangiert ist, desto eher kann man davon ausgehen, dass eine vorherige Abmahnung entbehrlich ist.

 

Arbeitnehmer sollten nachweislich umfassend über ihre Pflichten zum Datenschutz aufgeklärt werden

Um dies im Rahmen eines Kündigungsschutzprozesses nachvollziehbar darlegen zu können, sollten Arbeitgeber ihre Beschäftigten zu Beginn ihrer Tätigkeit umfassend über die im Betrieb geltenden Datenschutzbestimmungen informieren. Die Informationserteilung sollte bestenfalls schriftlich erfolgen und durch den Beschäftigten optimalerweise bestätigt werden. Schließlich wird eine nachhaltige Schädigung des Vertrauensverhältnisses wesentlich leichter zu bejahen sein, wenn feststeht, dass der Arbeitnehmer trotz ausreichender Aufklärung die Vorgaben des Arbeitgebers missachtet hat.

 

Folgen von Datenschutzverstößen für den Arbeitgeber

Arbeitgeber sollten ihren Beschäftigten Richtlinien zum Zwecke des Datenschutzes und der Datensicherheit vorgeben. Denn unabhängig von der Beeinträchtigung des Geschäftsablaufs durch den Verlust von Geschäftsgeheimnissen oder Kundendaten, können Nachlässigkeit in Sachen Datenschutz zu meldepflichtigen Datenschutzvorfällen nach Art. 33 DSGVO führen. Kommt es infolge von Datenschutzverstößen zu aufsichtsbehördlichen Aufsichtsmaßnahmen, Bußgeldern oder Schadensersatzansprüchen betroffener Personen, haftet regelmäßig das Unternehmen als datenschutzrechtlich Verantwortlicher. Nicht zu vernachlässigen ist auch die Tatsache, dass dem Unternehmen bei öffentlich bekannt gewordenen Datenschutzvorfällen ein Image- und Reputationsschäden drohen könnte.

 

Maßnahmen des Datenschutzes und der Datensicherheit am Arbeitsplatz

Auch wenn grundsätzlich allein das Unternehmen haftete, sollten auch Beschäftigte dieses Thema ernst nehmen und mit personenbezogenen Daten verantwortungsbewusst umgehen. Dies kann in den meisten Fällen bereits durch folgende Maßnahmen erreicht werden:

  • Einrichtung und Aktivierung einer Zugriffssperre am PC/Laptop
  • Sensible Dokumente nicht offen einsehbar liegen lassen
  • Hardware unbekannter Herkunft nicht mit dem PC/Laptop verbinden
  • Passwörter sicher aufbewahren
  • E-Mails auf Seriosität überprüfen
  • Sensible Dokumente nicht in der Öffentlichkeit bearbeiten
  • Keine offenen WLAN-Netze verwenden
  • Log-In-Daten nicht an Dritte weitergeben
  • Datenverluste oder andere Unregelmäßigkeiten an den Vorgesetzten oder Datenschutzbeauftragten melden.

 

Fazit

Das aktuelle Urteil des LAG Sachsen macht deutlich, dass auch Verstöße gegen organisatorische Maßnahmen des Arbeitgebers eine Kündigung rechtfertigen können. In Anbetracht der Tatsache, dass bei Datenschutzverstößen sowohl empfindliche Bußgelder als auch Schadensersatzansprüche betroffener Personen drohen können, legen Arbeitgeber viel Wert auf die Einhaltung von Vorschriften zum Datenschutz. Denn regelmäßig ist im Falle eines Verstoßes das Unternehmen Adressat von Sanktionen und Schadensersatzansprüchen, da dieses als datenschutzrechtlich Verantwortlicher anzusehen ist. Daher sollte es Anliegen eines jeden Arbeitgebers sein, seine Arbeitnehmer für den Datenschutz zu sensibilisieren und deutlich zu machen, dass die Nichtbeachtung arbeitsrechtliche Konsequenzen und im härtesten Fall eine Kündigung nach sich ziehen kann. Die Arbeitnehmer wiederum sind gut beraten den Arbeitgeber bei diesen Bestrebungen zu unterstützen und sich an die vorgegebenen Richtlinien zu halten.

 

 
 
 

 

 

 

Das Bundesarbeitsgericht (BAG) hat am 13. September (Az.: 1 ABR 22/21) ein für die Praxis sehr bedeutsames Urteil gefällt. Das BAG hat entschieden, dass Arbeitgeber aufgrund unionsrechtskonformer Auslegung des Arbeitsschutzgesetzes dazu verpflichtet sind, ein System bereitzustellen, mit dem die von den Arbeitnehmern geleistete Arbeitszeit erfasst werden kann. Da die Arbeitszeiterfassung auf unterschiedlichste Art und Weise umgesetzt werden kann, bleibt die Frage nach dem Wie jedoch weiter offen. Durch die Corona-Pandemie und die damit verbundene Arbeit im Home-Office haben Unternehmen vermehrt auf die Vertrauensarbeitszeit zurückgegriffen, sodass die arbeitsrechtliche Fragestellung durchaus brisant ist. Doch die Entscheidung des BAG ist auch aus datenschutzrechtlicher Sicht von besonderem Interesse.

 

Das Wichtigste in Kürze

  • Arbeitgeber sind verpflichtet ein System für die Arbeitszeiterfassung bereitzustellen.
  • Dem Betriebsrat steht hinsichtlich der Einführung einer elektronischen Zeiterfassung kein Initiativrecht zu.
  • Die Ausgestaltung der Zeiterfassung ist bisher noch offen.
  • Die Dokumentation der geleisteten Arbeitszeiten enthält personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO.

 

Sachverhalt

In dem zugrunde liegenden Sachverhalt ging es um die Frage, ob dem Betriebsrat gemäß § 87 Abs. 1 Nr. 6 BetrVG ein Initiativrecht hinsichtlich der Einführung einer elektronischen Zeiterfassung zusteht. Die Arbeitgeberinnen unterhalten eine vollstationäre Wohneinrichtung als gemeinsamen Betrieb. Sie schlossen 2018 mit dem antragsstellenden Betriebsrat eine Betriebsvereinbarung zur Arbeitszeit. Parallel dazu verhandelten die Parteien über eine Betriebsvereinbarung zur Arbeitszeiterfassung, wobei es zu keiner Einigung kam. Es kam zur Einleitung eines Beschlussverfahrens seitens des Betriebsrates, nachdem die Arbeitgeberinnen die Zuständigkeit der angerufenen Einigungsstelle gerügt hatten. Der Betriebsrat begehrte in dem Beschlussverfahren die Feststellung, dass ihm ein Initiativrecht zur Einführung eines elektronischen Zeiterfassungssystems zusteht.

 

LAG Hamm: Betriebsrat steht ein Initiativrecht zu

In der Vorinstanz hat das Landesarbeitsgericht Hamm dem Antrag des Betriebsrats stattgegeben und bejahte ein Initiativrecht des Betriebsrats. Im Sinne eines Mitgestaltungsrechts könne dem Betriebsrat grundsätzlich auch die Initiative zukommen, in mitstimmungspflichtigen Angelegenheiten Verhandlungen aufzunehmen und zu verlangen. Dies würde auch dem gesetzgeberischen Willen des BetrVG entsprechen. Insbesondere enthalte der § 87 BetrVG in seiner Eingangsformulierung keine Aufspaltung der Mitbestimmungsrechte in solche mit und ohne Initiativrecht.
Das LAG Hamm ist mit dieser Entscheidung von einem älteren Beschluss des BAG vom 28.11.1989 (Az.: 1 ABR 97/88) abgewichen.

 

BAG: kein Initiativrecht des Betriebsrats aus § 87 Abs. 1 Nr. 6 BetrVG

Gegen diese Entscheidung des LAG Hamm haben die Arbeitgeberinnen Rechtsbeschwerde eingelegt. Diese Beschwerde hatte nun vor dem BAG Erfolg. Das BAG lehnt ein Initiativrecht des Betriebsrats aus § 87 Abs. 1 Nr. 6 BetrVG hinsichtlich der Einführung einer elektronischen Zeiterfassung ab. Das Bundesgericht weist darauf hin, dass dem Betriebsrat nur nach § 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht in sozialen Angelegenheiten zustehe, soweit eine gesetzliche oder tarifliche Regelung nicht besteht. Das BAG stützte sich bei seiner Entscheidung auf § 3 Abs. 2 Nr. 1 ArbSchG. Danach sei der Arbeitgeber unter unionsrechtskonformer Auslegung gesetzlich dazu verpflichtet die Arbeitszeiten der Arbeitnehmer zu erfassen. Dies schließe dann ein Initiativrecht des Betriebsrats zur Einführung eines Systems zu Zeiterfassung aus.

Zwar vertrat das BAG bislang die Auffassung, dass dem Betriebsrat grundsätzlich im Rahmen von betrieblichen Mitbestimmungsrechten auch ein Initiativrecht zukomme. Eine Ausnahme solle jedoch dann gelten, wenn das Mitbestimmungsrecht eine „abwehrende Funktion“ habe. Also in dem Fall, wenn die Arbeitnehmer vor Maßnahmen des Arbeitgebers geschützt werden sollen. Ein solches Abwehrrecht stelle § 87 Abs. 1 Nr. 6 BetrVG dar.

 

Verweis auf EuGH Urteil

Das BAG stützt seine Entscheidung insbesondere auf ein Urteil des EuGH aus dem Jahr 2019. In diesem Urteil entschied der Europäische Gerichtshof, dass die Mitgliedsstaaten der Europäischen Union Arbeitgeber dazu verpflichten müssen, die Arbeitszeiten der jeweiligen Arbeitnehmer zu erfassen. Im deutschen Recht ist eine solch umfassende Pflicht für die Zeiterfassung der Arbeitnehmer bislang jedoch nicht ausdrücklich im Gesetz normiert worden. Daher legte das BAG den § 3 Abs. 2 Nr. 1 ArbSchG europarechtskonform aus und begründete damit die Pflicht des Arbeitgebers zur Zeiterfassung seiner Arbeitnehmer und lehnte das Initiativrecht seitens des Betriebsrats entsprechend ab.

 

Art und Weise der Zeiterfassung bleibt jedoch offen

Da seitens des BAG noch keine Begründung der Entscheidung vorliegt, bleibt offen, in welcher Art und Weise die Zeiterfassung zu erfolgen hat. Diesbezüglich gab es weder in dem damaligen EuGH-Urteil noch in dem derzeitigen Beschluss des BAG Konkrete Vorgaben.

 

Datenschutz und Arbeitszeiterfassung

Elektronische Formen der Zeiterfassung sind heutzutage nicht mehr wegzudenken. Doch wie verhält es sich hinsichtlich des Datenschutzes und der Arbeitszeiterfassung?
Da die geleistete Arbeitszeiten personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO darstellen, gilt es bei der Erfassung der Arbeitszeit datenschutzrechtliche Aspekte zu beachten. Nach Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Durch die Verknüpfung zwischen der Arbeitszeit als Information und dem Arbeitnehmer als identifizierte Person ist die Arbeitszeit unter Art.4 Nr. 1 DSGVO zu subsumieren.

Als Rechtsgrundlage für diese Datenverarbeitung wird Art. 26 Abs. 1 DSGVO angeführt, da die Erfassung der geleisteten Arbeitszeiten für die Durchführung des Arbeitsverhältnisses und die Beachtung arbeitsrechtlicher Vorgaben sowie den Arbeitnehmerschutz erforderlich ist. Insofern lässt sich diese Verarbeitung auch auf die Erfüllung rechtlicher Verpflichtungen nach Art. 6 Abs. 1 lit. c DSGVO stützen.

Problematisch könnten sich jedoch die Erfüllung der Grundsätze des Art. 5 DSGVO darstellen. Insbesondere im Hinblick auf die Zweckbindung ergeben sich in der Praxis regelmäßig Schwierigkeiten, da die Daten zur Arbeitszeiterfassung nicht zur Leistungs- und Verhaltenskontrolle oder zur Erstellung von Bewegungsprofilen genutzt werden dürfen.

Hinzutreten können aber auch Problemfelder in Fragen der Datenminimierung. Beispielsweise rückt die Zeiterfassung mittels Fingerabdruck oder anderer biometrischer Daten immer mehr in den Fokus. Diese Methode ist jedoch im Hinblick auf den Datenschutz nicht unbedenklich. Derer Fingerabdruck ist ein biometrisches Datum im Sinne von Art. 4 Nr. 14 DSGVO und darf daher nach Maßgabe des Art. 9 DSGVO nur ausnahmsweise verarbeitet werden. Entsprechend einer Entscheidung des LAG Berlin-Brandenburg ist dies für die arbeitsrechtliche Zeiterfassung nicht erforderlich.

 

Vorgaben für die Speicherdauer von Arbeitszeiten

Grundsätzlich dürfen Arbeitszeiten nur so lange aufbewahrt werden, wie dies zur Zweckerreichung erforderlich ist oder gesetzliche Speicherfristen dies vorschreiben. So normiert § 16 Abs. 2 ArbZG etwa eine Mindestaufbewahrungsfrist, der Dokumentationen von Überstunden von mindestens 2 Jahre.

 

 

Fazit

Abzuwarten bleibt die Begründung des BAG und ob dort etwaige Grenzen oder Anforderungen an die Art und Weise der Zeiterfassung gestellt werden. Der EuGH hatte es in seiner Entscheidung noch den Arbeitgebern überlassen, wie diese ihre Systeme zur Zeiterfassung ausgestalten, sofern die Arbeitszeiten objektiv und verlässlich festgestellt werden. Vor allem wird das Urteil des BAG Auswirkungen auf Unternehmen haben, die mit dem Vertrauensarbeitszeitmodell arbeiten. Diesen Zeiterfassungsstil etablierten insbesondere Unternehmen während der Corona-Pandemie, da hauptsächlich im Home-Office gearbeitet wurde. Entweder könnten die Entscheidungsgründe erhebliche Folgen für Arbeitgeber haben, z. B. im Hinblick auf die technischen oder elektronischen Zeiterfassungssysteme oder aber eventuelle Ausnahmen in den Entscheidungsgründen für Arbeitgeber definiert werden.

Es bleibt allerdings auch zweifelhaft, dass die Vorgabe des BAG einer allumfassende Pflicht des Arbeitgebers zur Zeiterfassung dauerhaft Bestand haben wird. Denn letztlich hat der EuGH in seiner Entscheidung 2019 den Mitgliedsstaaten die Pflicht auferlegt eine gesetzliche Regelung dafür zu normieren, wozu der deutsche Gesetzgeber sich bislang nicht aufraffen konnte. Es bleibt also spannend, ob und wann der Gesetzgeber handeln wird.

Trotz dessen müssen Arbeitgeber für eine Zeiterfassung sorgen, wenn sie sich rechtssicher aufstellen wollen. Dazu bedarf es eines geeigneten Zeiterfassungssystems und der Berücksichtigung datenschutzrechtlicher Bestimmungen.

 

 
 
 

 

 

 

GPS-Überwachung kann im Arbeitsleben äußerst hilfreich sein, insbesondere wenn es darum geht, die Verwendung von Firmenfahrzeugen oder anderen Betriebsmitteln zu überwachen oder die Gewinne des eigenen Unternehmens zu maximieren. Jedoch sorgt der Einsatz von Ortungssystemen im Arbeitsverhältnis im Hinblick auf die datenschutzrechtliche Zulässigkeit für Bedenken. Nicht selten kommt die Besorgnis auf, dass Arbeitgeber Bewegungsdaten zu einer umfassenden Überwachung ihrer Beschäftigten einsetzen, indem beispielsweise die Fahrt- und Standortdaten von Firmenfahrzeuge sowie Daten zu den jeweiligen Aufenthaltszeiten an bestimmten Orten unbegrenzt erhoben und ausgewertet werden. Gestützt auf eine Betriebsvereinbarung, eine Einwilligung des Arbeitnehmers oder betriebliche Erfordernisse und unter Beachtung der Datenverarbeitungsgrundsätze der Datenschutzgrundverordnung (DSGVO), ist die Verarbeitung von GPS-Daten dennoch möglich.

 

Das Wichtigste in Kürze

  • Als rechtliche Grundlage für das GPS-Tracking kommt grundsätzlich eine Einwilligung, ein berechtigtes Interesse des Arbeitgebers oder die Erforderlichkeit zur Durchführung des Arbeitsverhältnisses in Betracht.
  • Dem Betriebsrat steht im Hinblick auf die Einführung von GPS-Überwachungsmaßnahmen nach § 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht zu.
  • Eine heimliche GPS-Überwachung ist grundsätzlich unzulässig.
  • Auch bei der Verarbeitung von GPS-Daten sind die Grundsätze der Zweckbindung, Transparenz und der Datensparsamkeit ebenso wie die Informations- und Löschpflichten der DSGVO zu beachten.

 

GPS-Daten sind personenbezogene Daten im Sinne der DSGVO

GPS steht für Global Positioning System und beschreibt die globale Bestimmung der Position einer Person oder eines Gegenstandes mithilfe von Satelliten. Demnach sind unter GPS-Daten solche Daten zu verstehen, die Aufschluss über den Aufenthaltsort eines Geräts oder einer Person ermöglichen. So werden GPS-Daten spätestens dann zu personenbezogenen Daten, wenn das Gerät, dessen geografische Position lokalisiert wird, einer Person zugeordnet werden kann. Da der Aufenthaltsort generell Rückschlüsse auf das Verhalten eines Menschen ermöglicht, ist der Anwendungsbereich der DSGVO eröffnet. Selbst wenn die Zuordnung eines Geräts zu einer Person nur für einen kurzen Zeitraum möglich ist, liegt durch die Geolokalisierung und die Möglichkeit der Zuordnung ein personenbezogenes Datum vor.

 

Rechtsgrundlagen beim GPS-Tracking

Wie jede Datenverarbeitung, erfordert auch das GPS-Tracking eine Rechtsgrundlage. Diese kann in der Einwilligung der betroffenen Person, dem berechtigten Interesse des Arbeitgebers oder aufgrund der Erforderlichkeit zur Durchführung des Arbeitsverhältnisses liegen.

Auch wenn eine Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) DSGVO generell dazu geeignet ist, jede denkbare Datenverarbeitung zu legitimieren, bestehen im Arbeitsverhältnis hohe Anforderungen an ihre Abgabe. Denn aufgrund des arbeitgeberseitigen Weisungsrechts hält der Gesetzgeber es für naheliegend, dass es bei einer Einwilligung durch die Mitarbeiter an der Freiwilligkeit fehlen könnte.

Neben der Einwilligung kommt grundsätzlich auch Art. 6 Abs. 1 S. 1 lit. f) DSGVO als Grundlage in Betracht. Danach ist eine Verarbeitung personenbezogener Daten dann zulässig, wenn sie zur Wahrung der berechtigten Interessen des Arbeitgebers erforderlich ist und keine überwiegenden Interessen oder Grundrechte und Grundfreiheiten des Arbeitnehmers, die dem Schutz personenbezogener Daten dienen, entgegenstehen. Ein berechtigtes Interesse des Arbeitgebers kann etwa beim Schutz vor Diebstahl oder zum Zwecke der Optimierung von Abläufen angenommen werden. So konnten Unternehmen bisher in zulässigerweise GPS-Tracking beispielsweise dazu einsetzen, um Aufträge nach Standortnähe zu vergeben. Als unzulässig wurde demgegenüber bisher das Tracking der Fahrtrouten von Beschäftigten angesehen, das überwiegend zum Zweck der Leistungs- und Verhaltenskontrolle erfolgt.

Darüber hinaus kann eine Verarbeitung der GPS-Daten von Beschäftigten auch auf § 26 BDSG gestützt werden, wonach die Verarbeitung von Bewegungsdaten, die mithilfe von Ortungssystemen gewonnen wurden, zulässig ist, wenn dies zum Zwecke der Durchführung des Arbeitsverhältnisses erforderlich ist und eine Interessenabwägung nicht zulasten des Arbeitnehmers geht.

 

Mitbestimmungsrecht des Betriebsrats und Abschluss einer Betriebsvereinbarung

In diesem Zusammenhang sollte auch der Betriebsrat nicht außen vor gelassen werden. Diesem steht im Hinblick auf die Einführung von GPS-Überwachungsmaßnahmen nach § 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht zu. Zudem können Betriebsrat und Arbeitgeber eine Betriebsvereinbarung zum GPS-Monitoring treffen, die als rechtliche Grundlage dient und die Umstände einer zulässigen Erhebung und Verarbeitung von Bewegungsdaten festlegt. Für den Fall, dass kein Betriebsrat vorhanden ist, kommt eine schriftliche Selbstbindungserklärung des Arbeitgebers oder ein Zusatz zum individuellen Arbeitsvertrag in Betracht.

 

Keine heimliche GPS-Überwachung

Eine heimliche GPS-Überwachung ist demgegenüber grundsätzlich unzulässig. Eine solche könnte ausnahmsweise nur dann in Betracht kommen, wenn bereits konkrete Anhaltspunkte dafür vorliegen, dass ein Beschäftigter im Rahmen des Arbeitsverhältnisses strafbare Handlungen vornimmt.

 

Art und Weise der Zeiterfassung bleibt jedoch offen

Da seitens des BAG noch keine Begründung der Entscheidung vorliegt, bleibt offen, in welcher Art und Weise die Zeiterfassung zu erfolgen hat. Diesbezüglich gab es weder in dem damaligen EuGH-Urteil noch in dem derzeitigen Beschluss des BAG Konkrete Vorgaben.

 

Beachtung der Grundsätze der Datenverarbeitung und Informationspflichten

Letztlich müssen auch im Hinblick auf die Verarbeitung von Bewegungsdaten die Datenverarbeitungsgrundsätze der DSGVO eingehalten werden. Demnach sollte die Datenverarbeitung immer zweckgebunden und nicht anlasslos erfolgen. Entsprechend dem Grundsatz der Datenminimierung sollten so wenig Daten wie möglich erhoben, verarbeitet und gespeichert werden. Schließlich sind die Informations- und Löschpflichten der DSGVO zu beachten.

 

 

Fazit

Der Erhebung und Verwertung von GPS-Daten sind sowohl durch das Arbeitsrecht als auch durch die DSGVO enge Grenzen gesetzt. Gestützt auf eine Betriebsvereinbarung, eine Einwilligung des Arbeitnehmers oder betriebliche Erfordernisse und unter Beachtung der Datenverarbeitungsgrundsätze der DSGVO, ist die Verarbeitung von GPS-Daten dennoch möglich. Sofern GPS-Tracking zur Erhebung und Verarbeitung von Bewegungsdaten der Beschäftigten eingesetzt werden soll, sind dabei zwingend die Rechte der Beschäftigten zu berücksichtigen. Diese sind im Zweifel schutzwürdiger als das Interesse des Arbeitgebers. Ansonsten könnten Arbeitgebern neben arbeitsrechtlichen Konsequenzen Sanktionen seitens der Datenschutzaufsichtsbehörden drohen.

 

 
 
 

 

 

 

Aktuell werden tausende Webseiten-Betreiber aufgrund der dynamischen Einbindung von Google Fonts auf ihren Websites abgemahnt und zur Zahlung einer Geldentschädigung in Höhe von 100 bis zu 500 Euro aufgefordert. Dabei handelt es sich bereits um die zweite Abmahnwelle in diesem Jahr. Auch diesmal sind die Abmahnungen auf das Urteil des Münchner Landgerichts vom 20. Januar 2022 (LG München I, Urteil v. 20.01.2022 – 3 O 17493/20) zurückzuführen. Demnach stünde einem Webseiten-Besucher, dessen personenbezogene Daten beim Aufrufen einer Webseite mit dynamischer Einbindung von Google Fonts, durch die ohne Einwilligung die IP-Adresse an den Google-Standort in den USA weitergeleitet wird, ein Anspruch auf Schadensersatz zu.

 

Das Wichtigste in Kürze

  • Durch eine dynamischen Einbindung von Google Fonts wird eine automatische Verbindung mit den Google-Servern hergestellt und die IP-Adresse der Webseiten-Besucher übermittelt.
  • Für die Erfassung und Übermittlung der IP-Adresse ist grundsätzlich eine Rechtsgrundlage i.S.d. DSGVO erforderlich.
  • Die Übermittlung der dynamischen IP-Adresse eines Website-Besuchers an Googles US-Standort ohne eine Einwilligung im Sinne des Art. 6 Abs. 1 lit. a) DSGVO ist unzulässig.
  • Betroffenen könnte ein Anspruch auf immateriellen Schadensersatz gem. Art. 82 DSGVO zustehen.

 

Unrechtmäßige Weitergabe personenbezogener Daten beim Einsatz von Google Fonts

Bei Google Fonts handelt es sich um ein interaktives Verzeichnis des US-amerikanischen Konzerns Google, das mittlerweile über 1.400 Schriftarten enthält, die Website-Betreibern lizenzfrei zur Verfügung gestellt werden. Betreiber binden das Verzeichnis auf ihrer Website ein, um den Besuchern den Zugriff auf die verschiedenen Schriftarten zu ermöglichen. Dabei haben sie zum einen die Möglichkeit, die Schriftarten herunterzuladen, lokal zu speichern und vom lokalen Server in den Internetauftritt einzubinden, wobei keine Verbindung zu Google-Servern aufgebaut wird. Zum anderen können die Schriften aber auch dynamisch in den Webauftritt eingebunden werden. Problematisch hierbei ist, dass der Aufruf einer Webseite im Falle einer dynamischen Einbindung von Google Fonts mit der Übermittlung personenbezogener Nutzerdaten in die USA einhergeht. Denn in der Praxis werden die Schriftarten regelmäßig auf der Webseite über einen Link eingebunden. Beim Aufruf der Webseite wird eine Verbindung zum Google-Server in den USA hergestellt und die benötigte Schriftart geladen. Mit dem Verbindungsaufbau erfolgt jedoch auch die Übermittlung der IP-Adresse des Webseiten-Besuchers an Google.

 

IP-Adressen sind personenbezogene Daten

Bereits vor einigen Jahren hat der Bundesgerichtshof bestätigt, dass es sich bei IP-Adressen um personenbezogene Daten i.S.d. DSGVO handelt. Begründet wird dies damit, dass Website-Betreiber mithilfe der IP-Adresse die abstrakte Möglichkeit haben, die dahinterstehende Person identifizieren zu lassen. Daher ist für ihre Erfassung und Übermittlung grundsätzlich eine Rechtsgrundlage erforderlich.

 

LG München: Dynamische Einbindung von Google Fonts verstößt gegen die DSGVO

Als Rechtsgrundlage kommt in diesem Fall alleine eine vorherige Einwilligung des Webseiten-Besuchers in Frage. In den meisten Fällen liegt eine Einwilligung bei der Einbindung von Google Fonts jedoch nicht vor, sodass mangels einer rechtlichen Grundlage für die Erhebung und Weitergabe der IP-Adresse ein DSGVO-Verstoß vorliegt. Dies hat auch das LG München im Januar dieses Jahres mit einem Urteil bestätigt. Ein „berechtigtes Interesse“ des Website-Betreibers im Sinne des Art. 6 Abs. 1 lit. f) DSGVO als alternative Rechtsgrundlage schloss das Landgericht in diesem Fall richtigerweise aus. Schließlich kann Google Fonts vom Webseiten-Betreiber auch lokal eingesetzt werden, wodurch eine automatische Verbindung zum Google-Server und die Übermittlung der IP-Adresse verhindert wird. Diese deutlich datensparsamere Variante ist ohne wesentlich größeren Aufwand umsetzbar.

 

Nutzer war nicht zu Verschlüsselung seiner IP-Adresse verpflichtet

Ein Mitverschulden des klagenden Website-Besuchers hat das Gericht verneint. Dieser sei nicht zur Verschlüsselung seiner IP-Adresse im Vorfeld des Website-Besuchs verpflichtet gewesen. Begründet hat das Landgericht diese Entscheidung damit, dass ein solches Verlangen dem Zweck des Datenschutzrechts natürliche Personen bei der Verarbeitung ihrer Daten vor Beeinträchtigungen zu schützen zuwiderlaufen würde.

 

100 Euro DSGVO-Schadensersatz wegen „Unwohlsein“

Neben einem Unterlassungsanspruch sprach das Gericht dem Betroffenen auch einen Anspruch auf Schadensersatz gem. Art. 82 DSGVO in Höhe von 100 Euro zu. Den Anspruch begründete das Gericht mit dem Eingriff in das allgemeine Persönlichkeitsrecht des Betroffenen, das auf dem Kontrollverlust über sein an Google übermitteltes personenbezogenes Datum beruht. Zudem rechtfertige das damit verbundene Unwohlsein des Betroffenen einen Anspruch auf Schadensersatz. Dies gelte insbesondere unter Berücksichtigung der Tatsache, dass es sich bei Google um ein Unternehmen handele, das bekanntermaßen massenweise Daten seiner Nutzer sammelt, und dass in dem konkreten Fall eine mehrmalige Übermittlung der IP-Adresse stattfand und diese unstreitig an Google-Server in den USA übermittelt wurde, obwohl dort nach aktueller Rechtslage kein angemessenes Datenschutzniveau gewährleistet ist. Auf die Frage, ob das Erreichen bzw. Überschreiten einer Erheblichkeitsschwelle notwendige Voraussetzung eines Anspruchs auf immateriellen Schadensersatz ist, kam es im hiesigen Fall nach Auffassung des Gerichts nicht an, da diese jedenfalls durch die mehrmalige Weitergabe der IP-Adresse an Google überschritten wurde.

 

Abmahnwelle wegen angeblicher DSGVO-Verstößen

Viele Unternehmen erhalten aktuell Abmahnschreiben, die unter Berufung auf die Argumentation des Münchner Landgerichts Schadensersatzforderungen enthalten. Dabei geben die Aussteller an, die Website des Empfängers besucht zu haben, wobei ihre IP-Adresse aufgrund der Einbindung von Google Fonts an Google übermittelt worden sei.

Angesichts der derzeit dem EuGH vorliegenden Vorlagefragen in Sachen UI gegen Österreichische Post AG (Rechtssache C‑300/21) und des zugehörigen Schlussantrags des Generalanwalts, der einen Schadensersatz wegen „Unwohlseins“ ablehnt, ist es völlig unklar, ob andere Gerichte der Argumentation des Münchner Landgerichts zum Geldentschädigungsanspruch zukünftig folgen werden. Zumindest anwaltliche Abmahnschreiben sollten jedoch sicherheitshalber einer juristischen Prüfung unterzogen werden. Die Ausführungen der Schreiben sind jedoch, oft lückenhaft und nicht stichhaltig, da beispielsweise u.a. die Übermittlung der IP-Adresse nachgewiesen werden müsste. Außerdem könnte es sich gegebenenfalls um rechtsmissbräuchliche Schreiben handeln, wenn diese alleine darauf zurückzuführen sind, dass die angeblich Betroffenen(eventuell sogar automatisiert mittels Web-Crawler) die Website absichtlich und ausschließlich dazu aufgerufen haben, um anschließend etwaige Zahlungsansprüche geltend zu machen..

 

 

Fazit

Das Urteil des LG München macht deutlich, dass bei einer dynamischen Einbindung von Google Fonts das Risiko einer datenschutzrechtlichen Abmahnung besteht, die in der Regel mit einer Schadensersatzforderung einhergeht. Inzwischen sehen sich viele Webseiten-Betreiber mit Abmahnungen und Schadensersatzforderungen aufgrund dieses Urteils konfrontiert. Auch wenn die zugesprochene Summe von 100 Euro auf den ersten Blick nicht empfindlich zu sein scheint, ist zu bedenken, dass grundsätzlich jedem Webseiten-Besucher ein Schadensersatzanspruch zustehen könnte. Bei einer Vielzahl von Webseitenaufrufen dürfte regelmäßig ein hoher Betrag zusammenkommen, wenn alle Betroffenen einen Schadensersatzanspruch geltend machen würden. Darüber hinaus sollte nicht außer Acht gelassen werden, dass die vom Münchner Gericht aufgestellten Grundsätze auch auf andere Schriftartendienste übertragbar sind. Aus diesem Grund ist für Unternehmen – gleich welcher Größe – nun höchste Zeit, die Einbindung von Google Fonts sowie anderen US-Webdienste auf der eigenen Website zu überprüfen, um Abmahnungen und Entschädigungsansprüche der Webseiten-Nutzer zu vermeiden. Sofern US-Webdienste wie Google Fonts eingesetzt werden sollen, muss die statische Variante des Services, bei der die Schriftarten lokal abgespeichert werden, genutzt werden. Die Alternative der Nutzereinwilligung ist bei Schriftarten regelmäßig nicht praktizierbar. Schlussendlich sollte auf eine Abmahnung in diesem Bereich jedoch keinesfalls ohne Weiteres gezahlt werden, sondern immer zunächst anwaltlicher Rat eingeholt werden.

 

 
 
 

 

 

 

Nachdem die EU-Kommission am 13. Dezember 2022 den Grundstein für einen Angemessenheitsbeschluss gelegt hat, veröffentlichte das Europäische Zentrum für digitale Rechte „None of your business“ (kurz: Noyb) noch am selben Tag ein Statement zum Entwurf des Angemessenheitsbeschlusses. Der aktuelle Beschlussentwurf, in dem die EU-Kommission den USA ein angemessenes Datenschutzniveau bescheinigt, stellt bereits den dritten Versuch dar, den transatlantischen Datentransfer rechtssicher zu gestalten.

 

Das Wichtigste in Kürze

  • Laut Noyb würde ein Angemessenheitsbeschluss nach derzeitigen Entwurf einer Überprüfung durch den EuGH nicht standhalten, da dieser sich auf die US-Executive Order vom Oktober 2022 stütze.
  • Diese Executive Order werde den Anforderungen des EuGH nicht gerecht, da sie keine wesentlichen Änderungen zur bisherigen Rechtslage vorsehe und die Massenüberwachung durch die US-Geheimdienste nicht unterbinde.
  • Der Datenschutzaktivist und Gründer von „Noyb“ Maximilian Schrems hat eine detaillierte Prüfung des Entwurfs angekündigt. Schrems brachte durch seine Klagen bereits die beiden vorhergehenden Versuche zur Regelung des transatlantischen Datenverkehrs mit den USA vor dem EuGH zu Fall.

 

Beachtung des Verhältnismäßigkeitsgrundsatzes und Möglichkeit eines wirksamen Rechtsbehelfs

Die neue Angemessenheitsentscheidung soll den Privacy Shield ersetzen, der vor zweieinhalb Jahren vom EuGH für ungültig erklärt wurde. In seinem „Schrems II“-Urteil kritisierte der EuGH, dass die Überwachungsmaßnahmen der US-Geheimdienste entsprechend Art. 52 Charta der Grundrechte (GrCh) auf ein verhältnismäßiges Maß reduziert werden müsse und entsprechend Art. 47 GrCh ein Rechtsbehelfsmechanismus geschaffen werden müsse, bevor den USA ein angemessenes Datenschutzniveau attestiert werden könne.

 

„Noyb“ schließt „Schrems III“ nicht aus

Maximilian Schrems äußerte bereits unmittelbar nach Veröffentlichung der US-Executive Order im Oktober 2022 Bedenken im Hinblick auf eine Nachfolgelösung. Und auch unmittelbar nach Veröffentlichung des Entwurfs eines Angemessenheitsbeschlusses der EU-Kommission reagiert Schrems skeptisch. Nach Auffassung des Datenschützers sei das Ergebnis der Verhandlungen über einen multilateralen Vertrag zur Gewährleistung eines einheitlichen Datenschutzniveaus noch nicht zufriedenstellend. Schrems hat angekündigt, den Entwurf einer detaillierten Prüfung zu unterziehen, jedoch zeige bereits eine oberflächliche Betrachtung, dass ein Angemessenheitsbeschluss nach derzeitigen Entwurf einer Überprüfung des EuGH nicht standhalten werde, da dieser sich auf die bereits begutachtete Executive Order stütze. Sollte der Angemessenheitsbeschluss nach dem Entwurf entlassen werden, könnte es bereits das dritte EU-US-Abkommen sein, das vor dem EuGH scheitert.

 

Vorgesehene Maßnahmen sind nicht ausreichend

Der im Oktober veröffentlichte Präsidialerlass, der die Grundlage des aktuellen Entwurfs bildet, wird nach Auffassung des Datenschützers den Anforderungen des EuGH nicht gerecht, da er keine wesentlichen Änderungen zur bisherigen Rechtslage vorsehe und die Massenüberwachung durch die US-Geheimdienste nicht unterbinde. Kritisch sei auch, dass der Beschlussentwurf auf einer Executive Order des US-Präsidenten gründet. Dabei handele es sich zwar um eine für die Exekutive bindende Verwaltungsanordnung. Allerdings könne diese jederzeit vom US-Präsidenten geändert werden.

 

Problem der Massenüberwachung besteht weiterhin

Trotz Zusicherung seitens der US-Regierung, die Überwachungsmaßnahmen unter Beachtung des Verhältnismäßigkeitsgrundsatzes auf ein notwendiges Maß zu beschränken, so wie es den Grundprinzipien des EU-Rechts entspricht, seien kaum Anzeichen dafür vorhanden, dass die Überwachungspraxis rechtlich und faktisch eingeschränkt werde. Im Detail moniert „Noyb“, dass die US-Regierung in der Durchführungsverordnung von Oktober sogar klargestellt habe, dass Daten aus der EU, die an US-Dienstleister übermittelt werden, weiterhin durch US-Überwachungsprogramme wie PRISM oder Upstream laufen werden, obwohl das Vorgehen bereits in zwei Urteilen (Schrems I, Schrems II) für unrechtmäßig erklärt wurde. Zwar haben sich die Regierungen darauf geeinigt, dass die Überwachungspraxis in Zukunft auf ein „verhältnismäßiges“ Maß beschränkt werde. Jedoch hätten sie es versäumt, das europäische Verständnis über die rechtliche Bedeutung dieses Begriffs zugrunde zu legen. Nur dann könne man davon ausgehen, dass die USA auch tatsächlich die Massenüberwachung grundlegend einschränken würde.

 

Effektivität der Rechtsbehelfe nicht gewährleistet

Im Hinblick auf den Grundsatz des Rechtsbehelfs, der von der EU-Grundrechtecharta (GrCh) in Art. 47 gefordert wird, sei in der Executive Order zwar ein sog. US Data Protection Review Court vorgesehen. Jedoch sei laut „Noyb“ überaus fraglich, ob diese als Gericht bezeichnete Stelle den Anforderungen des Art. 47 GrCh gerecht werde. Trotz der Bezeichnung als Gericht handele es sich im rechtlichen Sinne lediglich um eine Stelle der Exekutive, womit das System mehr ein Äquivalent zur früheren Ombudsstelle darstelle als ein echtes Gericht.

 

 

Ausblick

Der Entscheidungsentwurf befindet sich nun im Annahmeverfahren. Zunächst wird der Europäische Datenschutzausschuss (EDSA) den Entwurf überprüfen und Stellung nehmen. Sollte der EDSA zu einem ähnlichen Ergebnis wie die Datenschutzorganisation kommen, ist dies jedoch unerheblich, da negative Stellungnahmen des EDSA und der EU-Mitgliedstaaten für die EU-Kommission nicht bindend sind. Obgleich es durchaus einige nachvollziehbare Kritikpunkte gibt, stellt der Entwurf angesichts der seit Jahren herrschenden Rechtsunsicherheit für eine Vielzahl von EU- und US-Unternehmen eine begrüßenswerte Entwicklung in Richtung einer verlässlichen Lösung dar. Nun bleibt zunächst abzuwarten, ob der Entwurf in den nächsten Monaten in seiner jetzigen Fassung verabschiedet wird.

 

 
 
 

 

 

 

Immer mehr Gerichte müssen sich mit DSGVO-Schadensersatzansprüchen auseinandersetzen. Vor allem solchen, die aufgrund von immateriellen Schäden geltend gemacht werden. So hatte sich auch das Landgericht Köln (Urteil vom 28.09.2022, Az. O 21/22) kürzlich mit einer Klage auf Zahlung eines Schmerzensgeldes wegen eines DSGVO-Verstoßes zu befassen. Im zu entscheidenden Fall wurden im Rahmen einer Vertragsabwicklung personenbezogene Daten des Betroffenen an dessen Arbeitgeber weitergeleitet. Das Gericht sprach dem Betroffenen eine Entschädigung von 4.000 EUR zu..

 

Das Wichtigste in Kürze

  • Die Übersendung einer E-Mail mit Vertragsdaten an den unbeteiligten Vorgesetzten des Betroffenen stellt einen gravierenden Datenschutzverstoß dar.
  • Der Schmerzensgeldanspruch folgt aus einem Verstoß gegen Art. 6 Abs. 1 DSGVO.
  • Durch die unberechtigte Weitergabe der Vertragsdaten liegt im konkreten Fall sowohl ein gravierender DSGVO-Verstoß als auch ein erheblicher und damit ersatzpflichtiger Schaden vor.
  • Das beklagte Unternehmen muss sich als Verantwortlicher den Datenschutzverstoß des handelnden Verkäufers zurechnen lassen.

 

PKW-Kauf bei einem Konkurrenten des Arbeitgebers

Der Betroffene erwarb vom beklagten Unternehmen, das u.a. im Verkauf von PKW- und Bankprodukten tätig ist, einen Pkw für den Privatgebrauch. Dabei handelte es sich um ein Konkurrenzunternehmen des Arbeitgebers des Betroffenen. Die Kommunikationsabwicklung lief auf Wunsch des Betroffenen über sein geschäftliches E-Mail-Postfach. Nachdem es Probleme mit der Finanzierung des PKW gab, weil Unterlagen zu Nebeneinkünften des Betroffenen fehlten, wurde er schriftlich zur Vervollständigung aufgefordert. Der Betroffene reagierte hierauf jedoch erst nach seiner Urlaubsrückkehr. In der Zwischenzeit kontaktierte der Verkaufsberater bereits den Vorgesetzten des Betroffenen per E-Mail, um diesen dazu zu bringen, auf die Vertragserfüllung durch seinen Arbeitnehmer einzuwirken. Dies war mit erheblichen Unannehmlichkeiten für den Kläger verbunden, insbesondere weil er das Auto bei einem Konkurrenzunternehmen seines Arbeitgebers erwarb. Der Betroffene machte daraufhin gerichtlich ein Schmerzensgeld in Höhe von mind. 100.000 EUR geltend.

 

Datenschutzverstoß durch die Weitergabe personenbezogener Daten eines Vertragspartners an dessen Vorgesetzten

Das LG Köln teilte die Ansicht des Klägers, wonach die Übersendung der E-Mail an den Vorgesetzten des Käufers einen gravierenden Datenschutzverstoß darstellt, sodass dem Betroffenen gegen die Beklagte als Verantwortliche i.S.d. DSGVO, ein Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 DSGVO zusteht. Der Schmerzensgeldanspruch folgt aus einem Verstoß des Angestellten der Verantwortlichen gegen Art. 6 Abs. 1 DSGVO. Dadurch, dass der Verkäufer die streitgegenständliche E-Mail an den Arbeitgeber des Betroffenen versendete, lag eine Verarbeitung personenbezogener Daten des Betroffenen vor.

Eine Verarbeitung im Sinne der DSGVO kann grundsätzlich durch jede Verwendung, daher auch die Offenlegung durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung vorliegen. Da es für die Offenlegung des Vertragsverhältnisses zwischen der Verantwortlichen und dem Betroffenen gegenüber dem Vorgesetzten des Betroffenen keinen Grund gab und somit keine Rechtsgrundlage i.S.d. Art. 6 Abs. 1 DSGVO, war die Datenverarbeitung unrechtmäßig.

Insbesondere war die Offenlegung nicht für die Erfüllung des Vertrages mit dem Betroffenen erforderlich (Art. 6 Abs. 1 lit. b) DSGVO). Dies hätte einen unmittelbaren Zusammenhang zwischen der Verarbeitung und dem konkreten Zweck des Vertragsverhältnisses vorausgesetzt, der in diesem Fall nicht gegeben war. Der Betroffene schloss den Vertrag zu privaten Zwecken ab, ohne jegliche Miteinbeziehung seines Vorgesetzten, der im Übrigen auch nicht für die private Lebensführung des Betroffenen verantwortlich ist. Vielmehr hätte dem Handelnden klar sein müssen, dass die Offenlegung der Geschäftsbeziehung zu einem Konkurrenzunternehmen für den Betroffenen mit Unannehmlichkeiten verbunden sein könnte, die sich auf die Vertragsdurchführung negativ auswirken dürfte. Zu erwähnen ist weiterhin, dass es sich bei den offengelegten Vertragsinformationen zwar um keine sensiblen und höchstpersönlichen Daten des Betroffenen handelte, das Gericht allerdings aufgrund der Umstände ein Geheimhaltungsinteresse des Betroffenen annahm.

 

Datenschutzverstoß stellt entschädigungspflichtigen Schaden dar

Den Anspruch begründete das Gericht zum einen bereits mit dem schwerwiegenden Datenschutzverstoß. Zum anderen mit der dadurch bedingten Persönlichkeitsrechtsverletzung des Klägers sowie dem Kontrollverlust im Hinblick auf seine Daten. Die Weitergabe seiner Daten an seinen Arbeitgeber sei für diesen peinlich gewesen und mit erheblichen Unannehmlichkeiten verbunden. Der Betroffene sah sich infolgedessen genötigt, sich bei seinem Arbeitgeber für den Autokauf beim Konkurrenten rechtfertigen zu müssen.

 

Schadensersatz in Höhe von 4.000 EUR angemessen und erforderlich

Die unberechtigte Datenweitergabe rechtfertigt nach Auffassung des Gerichts ein Schmerzensgeld in Höhe von 4.000 EUR. Das Urteil bleibt damit hinter der beantragten Summer von mindestens 100.000 EUR deutlich zurück. Der Betroffene konnte die von ihm behaupteten Folgen des Datenschutzverstoßes nicht in vollem Umfang zur vollen Überzeugung des Gerichts darlegen. Insbesondere im Hinblick auf die behauptete Zerrüttung des Arbeitsverhältnisses sowie die Behauptung einer erlittenen Depression. Bei der Bemessung der Schmerzensgeldhöhe wurden darüber hinaus folgende Punkte berücksichtigt:

  • Der Autohändler unterschrieb eine strafbewehrte Unterlassungserklärung und entschuldigte sich beim Betroffenen.
  • Das Erreichen einer abschreckenden Wirkung entsprechend dem Sinn und Zweck des Art. 82 DSGVO, der in erster Linie der Kompensation des tatsächlich entstandenen Schadens dient, und nicht der Pönalisierung.
  • Die finanzielle Situation des beklagten Unternehmens, da der Betroffene nur Ansprüche gegen das Unternehmen geltend machte und nicht gegen den Verkäufer.
  • Da keine Angaben zu der finanziellen Situation des beklagten Unternehmens gemacht wurden, konnte sich das Gericht bei der Bestimmung der Höhe nicht an einem potenziellen Bußgeld orientieren, das von der Aufsichtsbehörde noch verhängt werden könnte.

 

Haftung des Autohauses für den Datenschutzverstoß des Mitarbeiters

Das beklagte Unternehmen muss sich als Verantwortlicher den Datenschutzverstoß des handelnden Verkäufers zurechnen lassen. Eine Exkulpationsmöglichkeit nach Art. 82 Abs. 3 DSGVO war nicht ersichtlich. Auch die Tatsache, dass sich das Unternehmen darauf beruft, der Angestellte habe bei der Datenweitergabe keine Schädigungsabsicht gehabt, war in dem zu entscheidenden Fall unerheblich, da das Verschulden keine Voraussetzung des Anspruchs aus Art. 82 DSGVO ist.

 

 

Fazit

Es herrscht weiterhin Uneinigkeit darüber, ob bereits jeder DSGVO-Verstoß einen ersatzfähigen Schaden darstellt bzw. wie erheblich ein Schaden infolge eines DSGVO-Verstoßes sein muss, um einen Schmerzensgeldanspruch aus Art. 82 DSGVO begründen zu können. Daher wurde diese Frage bereits vor einiger Zeit dem EuGH zur Vorabentscheidung vorgelegt. Der zuständige EuGH-Generalanwalt hat kürzlich seine Schlussanträge in der Sache (Rs. C-300/21) vorgestellt, die für weitere Diskussionen gesorgt haben. Darin vertritt er die Auffassung, dass nicht bereits der bloße Unmut über einen DSGVO-Verstoß einen Schadensersatzanspruch nach Art. 82 DSGVO auslöse. Der EuGH muss diese Einschätzung zwar nicht teilen, allerdings folgen die Richter in über 80 Prozent der Fälle den Schlussanträgen der Generalanwälte. Daher kann eine entsprechende Entscheidung nicht ausgeschlossen werden. Doch selbst unter Berücksichtigung der in vielen Punkten konturlosen Ausführungen des Generalanwalts war im vorliegenden Fall offenkundig sowohl ein erheblicher Datenschutzverstoß als auch ein Schaden, der über bloßen Ärger hinausgeht, und damit eine Bagatellgrenze überschreitet, gegeben. Auch die zugesprochene Höhe von 4.000 EUR zeigt, welche Auswirkungen Datenschutzverletzungen haben können. Das Urteil unterstreicht die zunehmende Bedeutung von DSGVO-Schadensersatzansprüchen in der Praxis.

 

 
 
 

 

 

 

Bereits im Juni des vergangenen Jahres veröffentlichte die EU-Kommission neue Standarddatenschutzklauseln (Standard Contractual Clauses, kurz: SCC) für internationale Datentransfers, die spätestens bis zum 27. Dezember 2022 auch bei Bestandsübermittlungen übernommen werden müssen. Daraus ergeben sich einige Konsequenzen für europäische Unternehmen, vor allem diejenigen, die auf US-Dienste zugreifen. Nicht nur, dass die Altverträge unwirksam werden. Vielmehr müssen Unternehmen in naher Zukunft mit behördlichen Prüfungen der internationalen Datentransfers rechnen. In diesem Zusammenhang weisen die deutschen Datenschutzbehörden kurz vor Ablauf der Altverträge darauf hin, dass Übermittlungen personenbezogener Daten an Unternehmen in Drittstaaten oder internationale Organisationen ohne geeignete Garantien durch behördliche Anordnungen unterbunden werden können und Sanktionen nicht ausgeschlossen sind.

 

Das Wichtigste in Kürze

  • Die Übermittlung personenbezogener Daten ins EU-Ausland, wie insbesondere der USA, wird in der Praxis häufig auf Standarddatenschutzklauseln gem. Art. 46 Abs. 2 lit. c) DSGVO gestützt.
  • Die EU-Kommission hat am 04. Juni 2021 neue Standarddatenschutzklauseln verabschiedet.
  • Die Verwendung alter Standardvertragsklauseln ist seit dem 27. September 2021 unzulässig.
  • Altverträge müssen bis zum 27. Dezember 2022 angepasst bzw. erneuert werden.

 

Datentransfer in Drittländer ohne Angemessenheitsbeschluss

Da sich Unternehmen im EU-Ausland außerhalb des Geltungsbereichs der DSGVO befinden, sind sie grundsätzlich nur an ihr nationales Recht gebunden. Da dieses in den meisten Fällen das europäische Datenschutzniveau unterschreitet, können für den Datentransfer europäischer Unternehmen in Drittstaaten, für die kein Angemessenheitsbeschluss vorliegt, sogenannte Standarddatenschutzklauseln gem. Art. 46 Abs. 2 lit. c) DSGVO verwendet werden. Bei den Standarddatenschutzklauseln handelt es sich um Vertragsmuster, die von der Europäischen Kommission verabschiedet wurden. Diese ermöglichen eine vertragliche Vereinbarung über die Einhaltung des europäischen Datenschutzstandards zwischen Datenexporteuren und -importeuren. Werden SCC verwendet, so bedarf die Übermittlung personenbezogener Daten in Drittstaaten oder an internationale Organisationen keiner weiteren aufsichtsbehördlichen Genehmigung.

 

Erfordernis neuer Standarddatenschutzklauseln

In seiner bahnbrechenden Schrems II-Entscheidung hat der EuGH (Rechtssache C‑311/18) nicht nur das EU-US-Privacy Shield für ungültig erklärt. Vielmehr hat er auch im Hinblick auf die Verwendung von Standarddatenschutzklauseln die Anforderungen an den Drittlandsdatentransfer unter Berücksichtigung der Art. 44 ff. DSGVO verschärft. Die neuen SCC der EU-Kommission werden den Vorgaben des Urteils insoweit gerecht als sie einen strengeren Maßstab angemessene und geeignete Garantien sowie erforderliche Rechtsbehelfe vorsehen, um sicherzustellen, dass Datenempfänger einen ausreichenden Schutz europäischer Daten im Drittland gewährleisten.

 

Ablauf der alten Standardvertragsklauseln am 27. Dezember 2022

Mit der Verabschiedung der neuen Standarddatenschutzklauseln durch die EU-Kommission am 04. Juni 2021 wurde die alte Fassung der Standardvertragsklauseln für Verantwortliche aus dem Jahr 2001 und der Standardvertragsklauseln für Auftragsverarbeiter aus dem Jahr 2010 ersetzt. Aufgrund des hohen Organisationsaufwandes, der mit der Umstellung der alten Verträge einhergeht, sah der Durchführungsbeschluss der Kommission eine stufenweise Ablösung der alten Klauseln vor. Zunächst wurde festgelegt, dass die Verwendung alter Standardvertragsklauseln spätestens ab dem 27. September 2021 unzulässig ist. Seit diesem Zeitpunkt dürfen Verträge nur noch auf Grundlage der neuen Muster der Standardvertragsklauseln abgeschlossen werden. Für Verträge, die noch vor dem 27. September 2022 auf Grundlage der alten Muster geschlossen wurden, hat die Kommission einen angemessenen Übergangszeitraum zur Umstellung auf die neuen SCC vorgesehen. Dieser endet am 27. Dezember 2022. Bis zu diesem Zeitpunkt müssen sämtliche Altverträge umgestellt werden.

 

Modularer Aufbau der neuen SCC

Die neuen SCC sind modular aufgebaut. Verantwortliche und Auftragsverarbeiter können zusätzlich zu den allgemeinen Klauseln das für ihre Situation passende Modul auswählen. Die Module können für folgende Datentransferkonstellationen verwendet werden:

  • Modul 1: Verantwortlicher an Verantwortlicher
  • Modul 2: Verantwortlicher an Auftragsverarbeiter
  • Modul 3: Auftragsverarbeiter an (Unter-)Auftragsverarbeiter
  • Modul 4: Rückübermittlung des in der EU-ansässigen Auftragsverarbeiters an einen Verantwortlichen im Drittland

Die SCC werden grundsätzlich zwischen dem jeweiligen Datenexporteur und dem Datenimporteur abgeschlossen. Zudem besteht die Möglichkeit, den Vertrag als Mehrparteienvertrag zu gestalten. In diesem Fall ist darauf zu achten, dass sämtliche Datenflüsse zwischen den Vertragsparteien genau und transparent beschrieben sind.

Daneben enthalten die neuen SCC zusätzliche Verpflichtungen für Unternehmen im Hinblick auf den Umgang mit behördlichen Anfragen (Klausel 15 der neuen SCC), umfassende Haftungsregelungen und Dokumentationspflichten (Klauseln 14.d, 15.1.d und 15.2.b) sowie die Pflicht zur Durchführung einer Risikobewertung für den Datentransfer.

Die in den neuen SCC verankerte Prüfung der Rechtsvorschriften und -praktiken im Drittland muss beachtet werden, sodass der Datenexporteur im Vorfeld die Rechtslage und -praxis des Drittlands prüfen muss.

Gegebenenfalls ist er zur Ergreifung zusätzlicher Schutzmaßnahmen verpflichtet. Mit den Empfehlungen 01/2020 veröffentlichte der Europäische Datenschutzausschuss eine Hilfestellung mit praktischen Beispielen für zusätzliche Schutzmaßnahmen.

Im ungünstigsten Fall könnte er verpflichtet sein, von der Übermittlung ganz Abstand zu nehmen.

 

Überprüfung und Erneuerung der Verträge ist erforderlich

Auch wenn grundsätzlich die Möglichkeit der Anpassung alter Verträge besteht, ist es ratsam, neue Verträge mit den neuen Standarddatenschutzklauseln abzuschließen. Die Prüfung und Anpassung der Altverträge ist in den meisten Fällen mit größerem Aufwand verbunden und die alten und neuen Verträge unterscheiden sich auch in ihrem Aufbau.

Um bösen Überraschungen im Falle einer aufsichtsbehördlichen Kontrolle vorzubeugen, sollten spätestens jetzt einige Maßnahmen ergriffen werden:

  • Neue SCC, die bereits abgeschlossen wurden, sollten in das Verarbeitungsverzeichnis aufgenommen werden.
  • Altverträge sollten daraufhin untersucht werden, ob bzw. welche Datenübermittlungen in Drittländer ohne gültigen Angemessenheitsbeschluss stattfinden.
  • Anhand bestehender Verträge ist zu ermitteln, welche Konstellationen von Datenübermittlungen gegeben sind und welche Module der neuen Standardvertragsklauseln anzuwenden sind.
  • Ansonsten sollten Vertragspartner schnellstmöglich zwecks Abschluss neuer Verträge kontaktiert werden.
  • Schließlich muss überprüft werden, ob der Datenempfänger im Drittland durch nationales Recht gezwungen sein könnte, gegen die Standardvertragsklauseln zu verstoßen (sog. Transfer Impact Assessment, kurz: TIA).

 

Europäischen Unternehmen stehen aufsichtsbehördliche Prüfungen bevor

Es ist zu erwarten, dass die deutschen Behörden in den nächsten Monaten länderübergreifend koordinierte Prüfungen internationaler Datentransfers starten werden, wie sie es auch schon in der Vergangenheit im Nachgang der Schrems-II-Entscheidung des EuGH taten. Dabei wurden zahlreiche Unternehmen mithilfe eines Fragenkatalogs zur Auskunftserteilung aufgefordert.

In diesem Zusammenhang haben bereits einige deutsche Datenschutzbehörden angedeutet, dass die Aufsichtsbehörden die Aussetzung solcher Datentransfers anordnen werden, die eine Übermittlung personenbezogener Daten in Drittländer zum Gegenstand haben, ohne dass dafür geeignete Datenschutzgarantien vorliegen. In einem solchen Fall ist auch die Verhängung eines Bußgeldes nicht ausgeschlossen.

Darüber hinaus sind weiterhin die vom EuGH im Schrems II-Urteil entwickelten zusätzlichen Anforderungen an die Verwendung von Standardvertragsklauseln zu beachten. Insofern hat der Datenexporteur auch bei der Verwendung der neuen Klauseln die Rechtslage des Drittlands zu prüfen und zu entscheiden, ob nicht zusätzliche Maßnahmen des Datenschutzes ergriffen werden müssen oder die Übermittlung nicht sogar eingestellt werden muss.

 

 

Fazit

Die neuen SCC haben das Ziel europäischen Unternehmen eine rechtskonforme und ungehinderte Übermittlung personenbezogener Daten in Drittländer ermöglichen. Völlige Rechtssicherheit kann jedoch auch mit ihnen regelmäßig nicht erlangt werden. Mit Blick auf das bevorstehende Fristende ist Verantwortlichen und Auftragsverarbeitern, die personenbezogene Daten in das außereuropäische Ausland übermitteln, dringend zu raten, bestehende Verträge zu überprüfen, ggf. anzupassen oder durch neue zu ersetzen, soweit dies noch nicht erfolgt ist.

 

„>

 
 
 

 

 

 

Im vergangenen Jahr erhielten viele Webseitenbetreiber Abmahnschreiben aufgrund der dynamischen Einbindung von Google Fonts. Auslöser der Abmahnwelle war ein Urteil des LG München I (Urteil v. 20.01.2022, Az. 3 O 17493/20), in dem einem Webseitenbesucher ein Anspruch auf DSGVO-Schadensersatz in Höhe von 100 Euro zugesprochen wurde (Mehr dazu lesen Sie hier.). Sowohl eine Vielzahl an Privatpersonen als auch Abmahnkanzleien haben sich die Argumentation des Urteils zu eigen gemacht, um Schadensersatz einzufordern. Einer der Hauptabmahner war Medienberichten zufolge der Rechtsanwalt Kilian Lenard, der im Auftrag eines Mandanten massenhaft Abmahnungen an Webseitenbetreiber versendete und diese zur Kasse bat – und zwar mit großem Erfolg. Ein recht unscheinbares Urteil, das noch im vergangenen Jahr ergangen ist, könnte der Abmahnwelle nun ein Ende bereitet haben. Das Amtsgericht Charlottenburg hat den Schadensersatzanspruch eines betroffenen Webseiten-Besuchers wegen der Verwendung von Google Fonts auf einer von ihm besuchten Webseite verneint (Urteil v. 20.12.2022, Az. 217 C 64/22).

 

Das Wichtigste in Kürze

  • Bei der dynamischen Einbindung von Google Fonts auf einer Website erfolgt eine Übermittlung der IP-Adresse der Webseitenbesucher an Google-Server in den USA.
  • Dies verstößt regelmäßig gegen die DSGVO.
  • Betroffenen steht daher generell ein Anspruch auf Schadensersatz zu.
  • Das AG Charlottenburg hat den Schadensersatzanspruch eines Massenabmahners als unbegründet abgelehnt und damit möglicherweise das Ende einer Abmahnwelle eingeläutet.
  • Das AG hielt auch den Einwand des Rechtsmissbrauchs nicht für ausgeschlossen. Auf diesen kam es aber letztlich nicht an.

 

Hintergrund

Das Landgericht München hat im vergangenen Jahr mit Urteil die Betreiberin einer Webseite für die dynamische Einbindung von Google Fonts auf ihrer Webseite neben Unterlassung zu einem Schadensersatz in Höhe von 100 Euro verurteilt.

 

Problem der dynamischen Einbindung von Google Fonts

Bei der dynamischen Einbindung von Google Fonts erfolgt eine Übertragung der IP-Adresse des jeweiligen Webseitenbesuchers an Google-Server in den USA. Dies geschieht regelmäßig ohne das Wissen des Webseitenbesuchers. Darin liegt ein Verstoß gegen die DSGVO. Da es sich bei der IP-Adresse um ein personenbezogenes Datum im Sinne der DSGVO handelt, ist für die Rechtmäßigkeit ihrer Verarbeitung grundsätzlich eine Rechtsgrundlage erforderlich. In der Praxis liegt regelmäßig weder eine datenschutzkonforme Einwilligung des Webseitenbesuchers vor, noch kann sich der Webseitenbetreiber auf ein berechtigtes Interesse i.S.d. Art. 6 Abs. 1 S. 1 lit. f) DSGVO berufen, da es an der Erforderlichkeit der Datenverarbeitung fehlt. Denn schließlich kann die Datenverarbeitung durch eine lokale Einbindung der Schriften unterbunden werden.

 

AG Charlottenburg: Kein Anspruch auf Schadensersatz

Auch im Fall, den das Amtsgericht Charlottenburg zu entscheiden hatte, ging es um ein Abmahnschreiben des Rechtsanwalts Lenard im Auftrag von Martin Ismail. Darin wurde ein Webseitenbetreiber unter Androhung eines Gerichtsverfahrens zur Zahlung von 170,00 Euro aufgefordert. Konkret ging es um einen DSGVO-Schadensersatzanspruch wegen der vermeintlichen Verletzung des Persönlichkeitsrechts des Abmahnenden aufgrund einer fehlerhaften Einbindung von Google Fonts auf einer Webseite, die er zuvor besucht haben soll. Nachdem die Webseitenbetreiber das Forderungsschreiben der Kanzlei Lenard erhalten hatten, wollten sie gerichtlich festgestellt haben, dass der behauptete Anspruch nicht besteht. Das AG Charlottenburg bestätigte in einem recht kurzen Urteil, dass dem Abmahner kein Anspruch auf Zahlung von 170,00 Euro zusteht. Und zwar weder aus der DSGVO noch aus einer anderen Anspruchsgrundlage.

 

Betroffenen steht grundsätzlich ein Recht auf Schadensersatz zu

Da die DSGVO dem Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten dient, sind Betroffene nach Art. 82 DSGVO generell berechtigt Schadensersatzansprüche geltend zu machen, wenn es zu Datenschutzverstößen bei der Verarbeitung ihrer personenbezogenen Daten kommt. Dies gilt allerdings nicht, wenn der Zweck des Anspruchs allein darin besteht, sich eine Einnahmequelle zu verschaffen, wie es vorliegend durch den Versand unzähliger Forderungsschreiben praktiziert wurde. So schloss auch das Amtsgericht Charlottenburg im zu entscheidenden Fall ein rechtsmissbräuchliches Vorgehen der Abmahner nicht aus.

 

Anspruch wurde nicht hinreichend begründet

Vor allem die Bedürfnisse von kleinen und mittleren Unternehmen werden berücksichtigt, indem durch die Verhaltensregel Prozesse und Vertragsinhalte vorgegeben werden. Dies schafft zugleich mehr Transparenz, da für Auftraggeber bereits im Vorfeld auf einen Blick ersichtlich ist, was sie erwartet.

 

Reduzierung des Verwaltungsaufwands

Schließlich lag es auf der Hand, dass das streitgegenständliche Forderungsschreiben Teil der Google-Fonts-Abmahnwelle ist, bei der die Abmahnungen im Wesentlichen von zwei Anwaltskanzleien an eine Vielzahl von Webseitenbetreibern versandt wurden. Es drängte sich der fachkundigen Öffentlichkeit schnell auf, dass für die Akteure nicht die Kompensation für die Verletzung des Persönlichkeitsrechts, sondern vielmehr die Erzielung von Gewinnen, im Vordergrund stand. Auf den wohl rechtsmissbräuchlichen Charakter der Forderung kam es im zu entscheidenden Fall allerdings schon gar nicht an, da es nach Auffassung des Gerichts bereits an einem nachvollziehbaren Vortrag des Beklagten sowohl hinsichtlich der schädigenden Handlung als auch der Höhe des begehrten Schadensersatzes mangelte. Welche Anforderungen das Gericht an einen solchen Vortrag stellt, hat es in seinem Urteil nicht ausgeführt. Insoweit hätte der Abmahner jedenfalls näher darlegen müssen, dass er die betreffende Webseite tatsächlich selbst aufgesucht hat und konkrete Tatsachen zur Begründung der Schadensersatzhöhe vorlegen müssen. Dieser war interessanterweise höher beziffert als der vom LG München zugesprochene Schadensersatz im oben angesprochenen Verfahren.

 

Ermittlungen der Generalstaatsanwaltschaft Berlin gegen Massenabmahner

Mittlerweile hat die Berliner Generalstaatsanwaltschaft Ermittlungen gegen Rechtsanwalt Lenard und seinen Mandanten Ismail aufgenommen. Den beiden wird gewerbsmäßiger Betrug und Erpressung in über 2000 Fällen vorgeworfen. Im Zuge der Durchsuchung konnte die Staatsanwaltschaft eine Gesamtsumme von 346.000 Euro beschlagnahmen.

 

Gezielter und automatisierter Aufruf von Webseiten, die Google Fonts verwenden

Die Generalstaatsanwaltschaft sah sich zu den Ermittlungen veranlasst, weil die betreffenden Webseiten entgegen der Behauptung des Anwalts nicht von seinem Mandanten besucht worden sein sollen. Die Beschuldigten sollen mithilfe eines eigens dafür programmierten Webcrawlers zunächst Webseiten, die Google-Fonts dynamisch einbinden, identifiziert und diese anschließend automatisiert aufgerufen haben. Da es sich bei einem solchen Webcrawler um keine reale Person handelt, ist der Anwendungsbereich der DSGVO bereits nicht eröffnet. Mangels einer Verletzung des Persönlichkeitsrechts lagen daher die Voraussetzungen der geltend gemachten Schmerzensgeldforderungen nicht vor, was den Beschuldigten bewusst gewesen sein soll.

 

 

Ausblick

Auch wenn der Schadensersatzanspruch im vorliegenden Fall versagt wurde, kommt ein solcher im Falle einer dynamischen Einbindung von Google Fonts generell in Betracht. Das Risiko einer datenschutzrechtlichen Abmahnung wird durch das Urteil somit nicht beseitigt. Dennoch ist die Entscheidung des AG Charlottenburg von gewisser Praxisrelevanz, da es das Ende der Abmahnwelle einläuten könnte. Webseitenbetreiber sollten nichtsdestotrotz zur lokalen Einbindung von Google Fonts wechseln, um Datenschutzverstöße und eine r damit zusammenhängenden Inanspruchnahme zu vermeiden. Alternativ wäre die Einholung einer Einwilligung der Webseitenbesucher erforderlich. Dies ist bei der Verwendung von Schriftarten jedoch regelmäßig nicht praktizierbar. Im Falle des Erhalts einer Abmahnung kann schließlich nur dazu geraten werden, diese anwaltlich überprüfen zu lassen, um weitere Risiken vermeiden zu können.

 

„>

 
 
 

 

 

 

Allein in Deutschland kommt es täglich zu tausenden Verkehrsunfällen. In den meisten Fällen ist eine Regulierung des Schadens erforderlich. Um bei der potenziellen Geltendmachung von Schadensersatzansprüchen nicht in Beweisschwierigkeiten zu kommen, greifen mittlerweile viele Autofahrer auf sogenannte Dashcams zurück. Dabei handelt es sich um eine Videokamera, die am Fahrzeug angebracht wird, um das Verkehrsgeschehen aufzuzeichnen. Der Einsatz solcher Dashcams ist jedoch datenschutzrechtlich bedenklich, weshalb immer wieder gerichtlich darüber gestritten wird, ob die Aufzeichnung des Verkehrsgeschehens rechtlich zulässig ist und ob ggf. auch datenschutzwidrig gewonnene Aufnahmen als Beweismittel in einem Zivilprozess verwertet werden können. Erst kürzlich hat sich das Landesarbeitsgericht Düsseldorf (LAG Düsseldorf, Az. 13 Sa 624/22) im Rahmen eines Verfahrens mit diesen Fragen befasst und ein generelles Beweisverwertungsverbot im Hinblick auf anlasslos angefertigte Dashcam-Aufnahmen verneint.

 

Das Wichtigste in Kürze

  • Anlassbezogene und kurzzeitige Dashcam-Aufzeichnung sind nach Auffassung des BGH und der deutschen Datenschutzbehörden datenschutzrechtlich zulässig.
  • Das LAG Düsseldorf kam zu dem Ergebnis, dass bei anlasslos angefertigten Dashcam-Aufzeichnungen ein Datenschutzverstoß vorliegt.
  • Dieser führe bei einer gebotenen Interessenabwägung im konkreten Einzelfall allerdings nicht zwingend zu einem Verwertungsverbot der Aufnahme im Zivilprozess.
  • Dashcam-Nutzer sind gemäß § 4 Abs. 4 BDSG als Verantwortliche zur Erfüllung der Informationspflichten aus Art. 13 und Art. 14 DSGVO verpflichtet.

 

Hintergrund

Im Ausgangsfall begehrte ein städtischer Mitarbeiter von seinem Arbeitskollegen Schadensersatz in Höhe von ca. EUR 1.700 aufgrund einer mutwilligen Beschädigung seines Fahrzeugs. Der Kläger hatte sein Fahrzeug auf einem städtischen Parkplatz geparkt. Nachdem er einige Stunden später zu seinem geparkten Fahrzeug zurückgekehrt war, wies die Beifahrerseite einen langen Kratzer auf. Vor Gericht warf der Kläger dem beklagten Arbeitskollegen, der neben ihm geparkt hatte, eine mutwillige Sachbeschädigung vor. Die behauptete Sachbeschädigung stützte er auf eine Ton- und Bildaufnahme durch eine an seinem Fahrzeug installierte Dashcam. Das Kamerasystem, das sich laut dem Kläger bei Bewegungen im unmittelbaren Umfeld des Fahrzeugs einschalte, habe kurze Zeit nach dem Einparkvorgang des Beklagten ein Kratzgeräusch aufgenommen. Nach Auffassung des Klägers könne das Geräusch aufgrund von Intensität und Geräuschmuster nur von einem mutwilligen Zerkratzen seines Wagens durch den Beklagten stammen. Der Beklagte bestritt die behauptete Sachbeschädigung, die auf der Aufnahme nicht zusehen war, und widersprach der Verwertung der Bild- und Tonaufnahme. Zum einen sei die Aufnahme seiner Auffassung nach nicht geeignet, die behauptete Sachbeschädigung nachzuweisen, zum anderen stelle die anlasslose Anfertigung von Bild- und Tonaufnahmen durch die installierte Dashcam einen Datenschutzverstoß dar.

 

Vergleich vor dem LAG Düsseldorf

Nachdem das Arbeitsgericht in der Vorinstanz die Klage abwiesen hatte, weil es auch im Falle einer Verwertung der angebotenen Dashcam-Aufnahmen nicht genügend Anhaltspunkte für eine Verurteilung als gegeben ansah, landete der Fall vor dem LAG Düsseldorf. Das LAG Düsseldorf kam zwar zu dem Ergebnis, dass durch die anlasslose Aufzeichnung des Umfelds mittels Dashcam wohl ein Datenschutzverstoß vorliege. Dieser führe bei der gebotenen Interessenabwägung allerdings nicht zu einem Beweisverwertungsverbot. Die Rechte des Klägers seien durch die Aufnahme im Vergleich zu der im Raum stehenden Sachbeschädigung nur geringfügig verletzt. Die Parteien verzichteten auf eine Beweisaufnahme und einigten sich auf Vorschlag des Gerichts.

 

BGH: Kein generelles Beweisverwertungsverbot bei Datenschutzverstößen

Mit seiner Rechtsauffassung folgt das Landesarbeitsgericht der Rechtsprechung des BGH. Dieser vertritt die Auffassung, dass Datenschutzverstöße nicht automatisch eine Unverwertbarkeit der Aufnahmen vor Gericht nach sich ziehen (BGH, Urteil vom 15. Mai 2018, Az. VI ZR 233/17). Der BGH begründete seine Auffassung damit, dass eine Dashcam ohnehin nur das aufzeichne, was jeder Teilnehmer selbst im öffentlichen Straßenverkehr wahrnehmen kann. Zudem sei der Dashcam-Einsatz sinnvoll, da er zur Aufklärung von Unfällen beitragen kann. Insofern ist eine Interessenabwägung im Einzelfall entscheidend.

Der Beweisführer hat ein Interesse an der Durchsetzung seiner zivilrechtlichen Ansprüche sowie an der Wahrung seines Rechts auf rechtliches Gehör und an einer funktionierenden Zivilrechtspflege. Dem stehen als Ausprägung des allgemeinen Persönlichkeitsrechts das Recht auf informationelle Selbstbestimmung und ggf. das Recht am eigenen Bild des Aufgezeichneten entgegen. Es kommt für die zivilprozessuale Verwertbarkeit also darauf an, ob die Interessen des Beweisführers die Interessen desjenigen, der von der Aufnahme erfasst wird, im konkreten Fall überwiegen.

 

Anlassbezogene und kurzzeitige Dashcam-Aufnahmen sind datenschutzrechtlich zulässig

Nach Auffassung des BGH sowie der deutschen Datenschutzbehörden ist der Einsatz von Dashcams zulässig. Allerdings nur in engen Grenzen. So sind nur anlassbezogene und kurzzeitige Dashcam-Aufzeichnung datenschutzrechtlich zulässig. Dementsprechend sind Kamerasysteme, die technisch so ausgestaltet sind, dass die erzeugten Aufnahmen in kurzen Abständen fortlaufend überschrieben werden und eine permanente Speicherung erst dann erfolgt, wenn es zu einer Kollision oder einem starken Bremsmanöver kommt, unter Beachtung der DSGVO-Grundsätze zulässig.

 

Rechtsprechung des BGH vom 15. Mai 2018

Zwar stützt sich der BGH bei seinen Ausführungen auf die alte Fassung des Bundesdatenschutzgesetzes. Allerdings hat sich durch das Inkrafttreten der DSGVO und der Neufassung des Bundesdatenschutzgesetzes am 25. Mai 2018 an der Rechtslage im Hinblick auf den Dashcam-Einsatz nichts geändert. Das Bundesdatenschutzgesetz konkretisiert und ergänzt die DSGVO. Die Zulässigkeitstatbestände des BDSG-neu und der DSGVO unterscheiden sich nur marginal von denjenigen der alten Fassung des BDSG, sodass sich an der Rechtsauffassung aufgrund des Inkrafttretens der DSGVO nichts geändert haben dürfte.

 

Rechtsgrundlage für die Aufzeichnung des Verkehrsgeschehens

Nach der DSGVO ist eine Datenverarbeitung nur dann zulässig, wenn eine entsprechende Rechtsgrundlage vorliegt. In Betracht kommt hier Art. 6 Abs. 1 lit. f) DSGVO. Danach ist die Verarbeitung personenbezogener Daten dann zulässig, wenn sie zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist und Interessen, Grundrechte oder Grundfreiheiten des Betroffenen nicht überwiegen. Auf den konkreten Fall übertragen bedeutet dies, dass die Aufzeichnung des Verkehrsgeschehens mittels Dashcam nur dann zulässig ist, wenn die Interessen, Grundrechte oder Grundfreiheiten der anderen Verkehrsteilnehmer dem nicht überwiegend entgegenstehen.

Insoweit differenzieren die deutschen Datenschutzbehörden zwischen einer anlasslosen und einer anlassbezogenen Aufzeichnung (Vgl. Positionspapier der DSK zur Unzulässigkeit von Videoüberwachung aus Fahrzeugen). So überwiegen bei einer dauerhaften und anlasslosen Aufzeichnung stets die Interessen der überwiegend unbeteiligten Verkehrsteilnehmer. Eine solch weitgehende Aufzeichnung ist nach überwiegender Auffassung nicht erforderlich, da der Zweck der Datenverarbeitung, die präventive Sicherung von Beweisen für einen potenziellen Schadensfall, auch auf einem weniger datenintensiven Weg erreicht werden kann. Aus diesem Grund ist lediglich ein kurzzeitiger und anlassbezogener Mitschnitt des Verkehrsgeschehens rechtmäßig.

 

Erfüllung der Informationspflichten nach Art. 13 und 14 DSGVO beim Dashcam-Einsatz

Doch auch wenn eine anlassbezogene und kurzzeitige Aufzeichnung stattfindet, sind Dashcam-Nutzer gemäß § 4 Abs. 4 BDSG zur Erfüllung der Informationspflichten aus Art. 13 und Art. 14 DSGVO verpflichtet. Die DSGVO sieht vor, dass eine betroffene Person im Vorfeld einer Datenverarbeitung umfassend informiert wird. Zu den erforderlichen Informationen gehört beispielsweise der Zweck der Datenverarbeitung, die einschlägige Rechtsgrundlage und die Dauer der Speicherung der Daten. Eine DSGVO-konforme Information sämtlicher betroffener Verkehrsteilnehmer scheint für eine Privatperson im öffentlichen Straßenverkehr nur schwer möglich zu sein. Nach der Handlungsempfehlung der niedersächsischen Aufsichtsbehörde ist es jedoch ausreichend, wenn das ausgerüstete Fahrzeug mit einem sichtbaren Hinweis versehen wird, der eine Videoüberwachung deutlich macht, Informationen zum Verantwortlichen und ggf. eine Internetadresse (ein QR-Code wäre auch denkbar) enthält, unter der sämtliche Pflichtinformationen abgerufen werden können.

 

 

Fazit

Zusammenfassend lässt sich festhalten, dass Dashcam-Aufzeichnungen nicht per se unzulässig sind. Es muss im Einzelfall differenziert werden, ob eine anlasslose Aufzeichnung des Verkehrsgeschehens oder eine unfallbezogene Aufnahme einer konkreten Situation erfolgt, wobei Zweitere datenschutzrechtlich zulässig ist. Sofern eine anlasslose Erfassung personenbezogener Daten erfolgt ist, muss im Rahmen einer Interessenabwägung im konkreten Einzelfall geprüft werden, ob die Verwertung der Aufzeichnung in einem Zivilprozess als Beweismittel dennoch verhältnismäßig ist. Insoweit enthalten die Ausführung des LAG Düsseldorf keine neuen Erkenntnisse. Vielmehr bestätigt das Gericht die bisherige Rechtsprechung des BGH, wonach auch anlasslos angefertigte Dashcam-Aufzeichnungen nicht per se als Beweismittel unzulässig sind. Auch wenn es Herstellern keine großen Probleme bereiten sollte, ihre Produkte diesem Erfordernis technisch anzupassen, sollte der Einsatz einer solchen Aufnahmevorrichtung gut durchdacht sein, da die damit einhergehenden datenschutzrechtlichen Risiken nicht zu unterschätzen sind.

 

„>

 
 
 

 

 

 

Seit der Einführung des KI-Sprachmodells ChatGPT durch OpenAI, hat dieses eine massive Nutzung erfahren. Sowohl Privatpersonen als auch Unternehmen greifen vermehrt auf die KI-Software zurück, um Ihre Dienste und Produkte zu verbessern. Gleichzeitig gibt es noch viele offene Fragen im Hinblick auf die Verwendung des Chatbots (Wir berichten hier.). Daher gerät ChatGPT immer mehr ins Visier der europäischen Datenschützer. Ein wesentliches Problem bei der Verwendung des Chatbots besteht darin, dass unklar ist, in welchem Umfang, zu welchen Zwecken und insbesondere auf welcher Rechtsgrundlage die Verarbeitung der personenbezogenen Daten der Nutzer stattfindet. Die italienische c.

 

Das Wichtigste in Kürze

  • Die italienische Datenschutzbehörde hat am 30. März ein landesweites Verbot für die Dienste von ChatGPT ausgesprochen.
  • Grund dafür sind Datenschutzverstöße und mangelhafter Jugendschutz.
  • Die Betreiber des Chatbots haben nun Zeit, um Abhilfemaßnahmen zu ergreifen, dann wird eine Rückkehr ab 30. April in Aussicht gestellt.
  • Verbraucherschutzorganisationen rufen die europäischen Mitgliedstaaten und Institutionen zur näheren Untersuchung von ChatGPT auf.

 

Italienische Datenschutzbehörde verhängt landesweites ChatGPT-Verbot

In einer Pressemitteilung vom 31. März 2023 gab die italienische Datenschutzbehörde (Garante per la Protezione dei Dati Personali, „Garante“) bekannt, dass sie am 30. März einen Bescheid erlassen hat, in dem eine vorübergehende Untersagung der Verarbeitung personenbezogener Daten von Nutzern aus Italien durch OpenAI angeordnet wurde.

Grund dafür sind mehrere datenschutzrechtliche Bedenken, die sich infolge einer Datenpanne, die am 20. März gemeldet wurde, bestätigt haben. Konkret sollen von der Datenpanne Kommunikationsdaten der ChatGPT-Nutzer und Informationen über Zahlungsvorgänge der Abonnenten des Dienstes betroffen gewesen sein. OpenAI zufolge sei die Datenpanne auf einen Fehler in einer für ChatGPT verwendeten Software zurückzuführen.

 

Verstöße gegen Datenschutzrecht und unzureichender Jugendschutz

In Ihrer Anordnung beanstandet die Behörde, dass den Nutzern, deren personenbezogene Daten von Open AI verarbeitet werden, keine Informationen zur Verfügung gestellt werden, sodass weitestgehend unklar bleibt, wie mit den Daten umgegangen wird, wer diese wie lange speichert und zu welchem Zweck dies erfolgt. Besonders problematisch sei ferner die Tatsache, dass unklar bleibt, welche Inhalte ChatGPT zu Trainingszwecken verwendet und dass es an einer Rechtsgrundlage für die massenhafte Erhebung und Verarbeitung der Nutzerdaten zum Training der Algorithmen fehlt. Da die Dienste intransparent arbeiten, ist es nur schwer, die Zulässigkeit der stattfindenden Datenverarbeitungen zu beurteilen.

Die Behörde teilte darüber hinaus mit, Überprüfungen durchgeführt zu haben, die gezeigt hätten, dass die von ChatGPT bereitgestellten Informationen nicht immer richtig sind, sodass ein Verstoß gegen das Prinzip der Datenrichtigkeit vorliege.

Zudem fehle es an einem Mechanismus zur Altersprüfung der Nutzer. Der Software fehlt eine Zugangsschranke für Nutzer unter 13 Jahren. Diese ist allerdings zwingend erforderlich, um sicherzustellen, dass Kindern keine unangebrachten Informationen bei der Verwendung des Tools angezeigt werden. Noch liege es in der alleinigen Verantwortung der Eltern und Erziehungsberechtigten darauf zu achten, dass eine Verwendung des Tools ausschließlich unter Aufsicht verwendet wird und insbesondere, dass die Kinder keine persönlichen Informationen eingeben werden.

Italien ist somit das erste europäische Land, welches den Zugang zu dem Chatbot sperrt.

Dabei handelt es sich jedoch zunächst um eine vorläufige Sperrung. Die Betreiber des Chatbots hatten insgesamt 20 Tage Zeit, um geeignete Abhilfemaßnahmen zu ergreifen und der Behörde vorzustellen. OpenAI hat jedoch angekündigt, dieser Anordnung Folge zu leisten und die Aufsichtsbehörde zeigt sich bereit, ChatGPT zum 30. April wieder zu erlauben.

 

BEUC fordert EU-Staaten und Institutionen zur Untersuchung von ChatGPT auf

Auch der Europäische Verbraucherverband BEUC hat Bedenken im Hinblick auf die KI-Software und hat daher am 30. März 2023 eine Pressemitteilung veröffentlicht, in der er die europäischen Datenschutzbehörden auffordert, eine Untersuchung von ChatGPT-4 und ähnlichen KI-Systemen einzuleiten.

Obwohl die EU derzeit an einem KI-Gesetz arbeitet, ist der Verbraucherverband besorgt, dass bis zum endgültigen Inkrafttreten und der Umsetzung Jahre vergehen könnten, sodass die Verbraucher dem Risiko ausgesetzt wären, durch eine Technologie geschädigt zu werden, die in dieser Übergangszeit nicht ausreichend reguliert ist und auf die Verbraucher nicht vorbereitet sind. Konkret befürchten die Verbraucherschützer, dass Nutzer falsche oder manipulierte Informationen, die von der KI-Software bereitgestellt, nicht erkennen könnten.

Da OpenAI keinen Hauptsitz innerhalb der Europäischen Union hat, steht es den Datenschutzbehörden eines jeden Mitgliedstaats frei, Untersuchungsmaßnahmen einzuleiten und Verbote durchzusetzen.

Nachdem mehrere europäische Datenschutzbehörden um eine Koordinierung von Untersuchungsmaßnahmen im Hinblick auf den KI-Chatbot gebeten haben, hat nun der Europäische Datenschutzausschuss reagiert und eine ChatGPT Task Force eingerichtet.

 

Vorerst kein ChatGPT-Verbot in Deutschland

Nachdem der Zugang zu ChatGPT in Italien landesweit blockiert und Untersuchungen gegen den Betreiber der Software eingeleitet wurden, stellt sich die Frage, ob solche Maßnahmen auch in Deutschland denkbar sind.

Eine Sprecherin des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) teilte in einem Interview mit, dass ein solches Verbot generell auch in Deutschland denkbar wäre, weist allerdings gleichzeitig darauf hin, dass die Zuständigkeit für etwaige Untersuchungen von privatwirtschaftlichen Unternehmen, wie OpenAI bei den Landesdatenschutzbehörden liege.

Nach Angaben der Pressesprecherin des BfDI sollen zunächst die Ergebnisse der Untersuchung durch die italienische Datenschutzbehörde abgewartet werden. Stellt diese gravierende Verstöße gegen die Datenschutzgrundverordnung der EU fest, werden auch die deutschen Behörden entsprechende Untersuchungen einleiten.

Das Bundesministerium für Digitales und Verkehr spricht sich bisher gegen ein Verbot von KI-Software aus und betont, dass es stattdessen andere Wege geben muss, Werte wie Demokratie und Transparenz zu gewährleisten.

Auch der ehemalige baden-württembergische Landesdatenschutzbeauftragte Stefan Brink sieht keinen ausreichenden Grund zur Sperrung des Chatbots. Nach Auffassung des Datenschützers greife die KI zu Trainingszwecken zwar regelmäßig auch auf personenbezogene Daten zurück, soweit diese aber aus dem Internet bezogen werden, überwiegen regelmäßig die berechtigten Interessen der Entwickler, sofern die Entwicklung zu Forschungszwecke erfolgt. Im Hinblick auf die Frage des Kinder- und Jugendschutzes sei zu beachten, dass dieser grundsätzlich immer eingehalten werden muss, es sich dabei jedoch um keine KI-spezifische Problematik handle.

 

 

Ausblick

Es bleibt abzuwarten, ob OpenAI wie angekündigt die geforderten Abhilfemaßnahmen ergreift und Transparenz schafft. Fest steht, dass wir uns aktuell in einer kritischen Phase der Entwicklung von KI-Produkte befinden, in der neben vielen Chancen auch ernsthafte Risiken sowohl für Verbraucher als auch Unternehmen bestehen, sodass es bestimmter Sicherheitsvorkehrungen bedarf. Bis die von der EU geplante KI-Verordnung in Kraft tritt und offene Fragen im Hinblick auf den Datenschutz noch nicht geklärt sind, liegt es allein in der Verantwortung der jeweiligen Nutzer, ob und wie sie KI-Tools wie ChatGPT verwenden und welche Daten sie preisgeben. Insofern kann nur geraten werden, bei der Verwendung von ChatGPT und vergleichbarer Software Vorsicht walten zu lassen. Dies gilt insbesondere bei der Eingabe persönlicher Daten, da unklar ist, ob diese zu Trainingszwecken verarbeitet werden.

 

„>

 
 
 

 

 

 

Kurz nachdem die EU-Kommission im Dezember 2022 ihren Entwurf eines Angemessenheitsbeschlusses für den Drittlanddatentransfer in die USA veröffentlicht hat, haben sich viele Datenschützer kritisch geäußert. Dennoch besteht auf beiden Seiten des Atlantiks weiterhin die Hoffnung, dass im Hinblick auf den EU-US-Datentransfer endlich Rechtssicherheit geschaffen wird. Nun fordert der Ausschuss des EU-Parlaments für bürgerliche Freiheiten, Justiz und Inneres (engl. Committee on Civil Liberties, Justice and Home Affairs, kurz: LIBE) die Kommission in einer aktuellen Stellungnahme nachdrücklich dazu auf, den Entwurf des EU-US Data Privacy Frameworks nicht anzunehmen.

 

Das Wichtigste in Kürze

  • Die EU-Kommission hat im Dezember 2022 den Entwurf eines neuen Angemessenheitsbeschlusses für die Übermittlung personenbezogener Daten in die USA veröffentlicht.
  • Der Ausschuss des Europäischen Parlaments wird die Europäische Kommission in einer Stellungnahme dazu auffordern, den möglichen Angemessenheitsbeschluss auf der Grundlage des vorgeschlagenen EU-US-Datenschutzrahmens nicht anzunehmen.
  • Auch der Europäische Datenschutzausschuss identifiziert verbesserungswürdige Punkte, spricht sich allerdings nicht gegen die Annahme des Entwurfs aus.
  • Die Stellungnahmen des EU-Parlaments und des Europäischen Datenschutzausschusses sind für die EU-Kommission nicht bindend.

 

Betrieb von Facebook Fanpages nicht datenschutzkonform

Unternehmen, öffentliche Stellen oder Personen des öffentlichen Lebens verwenden Facebook Fanpages für die eigene Präsentation auf der Social Media Plattform „Facebook“. Davon abzugrenzen sind die persönlichen Facebook Profile der registrierten Nutzerinnen und Nutzer, die Privatpersonen zugeordnet sind.

Der Betrieb von Facebook Fanpages ist aus datenschutzrechtlicher Sicht problematisch, da Meta als Betreiber des Dienstes „Facebook“ die Daten der Nutzerinnen und Nutzer nicht ausschließlich zum Zweck der Bereitstellung eines sozialen interaktiven Netzwerks verarbeitet, sondern auch zu Werbezwecken. Insoweit fehlt es an einer geeigneten Rechtsgrundlage für die DSGVO-konforme Datenverarbeitung. Die Nutzerdaten dienen dazu, „passgenaue“ Werbung im Auftrag von Unternehmen, Verbänden oder öffentlichen Stellen schalten zu können. Für die Betreiber einer Fanpage besteht ein Interesse an der Verarbeitung personenbezogener Daten der Besucher ihrer Seite, da sie durch dieses Geschäftsmodell den Dienst von Facebook kostenlos nutzen und durch die gezielte Ansprache eines selektiven Nutzerkreises auf ihre Seite aufmerksam machen können. Die Möglichkeit der gezielten Ansprache von Nutzern stellt einen großen Mehrwert dar, den die Betreiber über ihre eigene Internetpräsenz nicht auf diese Weise erreichen können.

 

Hintergrund

Etwa zweieinhalb Jahre nachdem das Privacy Shield durch den EuGH (Urteil vom 16.07.2020, Rs. C 311/18) für ungültig erklärt wurde, hat die EU-Kommission den Entwurf eines neuen Angemessenheitsbeschlusses veröffentlicht, in dem sie gem. Art. 45 DSGVO feststellt, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten bietet. Das Trans-Atlantic Data Privacy Framework soll den sicheren Datenverkehr zwischen der EU und den USA fördern und die datenschutzrechtlichen Bedenken ausräumen, die seit dem Schrems II-Urteil des EuGH bestehen. In diesem Urteil stellte der EuGH fest, dass die Zugriffsbefugnisse der US-Geheimdienste zu umfassend sind und entsprechend Art. 52 Charta der Grundrechte (GrCh) auf ein verhältnismäßiges Maß reduziert werden müssen. Zudem haben die Richter festgestellt, dass ein Rechtsbehelfsmechanismus geschaffen werden muss, bevor den USA ein angemessenes Datenschutzniveau attestiert werden kann (mehr dazu lesen Sie hier und hier.).

 

Parlamentarischer Ausschuss spricht sich gegen Annahme des Beschlussentwurfs aus

Der für die Überprüfung des Abkommens zuständige Ausschuss des Europäischen Parlaments kommt zu dem Schluss, dass der aktuelle Entwurf des Datenschutzrahmens im Vergleich zum Vorgängerabkommen (Privacy Shield) zwar Fortschritte erkennen lässt, diese allerdings nicht ausreichend sind, um ein angemessenes Datenschutzniveau zu bejahen. Aus diesem Grund fordert das Gremium die Europäische Kommission in einem Entschließungsentwurf dazu auf, erst dann einen Beschluss zu fassen, wenn die USA geeignete Maßnahmen zum angemessenen Datenschutz ergriffen hat.

In seiner Stellungnahme hebt das Gremium hervor, dass die USA im Gegensatz zu allen anderen Drittländern, für die ein Angemessenheitsbeschluss im Sinne des Art. 45 DSGVO angenommen wurde, noch immer kein einheitliches Datenschutzgesetz vorweisen könne, das bundesweit Anwendung findet. Bei der Executive Order, auf die sich der Angemessenheitsbeschluss der EU-Kommission stützt, handelt es sich um kein Parlamentsgesetz, sondern lediglich um einen Akt der Exekutive, der nach US-Recht vom US-Präsidenten jederzeit geändert oder zurückgenommen werden kann. Daher stellt sich nach Auffassung des Ausschusses bereits die Frage, inwieweit sie tatsächlich ein wirksames Instrument zur Umsetzung der europäischen Datenschutzanforderungen sein kann.

In inhaltlicher Hinsicht stellt der Ausschuss des Europäischen Parlaments – wie zuvor auch andere Kritiker – fest, dass die Executive Order den datenschutzrechtlichen Grundsätzen der Erforderlichkeit und Verhältnismäßigkeit nicht dasselbe Verständnis zugrunde legt wie die DSGVO. In diesem Zusammenhang sei besonders problematisch, dass die Massenerfassung von Daten durch US-Nachrichtendienste auf Grundlage der Executive Order weiterhin möglich bleibt, da sie nicht für Daten gilt, auf die öffentliche Behörden im Rahmen des U.S. Cloud Acts oder des U.S. Patriot Acts zugreifen können. Auch sei das vorgesehene Datenschutz-Überprüfungsgericht weder transparent noch unabhängig und unparteiisch, sodass für EU-Bürger kein effektiver Rechtsschutz gewährleistet sei.

Aus den genannten Gründen kommt das Gremium in seinem Entschließungsentwurf zu dem Ergebnis, dass der EU-US-Datenschutzrahmen nach aktuellem Entwurf kein angemessenes Schutzniveau schafft, und fordert die Kommission auf, den Angemessenheitsbeschluss nicht anzunehmen.

 

EDSA sieht Klärungsbedarf

Auch der Europäische Datenschutzausschuss (kurz: EDSA) hat in seiner ausführlichen Stellungnahme vom 28.02.2023 zum Entwurf des EU-US-Data Privacy Framework Bedenken geäußert (die Stellungnahme finden Sie hier). Darin erkennt das Gremium ebenfalls wesentliche Fortschritte im Hinblick auf den Datenschutz an, weist aber auch darauf hin, dass eine Reihe von Punkten geklärt, weiterentwickelt oder präzisiert werden müssten.

Insbesondere im Hinblick auf die massenhafte Erhebung von Daten (sog. „Bulk Collection“), für die weder eine unabhängige Vorabkontrolle noch eine nachträgliche Überprüfung durch ein Gericht oder eine andere unabhängige Stelle vorgesehen sei, äußert das Gremium Bedenken. Zudem kritisiert der EDSA – wie auch der parlamentarische Ausschuss – den Mangel an Transparenz in dem durch die Executive Order vorgesehene Rechtsschutzverfahren.

Auch wenn das Gremium in Übereinstimmung mit dem LIBE-Ausschuss zahlreiche verbesserungswürdige Punkte nennt, spricht es sich dennoch nicht gegen eine Annahme des Beschlusses durch die EU-Kommission aus. Vielmehr fordert der Ausschuss die Kommission lediglich zu Nachbesserungen auf.

 

Die nächsten Schritte

Der parlamentarische Ausschuss verlangt nun entsprechend Art. 132 Abs. 2 seiner Geschäftsordnung die Annahme seiner Entschließung, die sich gegen den Angemessenheitsbeschluss wendet, durch das Parlament.

Das Europäische Parlament hat jedoch lediglich ein Kontrollrecht im Hinblick auf die Wahrnehmung der Durchführungsbefugnisse der Kommission. Dieses räumt den Mitgliedern des EU-Parlaments die Möglichkeit ein, die Kommission in Form einer Entschließung darauf hinzuweisen, dass der Entwurf des Angemessenheitsbeschlusses ihrer Einschätzung nach die im Basisrechtsakt (hier Art. 45 Abs. 3 DSGVO) vorgesehenen Durchführungsbefugnisse überschreite. In der Folge wäre die Kommission dazu angehalten, ihren Entwurf unter Berücksichtigung der vorgetragenen Kritikpunkte rechtlich neu zu bewerten. Anschließend hätte die Kommission das EU-Parlament darüber zu informieren, ob sie beabsichtigt, den Entwurf beizubehalten, abzuändern oder zurückzuziehen (vgl. Art. 11 VO (EU) 182/2011). Daraus folgt, dass die Kommission den Angemessenheitsbeschluss letztlich unabhängig von der ablehnenden Stellungnahme des EU-Parlaments auf den Weg bringen kann.

Nachdem sich auch der EDSA geäußert hat, muss die EU-Kommission nun im letzten Schritt die Zustimmung eines Ausschusses einholen, der aus Vertretern der Mitgliedstaaten besteht.

Die Stellungnahme des EDSA ist zwar nicht bindend, dürfte aber sowohl die Vertreter der Mitgliedstaaten als auch das Europäische Parlament bei ihren jeweiligen Stellungnahmen beeinflussen.

Für den Fall, dass der Ausschuss der Vertreter der Mitgliedstaaten mehrheitlich eine befürwortende Stellungnahme abgibt, erlässt die Kommission den Angemessenheitsbeschluss. Sofern der Ausschuss eine ablehnende Stellungnahme erteilt, bleibt der Erlass dennoch möglich.

 

 

Fazit

Bisher war die EU-Kommission recht optimistisch und kündigte die Annahme des Beschlusses zum Ablauf der ersten Jahreshälfte 2023 an. Ob es bei diesem Zeitplan bleibt, ist im Hinblick auf die vorliegenden Stellungnahmen des parlamentarischen Ausschusses sowie des EDSA, der einige Punkte geklärt haben möchte, unklar, aber nicht ausgeschlossen. Auch der baden-württembergische Landesbeauftragte für Datenschutz und Informationsfreiheit hat sich in seinem aktuellen Tätigkeitsbericht im Hinblick auf die Grundlage des Angemessenheitsbeschlusses äußerst kritisch geäußert. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Professor Ulrich Kelber, begrüßt demgegenüber die vorgebrachten Kritikpunkte des EDSA und ist der Auffassung, dass mit dem erwarteten EU-US Datenschutzrahmen trotz der geäußerten Bedenken ein wichtiger Beitrag für eine sichere und vertrauenswürdige Drittlanddatenübermittlungen geschaffen wird. Angesichts der Tatsache, dass bereits vor Erlass des Angemessenheitsbeschlusses viel Kritik geäußert wurde, ist damit zu rechnen, dass auch der neue Angemessenheitsbeschluss früher oder später dem EuGH zur Entscheidung vorgelegt wird. Datentransfers in die USA müssen jedenfalls bis zur finalen Verabschiedung des Angemessenheitsbeschlusses durch Abschluss der neuen Standardvertragsklauseln der EU-Kommission abgesichert werden (mehr dazu erfahren Sie hier.). In diesem Zusammenhang müssen – insbesondere aufgrund der datenschutzrechtlichen Rechenschaftspflicht – weiterhin die Risiken internationaler Datentransfers im Unternehmen insgesamt überprüft und gegebenenfalls Abhilfemaßnahmen ergriffen werden.

 

„>

 
 
 

 

 

 

Die Suche im Internet ist heutzutage ein beliebter Weg zur zielgerichteten Personalbeschaffung, insbesonder wenn es darum geht Personal mit bestimmten Qualifikationen zu finden und zu akquirieren. Wie jeder andere Prozess, bei dem personenbezogene Daten verarbeitet werden, erfordert auch dieser die Einhaltung der datenschutzrechtlichen Grundsätze. Unter Umständen könnte es datenschutzrechtlich unzulässig sein, bestimmte Bewerber-Informationen, etwa aus Google-Suchergebnissen, zu verarbeiten. In seinem aktuellen Tätigkeitsbericht für das Jahr 2022 hat der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) im Zusammenhang mit einer Beschwerde zu den datenschutzrechtlichen Anforderungen an die moderne Art der Personalsuche Stellung genommen.

 

Das Wichtigste in Kürze

  • Die Verarbeitung bestimmter Informationen über potenzielle Arbeitnehmer in einer Datenbank stellt eine Datenverarbeitung im Sinne der DSGVO dar.
  • Die vom Betroffenen veröffentlichten Daten dürfen nur dann verarbeitet werden, wenn keine schützenswerten Interessen des Betroffen entgegenstehen.
  • Die Verarbeitung der Informationen zum Zwecke der Personalgewinnung ist generell dann zulässig, wenn der Betroffene seine Daten im beruflichen Kontext allgemein öffentlich zugänglich macht.
  • Verantwortliche sind allerdings verpflichtet, den Betroffenen über die Erhebung und Verarbeitung seiner Daten zu informieren.

 

Active Sourcing als modernes Recruiting-Instrument

Ob Social Media wie Facebook, Instagram, LinkedIn oder XING – heutzutage können Unternehmen auf eine Vielfalt von Online-Quellen zurückgreifen, um gezielt geeignete Kandidaten ausfindig zu machen und diese gegebenenfalls in einem nächsten Schritt persönlich zu kontaktieren. Dieses Vorgehen der Personalabteilungen oder Headhunter bezeichnet man als Active Sourcing. Unternehmen setzen immer häufiger auf die Recherche im Internet, wobei sie gezielt mittels bestimmter Kriterien nach Bewerbern suchen und entsprechende Datenbanken mit Daten potenzieller Kandidaten anlegen. Auch wenn diese Art des Recruiting besonders bequem ist, ist aus datenschutzrechtlicher Sicht Vorsicht geboten, denn auch hierbei erfolgt eine datenschutzrechtlich relevante Verarbeitung personenbezogener Daten. So dürfen die vom potenziellen Bewerber veröffentlichten Daten nur dann gespeichert und weitergegeben werden, wenn dem kein schützenswerte Interesses des Bewerbers entgegenstehen.

 

Datenschutzbeschwerde beim HBDI

In seinem Tätigkeitsbericht für das Jahr 2022 berichtete der Hessische Beauftragte für Datenschutz und Informationsfreiheit von einer Datenschutzbeschwerde einer Betroffenen des Active Sourcing, deren personenbezogene Daten von einem Personaldienstleister mittels einer Google-Suche gesammelt und anschließend in einer Datenbank angelegt wurden. Nachdem die Betroffene per E-Mail über die Speicherung ihrer Daten in einer Datenbank eines Personaldienstleisters informiert wurde, wandte sie sich an die Behörde mit der Bitte um datenschutzrechtliche Prüfung und Bewertung. In diesem Zusammenhang äußerte sich der HBDI zur datenschutzrechtlichen Zulässigkeit der Gewinnung von Bewerberdaten aus dem Internet sowie der Speicherung der Daten in einer Datenbank. Nach Auffassung des HBDI ist Active Sourcing nicht per se datenschutzrechtlich unzulässig. Für die Zulässigkeit sei entscheidend, ob die Datenverarbeitung durch den Personaldienstleister zum Zwecke der Weitergabe an Unternehmen oder der Speicherung in einer Bewerberdatenbank den Grundsätzen für die Verarbeitung personenbezogener Daten i. S. d. Art. 5 DSGVO entspricht.

 

Einhaltung der Grundsätze der Datenverarbeitung nach Art. 5 DSGVO

Gemäß Art. 5 DSGVO mu¨ssen personenbezogene Daten auf rechtma¨ßige Weise, nach Treu und Glauben und in einer fu¨r den Betroffenen nachvollziehbaren Weise verarbeitet werden. Demgemäß hat die Behörde geprüft, ob die Datenverarbeitung durch den Personalvermittler von einer Rechtsgrundlage gedeckt ist und ob die in Art. 14 DSGVO vorgeschriebenen Informationspflichten erfüllt wurden, sodass die Vorgehensweise des Personaldienstleister hinreichend transparent war.

 

Berechtigtes Interesse des Personaldienstleisters

Da der Datenverarbeitung kein Bewerbungsverfahren vorausging und die Betroffene damit nicht als Bewerberin anzusehen war, lehnte der HBDI § 26 Abs. 1 S. 1 BDSG (Bundesdatenschutzgesetz) als rechtliche Grundlage ab. Gem. § 26 Abs. 1 S. 1 BDSG dürfen personenbezogene Daten in der Bewerbungsphase verarbeitet werden, sofern dies fu¨r die Entscheidung u¨ber die Begru¨ndung eines Bescha¨ftigungsverha¨ltnisses erforderlich ist. Beim Active Sourcing handelt es sich demgegenüber um ein Verfahren, das dem Bewerbungsverfahren vorgelagert ist und bei dem die kontaktierten Personen nicht als Bewerber anzusehen sind, sodass der § 26 Abs. 1 S. 1 BDSG weder in sachlicher noch in persönlicher Hinsicht anwendbar einschlägig ist.

Allerdings kommt nach Auffassung der Behörde als Rechtsgrundlage das berechtigte Interesse des Verantwortlichen an der Erbringung seiner Personalvermittlungsdienste in Betracht. Nach Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO dürfen personenbezogene Daten zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten verarbeitet werden, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten des Betroffenen überwiegen.

Im Hinblick auf die beschwerdegegenständliche Datenverarbeitung stellte die Behörde im Rahmen der durchzuführenden Interessenabwägung fest, dass ein wirtschaftliches Interesse ebenfalls ein berechtigtes Interesse darstelle (vgl. Erwägungsgrund 47 DS-GVO). Dabei seien jedoch auch die vernu¨nftigen Erwartungen der betroffenen Person zu beru¨cksichtigen. Insoweit sei zu pru¨fen, ob eine betroffene Person zum Zeitpunkt der Erhebung ihrer Daten und angesichts der Umsta¨nde, unter denen sie erfolgt, vernu¨nftigerweise erwarten kann, dass mo¨glicherweise eine Verarbeitung fu¨r diesen Zweck stattfinden wird.

Im zugrundeliegenden Fall hat die Betroffene ihre personenbezogenen Daten auf der von ihr betriebenen, beruflich orientierten Internetseite allgemein zugänglich veröffentlicht. Sie musst daher damit rechnen, dass ihre Daten auch von potenziell interessierten Arbeitgebern oder Personaldienstleistern für mögliche Stellenbesetzungen genutzt werden.

 

Erfüllung der Informationspflichten gem. Art. 14 DS-GVO

In einem weiteren Schritt untersuchte die Behörde die Einhaltung der Informationspflichten.

Werden die personenbezogenen Daten nicht bei der betroffenen Person selbst erhoben, so ist der Verantwortliche dennoch gem. Art. 14 DS-GVO verpflichtet, der betroffenen Person Informationen über die Datenverarbeitung mitzuteilen. Dies ist beim Active Sourcing regelmäßig der Fall, da die Erhebung der Informationen stets aus anderen Quellen erfolgt und nicht unmittelbar beim Betroffenen erfolgt. Zu den Pflichtinformationen gehören im Wesentlichen Informationen über die verarbeiteten personenbezogenen Daten, die Rechtsgrundlage der Verarbeitung, die Kontaktdaten des Datenschutzbeauftragten, die Zwecke der Datenverarbeitung, die Speicherdauer, die bestehenden Betroffenenrechte, sowie die Herkunft der Daten.

Einen erheblichen Verstoß konnte der HBDI im zu beurteilenden Fall nicht feststellen. Es fehlte lediglich eine Information im Hinblick auf die genauen Herkunft der Daten, die auf Nachfrage des HBDI erteilt wurde.

 

 

Fazit

Der Fall macht deutlich, dass Active Sourcing bei Beachtung der datenschutzrechtlichen Bestimmungen zulässig ist. Wichtig ist dabei, dass die betroffene Person ihre personenbezogenen Daten in einem beruflichen Kontext für die Allgemeinheit zugänglich veröffentlicht und der potenziell interessierte Arbeitgeber oder Personaldienstleister seinen Informationspflichten aus Art. 14 DSGVO nachkommt. Ist nicht ganz klar, ob der Bewerber seine Daten freiwillig aus beruflichen Gründen öffentlich zugänglich gemacht hat, so ist ggf. eine Einwilligung einzuholen, bevor eine Weitergabe der gesammelten Daten an die interne Personalabteilung und/oder eine Aufnahme in eine Bewerberdatenbank erfolgen darf. Insbesondere bei Portalen wie XING oder LinkedIn, die beruflich orientiert sind, kann man heutzutage davon ausgehen, dass der Bewerber damit rechnet oder es sogar wünscht, dass er wahrgenommen wird und die Aufmerksamkeit potenzieller Arbeitgeber oder Personalvermittlern weckt und ggf. kontaktiert wird.

 

„>

 
 
 

 

 

 

Übermittelt ein Unternehmen personenbezogene Daten von in der EU ansässigen Nutzern in Drittländer, muss sichergestellt sein, dass dort ein mit der Europäischen Union vergleichbares Schutzniveau für personenbezogene Daten besteht. Dies kann durch den Erlass eines sogenannten Angemessenheitsbeschlusses der EU-Kommission für Drittländer gewährleistet werden.

Im Datenverkehr zwischen der EU und den USA gab es in den letzten Jahren jedoch Bedenken hinsichtlich des von der US-Regierung und den umfassenden Zugriffsrechten der Geheimdienste gebotenen Datenschutzniveaus. Aus diesem Grund erklärte der Europäische Gerichtshof 2015 und 2020 die bestehenden Angemessenheitsbeschlüsse für ungültig. Er entschied, dass die Daten von EU-Bürgern nicht angemessen vor Überwachungsmaßnahmen der USA geschützt seien.

Am 10. Juli 2023 wurde auf Grundlage des neuen EU-US-Datenschutzrahmens (EU-US Data Privacy Framework, DPF) ein Angemessenheitsbeschluss veröffentlicht, der nunmehr als Grundlage für die Übermittlung personenbezogener Daten in die USA dienen kann. Die US-Unternehmen, die die Datenschutzvorgaben einhalten, haben die Möglichkeit sich zertifizieren zu lassen. Damit europäische Unternehmen schnell einen Überblick darüber erhalten können, wer die Standards einhält und wer nicht, betreibt das US-Handelsministerium eine Webseite, über die schnell und einfach eine Liste der zertifizierten Unternehmen einsehbar ist.

 

Das Wichtigste in Kürze

  • Damit ein US-Unternehmen als sicherer Datenempfänger gilt und das Data Privacy Framework einhält, muss es erfolgreich ein Selbstzertifizierungsverfahren durchlaufen.
  • Die Zertifizierung ist freiwillig und erfolgt über eine neu erstellte Website.
  • Europäische Datenexporteure können vor der Übermittlung prüfen, ob der US-Datenempfänger zertifiziert ist.
  • Bei Datenübermittlungen auf Basis des Angemessenheitsbeschlusses müssen die Datenschutzinformationen entsprechend angepasst werden.

 

Datentransfer mit zertifizierten US-Unternehmen jetzt möglich

Die International Trade Administration (ITA), eine Abteilung des US-amerikanischen Handelsministeriums, hat eine wegweisende Entwicklung bekanntgegeben, die den Datentransfer zwischen der Europäischen Union und den USA deutlich vereinfacht. Berechtigte Organisationen mit Sitz in den USA haben nun die Möglichkeit, ihre Konformität mit dem EU-US Data Privacy Framework (DPF) zu zertifizieren.

Die Zertifizierung erfolgt über die Website des Handelsministeriums, auf welcher alle notwendigen Informationen und Anleitungen für den Prozess bereitgestellt werden.

Sobald ein Unternehmen die freiwillige Zertifizierung durchführt, verpflichtet es sich, die Grundsätze des EU-US Data Privacy Frameworks einzuhalten. Dies umfasst den Schutz personenbezogener Daten, die Transparenz im Umgang mit Daten und die Einhaltung der Datenschutzstandards, die von der Europäischen Union festgelegt wurden.

Eine wichtige Neuerung ist, dass die Selbstzertifizierung nach US-Recht rechtlich bindend ist. Das bedeutet, dass Unternehmen, die sich öffentlich zur Einhaltung der DPF-Grundsätze verpflichten, dafür im Zweifelsfall auch gerichtlich in Anspruch genommen werden können. Dies stärkt die Durchsetzbarkeit und Glaubwürdigkeit des Datenschutzrahmens.

Für Unternehmen, die derzeit noch eine aktive Privacy Shield-Zertifizierung besitzen, besteht die Möglichkeit, ihre Zertifizierung an die neuen Anforderungen des DPF anzupassen, um weiterhin zertifiziert zu bleiben. Hierfür wurde eine Übergangsfrist von drei Monaten eingeräumt, um die notwendigen Anpassungen vorzunehmen und einen nahtlosen Übergang zu gewährleisten.

 

Vorgehen für Unternehmen und Websitebetreiber in der EU

Für Unternehmen und Websitebetreiber in der Europäischen Union, die personenbezogene Daten im Rahmen des Angemessenheitsbeschlusses in die USA übermitteln möchten, ist ein bestimmtes Vorgehen erforderlich, um die Datenschutzstandards zu gewährleisten und die rechtmäßige Datenübermittlung zu ermöglichen.

Zunächst müssen Europäische Datenexporteure vor der Übermittlung auf der Website der Datenschutzbehörde prüfen, ob der US-Datenempfänger zertifiziert ist. Es ist wichtig, dass die Datenübermittlung nur an zertifizierte US-Unternehmen erfolgt, um ein angemessenes Schutzniveau gewährleisten zu können.

Darüber hinaus ist es von Bedeutung zu prüfen, ob die geplante Datenübermittlung von der Zertifizierung des Datenempfängers abgedeckt ist. Nicht alle Arten von Datenübermittlungen sind automatisch durch die Zertifizierung abgesichert, daher ist eine genaue Prüfung erforderlich.

Wenn eine Datenübermittlung auf den neuen Angemessenheitsbeschluss gestützt werden soll, müssen die Datenschutzinformationen entsprechend angepasst werden. Die Datenschutzhinweise müssen klar verständlich und transparent sein, um die Nutzer über die Datenübermittlung zu informieren.

Für Unternehmen, die zuvor bereits Standardvertragsklauseln (SCC) als Instrument der rechtssicheren Datenübermittlung mit dem US-Dienstleister vereinbart haben, können und sollten diese Klauseln weiterhin einbezogen werden. Die SCCs bieten zusätzliche Sicherheit und gewährleisten eine rechtskonforme Datenübermittlung. Außerdem kann so ein mögliches erneutes Kippen des Angemessenheitsbeschluss bereits abgesichert werden.

 

Standardvertragsklauseln und Transfer Impact Assessment (TIA)

In der Vergangenheit war es für Unternehmen, die Verträge mit Dienstleistern in den USA abschließen wollten, unerlässlich, die von der Europäischen Union bereitgestellten Standardvertragsklauseln (SCC) zu verwenden und ein Transfer Impact Assessment (TIA) durchzuführen. Diese Maßnahmen waren notwendig, um eine eigene Bewertung des Schutzniveaus für die Datenübermittlung vorzunehmen und sicherzustellen, dass angemessene technische und organisatorische Maßnahmen ergriffen wurden, um den Schutz der personenbezogenen Daten der Endbenutzer zu gewährleisten. Die Kombination aus Standardvertragsklauseln und TIA bildete somit die Grundlage für die meisten Datentransfers in die USA.

An sich hat sich diese Situation mit der Einführung des EU-US Data Privacy Frameworks geändert. Es ist nun möglich den Datentransfer in die USA auf eine einfachere und rechtsverbindlichere Weise zu gestalten. Unternehmen müssen nicht mehr zwangsläufig auf die Standardvertragsklauseln und das Transfer Impact Assessment zurückgreifen, solange der Datenempfänger in den USA ansässig ist und sich einer Zertifizierung nach dem DPF unterzogen hat.

Durch die Zertifizierung des US-Datenempfängers wird formal sichergestellt, dass er die Datenschutzgrundsätze des DPF einhält und somit ein angemessenes Schutzniveau für die übermittelten personenbezogenen Daten gewährleistet ist. Unternehmen können sich somit auf die Zertifizierung verlassen, um einen rechtssicheren Datentransfer zu ermöglichen, ohne die zusätzlichen Schritte der Standardvertragsklauseln und des Transfer Impact Assessments durchführen zu müssen.

Es ist jedoch wichtig zu betonen, dass wenn sich der US-Datenempfänger der Zertifizierung nach dem DPF nicht unterzieht, weiterhin die bisherigen Regelungen gelten. In diesem Fall sind die Verwendung von Standardvertragsklauseln und die Durchführung eines Transfer Impact Assessments nach wie vor erforderlich, um die Datenschutzstandards zu gewährleisten. Außerdem sollte soweit möglich auch trotz Angemessenheitsbeschlusses auf Standardvertragsklauseln nicht verzichtet werden, um langfristig datenschutzkonform aufgestellt zu sein.

 

 

Ausblick

Insgesamt erleichtert das EU-US Data Privacy Framework (DPF) den Datentransfer zwischen der EU und den USA erheblich, indem es eine klare und verlässliche Grundlage für die Übermittlung personenbezogener Daten schafft. Auch wenn die lang ersehnte Regelung zur Datenübermittlung in die USA jetzt da ist, bleibt abzuwarten, ob der Angemessenheitsbeschluss auch langfristig Rechtssicherheit bringen wird. Insbesondere der Datenschutzaktivist Max Schrems, der für die beiden Entscheidungen des EuGH, die zur Verwerfung der Angemessenheitsbeschlüsse geführt haben, verantwortlich ist, hat angekündigt, erneut vor dem EuGH zu klagen. Bis zu einer Entscheidung des EuGH bleiben daher gewisse Vorbehalte und Unsicherheiten im Hinblick auf den Angemessenheitsbeschluss bestehen.

 

„>

 

 
 
 

 

 

 

Beim betrieblichen Eingliederungsmanagement, auch bekannt als BEM, handelt es sich um eine Maßnahme des Arbeitgebers, die einem Arbeitnehmer, der krankheitsbedingt innerhalb eines Jahres länger als sechs Wochen ununterbrochen oder wiederholt arbeitsunfähig war, den Wiedereinstieg in den Arbeitsalltag erleichtern soll. Ziel ist es, den Arbeitsplatz sowie das Arbeitsumfeld an krankheitsbedingte Bedürfnisse des Arbeitnehmers anzupassen und so das Arbeitsverhältnis dauerhaft zu sichern. Dass beim betrieblichen Eingliederungsmanagement auch der Datenschutz eine wichtige Rolle spielt – insbesondere weil dabei oftmals sensible personenbezogene Daten der Beschäftigten verarbeitet werden – scheinen noch nicht alle Arbeitgeber wahrgenommen zu haben. So hat sich beispielsweise das Arbeitsgericht Köln bereits vor zwei Jahren im Rahmen einer Kündigungsschutzklage gegen eine krankheitsbedingte Kündigung mit den datenschutzrechtlichen Anforderungen an eine ordnungsgemäße Durchführung des BEM-Verfahrens auseinandersetzen müssen, ArbG Köln, Urteil vom 24.06.2021, Az. 10 Ca 7069/20.

 

Das Wichtigste in Kürze

  • Da beim BEM eine Verarbeitung personenbezogener Daten der Beschäftigten stattfindet, sind auch datenschutzrechtliche Anforderungen zwingend zu beachten.
  • Betroffene Arbeitnehmer, deren personenbezogene Daten zum Zwecke der Durchführung eines BEMs verarbeitet werden, müssen über die stattfindende Verarbeitung umfassend informiert werden.
  • Die ordnungsgemäße Durchführung eines BEMs kann bereits bei der Einleitung des Verfahrens scheitern, wenn erforderliche Datenschutzhinweise fehlen oder unvollständig sind.

 

Ausgangsfall

Im Ausgangsfall wehrte sich eine Arbeitnehmerin gegen eine krankheitsbedingte Kündigung. Die Kündigung erfolgte aufgrund zahlreicher Fehlzeiten infolge von Kurzzeiterkrankungen der Arbeitnehmerin zwischen 2014 und 2020. Im Anschluss an die letzte Kurzzeiterkrankung und noch vor Ausspruch der streitgegenständlichen Kündigung wurde ihr im Rahmen einer ärztlichen Untersuchung uneingeschränkte Einsatzfähigkeit attestiert. In der Folgezeit wurde die Arbeitnehmerin zu einem BEM-Gespräch geladen, wobei die Einladung folgenden Hinweis enthielt:

Wir weisen Sie darauf hin, dass personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes erhoben und gespeichert werden. Das betrifft insbesondere die uns bislang bekannten Daten zu ihrem Krankheitsverlauf und deren Ursachen. Es wird gegebenenfalls erforderlich werden, in Abstimmung mit Ihnen noch weitere Daten zu erheben, zu verwenden und zu übermitteln. Dabei wird unter Umständen auch auf vorhandene oder noch einzuholende Arztberichte, medizinische Einschätzungen und Atteste zurückzugreifen sein.

Im Rahmen des Gesprächs teilte die Arbeitnehmerin mit, sie könne ihrer Arbeit weiterhin uneingeschränkt nachgehen, da den Erkrankungen keine arbeitsplatzbezogenen Ursachen zugrunde lagen. Dem Gespräch folgte eine Anhörung des Betriebsrats, der einer ordentlichen krankheitsbedingten Kündigung der Arbeitnehmerin widersprach, da es an einer negativen Gesundheitsprognose mangelte. Trotz des Widerspruchs kündigte der Arbeitgeber das Arbeitsverhältnis. Die Arbeitnehmerin konnte sich mit einer Kündigungsschutzklage erfolgreich zur Wehr setzen.

 

Durchführung eines betrieblichen Eingliederungsmanagements

Zwar ist die Durchführung eines BEM keine formelle Voraussetzung für die Wirksamkeit einer Kündigung. Allerdings ist ein solches zwingend vor einer krankheitsbedingten Kündigung durchzuführen. Die Durchführung eines BEM konkretisiert insoweit den Verhältnismäßigkeitsgrundsatz, als dass eine krankheitsbedingte Kündigung nur wirksam ist, wenn der Arbeitgeber alle ihm zumutbaren Bemühungen unternommen hat, um dem Arbeitnehmer die Wiederaufnahme seiner Tätigkeit und den Erhalt des Arbeitsplatzes in seinem Betrieb zu ermöglichen. Dabei soll konkret geprüft werden, ob dem Arbeitgeber nicht mildere Mittel im Verhältnis zur Beendigung des Beschäftigungsverhältnisses zur Verfügung stehen.

 

ArbG Köln: Keine Kündigung ohne ordnungsgemäße Durchführung eines BEMs

Das Arbeitsgericht gab der Klage statt. In seinem Urteil kam das Gericht zu dem Ergebnis, dass die Kündigung mangels einer negativen Gesundheitsprognose sozial ungerechtfertigt ist. Ferner stellte die Kündigung im Streitfall nicht das mildeste Mittel dar. Insoweit wäre der Arbeitgeber verpflichtet gewesen, vor Ausspruch der krankheitsbedingten Kündigung ein BEM-Gespräch zu führen. Ein solches fand zwar statt, allerdings sei dieses nicht ordnungsgemäß durchgeführt worden, da die Arbeitnehmerin im Einladungsschreiben nur unzureichend über die Verarbeitung ihrer personenbezogenen Daten belehrt wurde.

 

Verarbeitung besonders sensibler Daten im Rahmen des BEM

Auch beim BEM findet eine Verarbeitung personenbezogener Daten der Beschäftigten statt. Bei den verarbeiteten Daten handelt es sich in der Regel um Gesundheitsdaten, die gem. Art. 9 Abs. 1 DSGVO als besonders sensible personenbezogene Daten anzusehen sind. Vor allem aufgrund des besonderen Schutzbedarfs müssen auch bei der Durchführung des BEM zwingend datenschutzrechtliche Anforderungen beachtet werden.

 

Rechtsgrundlage beim BEM

Um die schützenswerten Interessen des Arbeitnehmers zu wahren, muss gem. § 167 Abs. 2 S. 1 SGB IX die Zustimmung des Arbeitnehmers zur Teilnahme am BEM-Verfahren eingeholt werden.

Sowohl die überwiegende Auffassung in der Literatur als auch die Datenschutzbehörden verstehen die gesetzlich geforderte Zustimmung der betroffenen Person auch als Einwilligung im datenschutzrechtlichen Sinne gem. Art. 7 DSGVO i.V.m. § 26 Abs. 2 DSGVO.

Im Rahmen des BEM-Prozesses muss der Arbeitgeber in der Regel auf besonders sensible Daten wie Diagnosen zugreifen. Dazu ist er allerdings nur dann befugt, wenn der Betroffene eine ausdrückliche schriftliche Einwilligung erteilt hat. Die Erteilung der Einwilligung muss dabei freiwillig und informiert erfolgen.

Einige verstehen die Verarbeitung der personenbezogenen Daten im Rahmen des BEM dagegen als die Erfüllung einer gesetzlichen Pflicht des Arbeitgebers. Dieser ist unter den Voraussetzungen des § 162 Abs. 1 SGB IX zur Durchführung eines BEM-Verfahrens verpflichtet. Die Vertreter dieser Auffassung ziehen als Rechtsgrundlage für die Durchführung eines BEM-Verfahrens ausschließlich Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 167 Abs. 2 S. 1 SGB IX heran.

 

Notwendigkeit von Datenschutzhinweisen beim BEM

Unabhängig davon welche Rechtsgrundlage herangezogen wird, muss der betroffene Arbeitnehmer, dessen personenbezogene Daten im Rahmen eines BEM-Verfahrens verarbeitet werden, ausführlich über die stattfindende Verarbeitung informiert werden. In § 167 Abs. 2 SGB IX ist gesetzlich ausdrücklich vorgesehen, dass die betroffene Person zuvor auf die Ziele des betrieblichen Eingliederungsmanagements sowie auf Art und Umfang der hierfür erhobenen und verwendeten Daten hingewiesen werden muss. Die DSGVO konkretisiert in Art. 13 und Art. 14 den Inhalt und die Ausgestaltung der Datenschutzhinweise, die unter Einhaltung der Datenschutzgrundsätze, insbesondere auch des Transparenzgrundsatzes, zu erteilen sind.

Das Bundesarbeitsgericht hat in der Vergangenheit klargestellt, dass ein wesentliches Ziel der Durchführung eines BEM darin besteht Klarheit darüber zu schaffen wie die Arbeitsunfähigkeit des Arbeitnehmers möglichst überwunden werden kann, wie erneuter Arbeitsunfähigkeit vorgebeugt und das Arbeitsverhältnis erhalten werden kann (vgl. BAG, Urteil vom 7. Februar 2012, Az. 1 ABR 46/10).

Demnach ist der Arbeitnehmer darüber aufzuklären, dass es im Rahmen der Durchführung eines ergebnisoffenen BEM-Verfahrens um die Grundlage seiner Weiterbeschäftigung geht. Daneben sind auch entsprechende Hinweise zur Datenerhebung und -verwendung zu erteilen. Außerdem ist klarzustellen, dass nur solche Daten des Arbeitnehmers erhoben und verarbeitet werden, die zur Durchführung eines zielführenden BEMs erforderlich sind. In diesem Zusammenhang muss dem Arbeitnehmer mitgeteilt werden, welche Daten über seinen Gesundheitszustand erhoben und gespeichert werden und in welchem Umfang und zu welchen Zwecken der Arbeitgeber auf diese zugreifen kann.

 

BEM kann an unzureichenden Datenschutzhinweisen scheitern

Vor diesem Hintergrund entschied das Arbeitsgericht Köln im Streitfall, dass die Einladung des beklagten Arbeitgebers zum BEM-Gespräch den genannten Anforderungen nicht genügt hatte. Die Arbeitnehmerin sei nicht darauf hingewiesen worden, dass nur solche Daten von ihr erhoben werden, deren Kenntnis tatsächlich erforderlich ist, um ein zielführendes BEM-Verfahren durchführen zu können. Vom Versuch einer ordnungsgemäßen Durchführung eines BEM kann allerdings nur dann die Rede sein, wenn zuvor eine entsprechende Unterrichtung über den erforderlichen Umfang der Datenverarbeitung des Arbeitnehmers erfolgt ist.

 

 

Fazit

In seinem Urteil beruft sich das Kölner Arbeitsgericht auf die Rechtsprechung des BAG, in der die Richter bereits 2014 festgestellt haben, dass eine ordnungsgemäße Durchführung eines BEMs nur dann angenommen werden kann, wenn dem Arbeitnehmer die erforderlichen Datenschutzhinweise vollumfänglich erteilt wurden (BAG, Urteil vom 22.11.2014). So sollte man meinen, dass die hier zitierte Entscheidung keine neuen Erkenntnisse mit sich bringt. Jedoch ist auch weiterhin in der Praxis zu beobachten, dass viele Arbeitgeber weiterhin verkennen wie wichtig es ist, den Datenschutz bei sämtlichen Prozessen im Beschäftigungskontext – darunter vor allem auch beim BEM – zu berücksichtigen. Neben der vollständigen und korrekten Erteilung der erforderlichen Datenschutzhinweise ist zu berücksichtigen, dass die Durchführung des BEM-Verfahrens je nach Unternehmen variieren kann, bspw. im Hinblick auf die am Verfahren beteiligten Personen. Aus diesem Grund ist zwingend darauf zu achten, dass die Datenschutzhinweise den individuellen Fall erfassen. In diesem Zusammenhang ist auch zu beachten, dass die Einholung einer Einwilligung in eine breit angelegte Datenverarbeitung unter Umständen unzulässig ist. Dies gilt insbesondere dann, wenn sie Datenverarbeitungen betrifft, die für die Durchführung des BEM nicht erforderlich sind.

 

„>

 
 
 

 

 

 

Nach fast drei Jahren können Unternehmen, die auf den transatlantischen Datentransfer angewiesen sind, nun wieder aufatmen. Am 10. Juli 2023 hat die EU-Kommission bekannt gegeben, dass sie den Angemessenheitsbeschluss für das „EU-U.S. Data Privacy Framework“ (DPF) abgesegnet hat. Damit wurde mehrjährige Rechtsunsicherheit im Hinblick auf den Datentransfer in die USA beseitigt.

Der neue Datenschutzrahmen soll einen sicheren Datenverkehr zwischen der EU und den USA fördern und die datenschutzrechtlichen Bedenken ausräumen, die seit dem Schrems II-Urteil des Europäischen Gerichtshofs (EuGH, Urteil vom 16. Juli 2020, Az. C-311/18) bestehen. Als Nachfolger des Privacy Shields dient der Beschluss nun als Grundlage für Datenübermittlungen in die USA. Dies gilt allerdings nur, soweit die Stellen, an die personenbezogene Daten übermittelt werden, eine Zertifizierung nach dem neuen Abkommen haben.

 

Das Wichtigste in Kürze

  • Mit dem DPF werden neue verbindliche Garantien eingeführt, die den Anforderungen der Schrems II-Entscheidung des EuGH entsprechen sollen.
  • Durch eine Zertifizierung nach dem DPF verpflichten sich die US-Unternehmen zur Einhaltung bestimmter datenschutzrechtlicher Pflichten, die sich an den Pflichten aus der europäischen DSGVO orientieren.
  • Unternehmen, die zukünftig Daten auf Grundlage des DPF in die USA übermitteln wollen, müssen demgemäß vorab prüfen, ob eine entsprechende Zertifizierung vorliegt.
  • Liegt eine Zertifizierung nach dem neuen EU-US-Datenschutzabkommen vor, sind grundsätzlich keine weiteren Garantien erforderlich.

 

Was bisher geschah

Nachdem der EuGH im Jahr 2015 das „Safe Harbor“ Abkommen, das bis zu diesem Zeitpunkt als Rechtsgrundlage für den Datentransfer in die USA diente, für ungültig erklärt hat (Urteil vom 6. Oktober 2015, Az. C-362/14), kassierte der EuGH bereits 5 Jahre später in einer aufsehenerregenden Entscheidung auch das Nachfolgeabkommen „Privacy Shield“. Daraufhin folgten beinahe zweijährige Verhandlungen zwischen der EU und der US-Regierung. Im Frühjahr 2022 konnte schließlich eine grundsätzliche Einigung über einen neuen transatlantischen Datenschutzrahmen erzielt werden, der die vom EuGH geäußerten datenschutzrechtlichen Bedenken ausräumen sollte. Im Oktober 2022 erließ US-Präsident Joe Biden die Durchführungsverordnung „Enhancing Safeguards for United States Signals Intelligence Activities“, die dazu dienen sollte, die eingegangenen Verpflichtungen gegenüber der EU in US-amerikanisches Recht umzusetzen (Mehr dazu lesen Sie hier.). Auf Grundlage des Dekrets erstellte die EU-Kommission den Entwurf eines Angemessenheitsbeschlusses für den EU-US-Datenschutzrahmen, den sie am 13. Dezember 2022 veröffentlichte (Mehr dazu lesen Sie hier.). Nach langen Verhandlungen innerhalb des EU-Parlaments sowie der Überarbeitung des Entwurfs wurde nun endlich die endgültige Fassung angenommen.

 

Einführung neuer verbindlicher Garantien

Mit dem neuen EU-US-Datenschutzrahmen hat die EU-Kommission neue verbindliche Garantien festgelegt, um die vom EuGH geäußerten Bedenken auszuräumen. Nachdem der EuGH die umfassenden Überwachungsbefugnisse der US-Nachrichtendienste kritisiert hat, ist im Datenschutzrahmen vorgesehene, dass der Zugang zu personenbezogenen Daten von EU-Bürgern auf ein notwendiges und verhältnismäßiges Maß reduziert wird.

Ferner sieht der Rahmen neue Rechtsbehelfsmechanismen für EU-Bürger vor. Konkret sollen Einzelpersonen aus der EU die Möglichkeit haben, Beschwerden bei ihrer nationalen Datenschutzbehörde einzureichen. Dabei müssen sie nicht nachweisen, dass tatsächlich ein Zugriff auf ihre Daten seitens der US-Nachrichtendienste erfolgt ist. Die Beschwerde wird im Anschluss vom Europäischen Datenschutzausschuss an die USA weitergeleitet, wo sie von einem Bürgerrechtsbeauftragten der US-Nachrichtendienste (Civil Liberties Promotion Officer) geprüft wird. Der Bürgerrechtsbeauftragte ist für die Einhaltung der Privatsphäre und der Grundrechte durch die US-Nachrichtendienste verantwortlich. Im Anschluss an die Überprüfung haben die Betroffenen die Möglichkeit, die Entscheidung des Bürgerrechtsbeauftragten von einem Datenschutzgericht überprüfen zu lassen. Dieses unabhängige Gericht soll Beschwerden untersuchen und gegebenenfalls durch die Anordnung von bestimmten Maßnahmen Abhilfe schaffen. Sofern das Gericht im Rahmen einer Prüfung feststellt, dass eine Datenerhebung oder -verarbeitung gegen die Garantien des Datenschutzrahmens verstößt, kann es Maßnahmen, wie bspw. die Löschung der betreffenden Daten, anordnen.

 

Voraussetzungen für einen datenschutzkonformen Datentransfer in die USA

Im neuen Angemessenheitsbeschluss stellt die EU-Kommission fest, dass für personenbezogene Daten, die an Unternehmen in den USA übermittelt werden, ein angemessenes Datenschutzniveau vorliegt, sofern das empfangende US-Unternehmen erfolgreich an einem Zertifizierungsverfahren gemäß dem neuen Datenschutzrahmen teilgenommen hat.

Durch eine Zertifizierung nach dem DPF verpflichten sich die Unternehmen zur Einhaltung bestimmter datenschutzrechtlicher Pflichten, die sich an den Pflichten aus der europäischen DSGVO orientieren. Darunter fallen beispielsweise die Pflicht zur Einhaltung der Grundsätze der Datensparsamkeit und -minimierung, der Zweckbindung und der Speicherbegrenzung sowie Verpflichtungen im Hinblick auf Datensicherheit und die Gewährleistung des Datenschutzes im Falle der Weitergabe der personenbezogenen Daten an Dritte.

Unternehmen, die zukünftig Daten aus der EU an US-Unternehmen übertragen wollen, müssen daher vorab prüfen, ob eine entsprechende Zertifizierung vorliegt. Hierfür gibt es eine vom US-Handelsministerium bereitgestellte Online-Datenbank mit entsprechender Liste. Liegt eine Zertifizierung nach dem neuen EU-US-Datenschutzabkommen vor, müssen grundsätzlich keine zusätzlichen Datenschutzvorkehrungen getroffen werden. Insbesondere ist der Abschluss von Standardvertragsklauseln nicht mehr zwingend notwendig.

 

Datentransfer an nicht zertifizierte Unternehmen

Sofern ein Datenaustausch mit einem US-Unternehmen stattfindet, das nicht am Zertifizierungsverfahren teilnimmt, bleibt weiterhin der Abschluss von Standardvertragsklauseln und damit auch die Durchführung eines Transfer Impact Assessments erforderlich. Es ist jedoch davon auszugehen, dass die Risikobewertung erleichtert wird, da der Angemessenheitsbeschluss zu einem positiven Ergebnis beiträgt.

Unabhängig davon haben bereits abgeschlossene Standardvertragsklauseln trotz des Angemessenheitsbeschlusses weiterhin bestand.

 

Regelmäßige Überprüfung der Einhaltung des Datenschutzrahmens

Im Angemessenheitsbeschluss ist ferner vorgesehenen, dass die EU-Kommission in Zusammenarbeit mit den Vertretern der europäischen Datenschutzbehörden sowie dem US-Handelsministerium die Einhaltung des Datenschutzrahmens überwachen. Hierzu sollen in regelmäßigen Abständen Überprüfungen stattfinden, wobei die erste innerhalb eines Jahres nach dem Inkrafttreten des Beschlusses erfolgen soll.

 

Kritik

Bereits kurze Zeit nach der Veröffentlichung des Angemessenheitsbeschlusses meldeten sich die ersten Kritiker zu Wort. Max Schrems, der bereits gegen das letzte Datenschutzabkommen erfolgreich vorging, veröffentlichte eine kritische Stellungnahme, in der er ankündigte, den Angemessenheitsbeschluss einer eingehenden Prüfung unterziehen zu wollen. Seiner vorläufigen Auffassung nach handle es sich bei dem neuen Abkommen weitgehend um eine Kopie des gescheiterten Vorgängerabkommens „Privacy Shield“, weshalb auch das „EU-US-Data Privacy Framework“ vor dem EuGH scheitern würde. Vor diesem Hintergrund ist es nicht unwahrscheinlich, dass auch das neue Abkommen dem EuGH zur Prüfung vorgelegt werden wird. Dort müsste dann geprüft werden, ob das neue Abkommen die erforderlichen Änderungen im Vergleich zu den Vorgängerabkommen enthält und ein angemessenes Datenschutzniveau gewährleisten kann.

 

 

Ausblick

Auch wenn es kurze Zeit nach Veröffentlichung viel Kritik gab und der Beschluss sich wahrscheinlich wieder vor dem EuGH wird behaupten müssen, schafft er vorerst Rechtssicherheit. Sofern Unternehmen Daten an US-Unternehmen übertragen wollen, müssen sie nun prüfen, ob eine entsprechende Zertifizierung vorliegt und welche Kategorien von personenbezogenen Daten diese erfasst. Sofern keine Zertifizierung vorliegt oder die relevante Datenart nicht erfasst wird, ist wie bisher der Abschluss der Standardvertragsklauseln erforderlich. Ferner besteht Handlungsbedarf im Hinblick auf die Datenschutzerklärung sowie andere Datenschutzinformationen. Sofern eine Übermittlung personenbezogener Daten auf Grundlage des EU-US- Datenschutzrahmens erfolgt, sind Betroffene davon zu informieren. Eine entsprechende Dokumentation der neuen Rechtsgrundlage sollte auch in das Verzeichnis über die Verarbeitungstätigkeiten aufgenommen werden. Es bleibt abzuwarten, ob das neue Abkommen einer Überprüfung durch den EuGH standhalten wird. Bis auf Weiteres können Unternehmen, zumindest kurz- und mittelfristig, jedoch unter den Voraussetzungen des DPF wieder rechtssicherer personenbezogene Daten an US-Unternehmen übertragen.

 

„>

 
 
 

 

 

 

Eine der wichtigsten Neuerungen in der Datenschutz – Grundverordnung (DSGVO), die seit dem 25.05.2018 in der gesamten Europäischen Union gilt, sind die Möglichkeiten der Aufsichtsbehörden, empfindliche Bußgelder gegen Unternehmen zu verhängen, die gegen die DSGVO verstoßen. Dies gilt insbesondere für Unternehmen, die über umfangreiche Datenbestände verfügen. Allein im Jahr 2023 wurden bislang Geldbußen von rund 1,6 Milliarden Euro verhängt.

Am 22. Juni 2023 gab auch die französische Datenschutzbehörde „Commission Nationale de l’Informatique et des Libertés“ (CNIL) bekannt, dass sie ein Bußgeld in Höhe von 40 Millionen Euro gegen das Unternehmen Criteo verhängt hat, welches auf Online-Werbung und Tracking spezialisiert ist. Grund für die Beschwerden gegen das französische Unternehmen waren datenschutzrechtliche Verstöße gegen die Rechte von Betroffenen, deren Einwilligung in die Verarbeitung ihrer personenbezogenen Daten nicht nachgewiesen werden konnte.

 

Das Wichtigste in Kürze

  • Criteo sammelte große Mengen an Daten über die Konsumgewohnheiten von Internetnutzern und ermöglichte somit das Schalten von personalisierten Werbeanzeigen.
  • Das Unternehmen hat nicht überprüft, ob Personen, deren personenbezogene Daten verarbeitet wurden, auch eine Einwilligung erteilt haben.
  • Anlass für die Untersuchungen der Behörde bei Criteo waren Beschwerden der Organisationen Privacy International und „None of your business“ (NOYB).

 

Hintergrund

Criteo hat sich auf den verhaltensorientierten Ansatz des Retargetings spezialisiert, bei dem die Online-Aktivitäten der Nutzer verfolgt werden, um personalisierte Werbung zu präsentieren. Mithilfe ihres Tracking-Tools, dem Criteo-Tracker (Cookie), welches auf Webseiten von Partnern des Unternehmens eingesetzt wird, sammelt das Unternehmen Browsing-Daten und analysiert die Gewohnheiten der Nutzer, um die relevantesten Anzeigen für jeden einzelnen Nutzer zu ermitteln. Die gesammelten Daten konnten dann genutzt werden, um personalisierte Werbung zu schalten. Insbesondere konnte dem Nutzer Werbung für Produkte angezeigt werden, die ihn interessieren könnten oder die sich der Nutzer zuvor bereits angesehen hatte.

 

Sanktionen der französischen Datenschutzbehörde

Nachdem die Organisationen Privacy International und None of your Business (NOYB) Beschwerden eingereicht hatten, führte die französische Datenschutzbehörde umfangreiche Untersuchungen bei Criteo durch. Im Zuge dieser Untersuchungen stellte das für Sanktionen zuständige Gremium mehrere Verstöße gegen die Bestimmungen der DSGVO fest und verhängte eine Geldstrafe in Höhe von 40 Millionen Euro gegen das Unternehmen.

Die Höhe der Strafe wurde damit begründet, dass die fragliche Verarbeitung Daten von rund 370 Millionen Identifikationen aus der gesamten Europäischen Union betraf. Obwohl Criteo nicht über die Namen der Benutzer verfügte, war die CNIL der Ansicht, dass die Daten in einigen Fällen ausreichend genau waren, um Personen zu identifizieren.

Das Gremium berücksichtigte auch das Geschäftsmodell von Criteo, das darauf basiert, den Internetnutzern die relevantesten Anzeigen zur Bewerbung der Produkte ihrer Werbekunden zu präsentieren. Dies erfordert die Fähigkeit des Unternehmens, große Mengen an Daten zu sammeln und zu verarbeiten.

Schließlich gelangte die CNIL zu dem Schluss, dass die Verarbeitung personenbezogener Daten ohne nachweislich gültige Einwilligung es Criteo ermöglichte, die Anzahl der betroffenen Personen und somit auch seine finanziellen Einnahmen als Werbevermittler übermäßig zu steigern.

Im Folgenden werden einige der Verstöße genauer dargestellt.

 

Kein Nachweis über die Zustimmung betroffener Personen

Die französische Datenschutzbehörde kam zunächst zu dem Ergebnis, dass eine Einwilligung der betroffenen Personen für die Verwendung von Cookies zu Werbezwecken erforderlich ist. Gemäß Artikel 7 Absatz 1 der Datenschutzgrundverordnung (DSGVO) darf der Tracker-Cookie von Criteo, der für das Ausrichten von Werbung verwendet wird, nicht ohne die Einwilligung des Benutzers auf seinem Endgerät platziert werden.

Die Verantwortung für die Einholung dieser Einwilligung liegt bei den Vertragspartnern des Unternehmens, die direkt mit den Internetnutzern in Kontakt stehen. Allerdings entbindet dies Criteo nicht von seiner Verpflichtung, zu überprüfen und nachweisen zu können, dass die Internetnutzer in die Datenverarbeitung eingewilligt haben, indem sie in die Speicherung des Cookies eingewilligt haben.

Der CNIL-Ausschuss stellte zudem fest, dass Criteo zum Zeitpunkt der Untersuchungen keine Maßnahmen ergriffen hatte, um sicherzustellen, dass seine Vertragspartner die Einwilligung der Internetnutzer, deren Daten dann verarbeitet wurden, rechtmäßig eingeholt haben.

 

Nichteinhaltung der Informationspflicht und Transparenz

Die Untersuchungen der französischen Datenschutzbehörde ergaben weiterhin, dass die Datenschutzrichtlinie von Criteo unvollständig war, da sie im Sinne der Artikel 12 und 13 der DSGVO nicht alle beabsichtigten Verarbeitungszwecke enthielt. Dies führte dazu, dass den Benutzern nicht klar war, welche ihrer personenbezogenen Daten zu welchen Zwecken verarbeitet wurden.

Die mangelnde Transparenz in Bezug auf die Verarbeitungszwecke erschwerte es den Benutzern genau zu verstehen, wofür ihre personenbezogenen Daten genutzt wurden. Dies steht im Widerspruch zum Transparenzgebot in der DSGVO, das darauf abzielt, den Benutzern Kontrolle und Klarheit über die Verarbeitung ihrer Daten zu geben.

 

Nichteinhaltung des Rechts auf Widerruf der Einwilligung und Löschung von Daten

Des Weiteren wurde festgestellt, dass betroffene Personen nicht von ihrem Recht auf Widerruf der Einwilligung und Löschung personenbezogener Daten gemäß Artikel 7 Absatz 3 und Artikel 17 Absatz 1 DSGVO Gebrauch machen konnten. Obwohl den betroffenen Personen keine Werbeanzeigen mehr angezeigt wurden, behielt das Unternehmen weiterhin Identifikationsdaten der Nutzer.

Diese Praxis stellt eine eindeutige Verletzung der Rechte der betroffenen Personen dar. Gemäß der DSGVO haben Nutzer das Recht, ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten jederzeit zu widerrufen. Ihre Daten dürfen ab dem Zeitpunkt des Widerrufs nicht mehr aufgrund der Einwilligung verarbeitet werden. Darüber hinaus haben sie das Recht, die Löschung ihrer Daten zu verlangen, wenn keine rechtliche Grundlage oder berechtigte Interessen mehr für deren Verarbeitung bestehen.

 

 

Fazit

Die Durchsetzungsmaßnahmen der CNIL gegen Criteo zeigen, wie wichtig es ist, die Bestimmungen der Datenschutz-Grundverordnung einzuhalten. Insbesondere die Vorgaben der DSGVO zur Einwilligung, zur Transparenz und den Rechten der betroffenen Personen müssen strikt eingehalten werden. Die hohe Geldbuße gegen Criteo soll Unternehmen daran erinnern, dass die Nichteinhaltung dieser Verpflichtungen zu erheblichen finanziellen Sanktionen führen kann. Da Datenschutzfragen in der digitalen Welt weiterhin im Mittelpunkt stehen, müssen Unternehmen dem Datenschutz Priorität einräumen und solide Maßnahmen ergreifen, um die Einhaltung der geltenden Datenschutzgesetze zu gewährleisten.

 

„>

 
 
 

 

 

 

Aufgrund der zunehmenden Digitalisierung sind Technologien in unserem täglichen Leben allgegenwärtig und bringen neue Risiken mit sich, wie die drastische Zunahme der Auswirkungen von Cyberangriffen auf digitale Produkte in den letzten Jahren deutlich machen. So werden etwa Verbraucher Opfer von Sicherheitslücken digitaler Produkte wie Babyphones, Staubsaugerrobotern, Wi-Fi-Routern oder Alarmanlagen. Für Hersteller und Dienstleister ist es aus diesem Grund von zentraler Bedeutung, dass digitale Produkte bereits in der Lieferkette sicher sind.

Auf Grundlage eines Vorschlags der Kommission, arbeitet die EU derzeit an der Fertigstellung eines neuen Gesetzes zur Cybersicherheit – dem Cyber Resilience Act (CRA) – das Hersteller und Dienstleister verpflichten soll, über die gesamte Lebensdauer eines Produktes Sicherheitsupdates zur Verfügung zu stellen.

 

Das Wichtigste in Kürze

  • Ziel des Cyber Resilience Act ist es, die Sicherheit von Software- und Hardware-Updates zu erhöhen und die Minderung von Cyberrisiken in Netzwerken von Technologieunternehmen zu verbessern.
  • Die neuen Regelungen betreffen alle Unternehmen, die Produkte mit digitalen Elementen herstellen.
  • Falls die vorgeschlagene Verordnung in Kraft tritt, würden Produkte und Software, die eine Verbindung zum Internet haben, mit einer CE-Kennzeichnung versehen werden können, wenn sie den neuen Standards entsprechen.

 

Hintergrund

Die vorgeschlagene Verordnung zielt darauf ab, zwei Hauptprobleme anzugehen: Erstens das generell niedrige Niveau der Cybersicherheit, das sich besonders in der unzureichenden Bereitstellung von Sicherheitsupdates zeigt, und zweitens den begrenzten Informationszugang und das unzureichende Verständnis der Nutzer, wie Produkte mit angemessenen Cybersicherheitseigenschaften sicher genutzt werden können.

Im September 2022 veröffentlichte die Europäische Kommission einen ersten Entwurf für den geplanten Cyber Resilience Act, um einen einheitlichen Rechtsrahmen für Cybersicherheitsanforderungen an Produkte mit digitalen Elementen zu schaffen. Der aktuell bestehende EU-Rechtsrahmen berücksichtigt nur unzureichend die Cybersicherheit von nicht eingebetteter Software, obwohl Cybersicherheitsangriffe zunehmend auf solche Schwachstellen abzielen und erhebliche gesellschaftliche und wirtschaftliche Kosten verursachen. Am 19. Juli 2023 veröffentlichte der Rat der EU seinen gemeinsamen Standpunkt zum Entwurf des Cyber Resilience Act. Am 20. Juli 2023 gab das EU-Parlament bekannt, dass der Ausschuss für Industrie, Forschung und Energie (ITRE) den Entwurf mit Stimmenmehrheit angenommen und den Weg für Verhandlungen mit dem Rat frei gemacht hat.

Der Anwendungsbereich des vorgeschlagenen Cyber Resilience Act (CRA) erstreckt sich auf „Produkte mit digitalen Elementen“, die eine Datenverbindung zu anderen Geräten oder Netzwerken haben. Dies umfasst Software- und Hardwareprodukte sowie zugehörige Cloud-Datenverarbeitungslösungen, einschließlich separater Software- oder Hardwarekomponenten.

Von den Regelungen betroffen sind alle Unternehmen, die Produkte mit digitalen Elementen herstellen.

Die neuen Anforderungen des CRA sollen sicherstellen, dass im digitalen Kern der Geräte eine Sicherheitsarchitektur erschaffen wird, die von Beginn an alle relevanten Bedrohungsszenarien und Schwachstellen berücksichtigt. Dieser Ansatz nennt sich Secure-by-Design.

 

Inhaltliche Regelungen des Gesetzesentwurfs

Der Cyber Resilience Act beinhaltet eine Reihe wesentlicher inhaltlicher Regelungen, die darauf abzielen, die Cybersicherheit von Produkten mit digitalen Elementen zu stärken und den Verbraucherschutz zu verbessern. Eine zentrale Forderung des Entwurfs ist die Einbeziehung der Cybersicherheit in sämtlichen Phasen des Produktlebenszyklus, einschließlich der Liefer- und Wartungsphase. Hierzu wird eine Dokumentationspflicht etabliert, die sicherstellen soll, dass die Sicherheitsaspekte kontinuierlich berücksichtigt werden.

Ein weiteres Element ist die Meldepflicht für Schwachstellen und Sicherheitsvorfälle. Unternehmen müssen verpflichtend alle identifizierten Schwachstellen und Sicherheitsvorfälle melden, um eine umfassende Überwachung und Beseitigung dieser Bedrohungen während der erwarteten Produktlebensdauer zu gewährleisten. Diese Zeitspanne erstreckt sich maximal über fünf Jahre.

Die Gesetzesvorschriften sehen auch eine klare Verpflichtung zur Bereitstellung verständlicher Gebrauchsanweisungen für Produkte mit digitalen Inhalten vor, um Nutzern eine sichere Handhabung zu ermöglichen. Des Weiteren sind Hersteller dazu verpflichtet, für mindestens fünf Jahre Sicherheitsupdates zur Verfügung zu stellen, um die langfristige Sicherheit der Produkte zu gewährleisten.

Die Regelungen umfassen außerdem Mechanismen für die Marktüberwachung und die Durchsetzung der genannten Vorschriften. Dies soll sicherstellen, dass die eingeführten Maßnahmen effektiv umgesetzt werden.

Trotz der positiven Absicht, die Cybersicherheit zu stärken und den Verbraucherschutz zu verbessern, könnten die umfassenden Verpflichtungen auch negative Auswirkungen haben. Sie könnten den Marktzugang für Unternehmen erschweren und die internationale Wettbewerbsfähigkeit beeinträchtigen. Fraglich ist auch, ob die Beteiligung aller Akteure in der Produktkette tatsächlich zu einem höheren Cybersicherheitsstandard führen wird.

Im Hinblick auf Verstöße gegen die Anforderungen des Cyber Resilience Act sieht der Gesetzesentwurf Sanktionen vor. Diese können von den Mitgliedsstaaten festgelegt werden und umfassen Geldbußen von bis zu 15 Millionen Euro oder bis zu 2,5 Prozent des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahrs.
In Deutschland könnte die Verantwortung für die Umsetzung dieser Vorschriften dem Bundesamt für Sicherheit in der Informationstechnik (BSI) übertragen werden.

Die vorgeschlagene Umsetzung der Regelungen sieht grundsätzlich einen Geltungsbeginn von 24 Monaten nach Inkrafttreten vor, wobei bestimmte Aspekte wie die Meldepflicht bei Sicherheitsvorfällen bereits nach 12 Monaten Anwendung finden sollen.

 

Anforderungen an den Produktlebenszyklus

Die Vision des EU Cyber Resilience Act erstreckt sich von den frühesten Produktkonzepten bis zur endgültigen Freigabe eines Produkts für Vor- oder Serienentwicklung. Die Europäische Kommission betont die Notwendigkeit, die Anforderungen dieses Gesetzes bereits in den Phasen des Designs, der Entwicklung, der Produktion sowie beim Inverkehrbringen und während der Nutzung von Produkten mit digitalen Elementen zu berücksichtigen, um eine angemessene Cybersicherheit zu gewährleisten.

Im Rahmen des CRA werden je nach Kritikalität unterschiedliche Kategorien von Produkten mit digitalen Elementen identifiziert. Diese Unterscheidung umfasst nicht-kritische Produkte wie Festplatten und PC-Spiele, kritische Produkte der Klasse I wie Browser und Passwort-Manager sowie kritische Produkte der Klasse II wie Firewalls, Router und Chipkarten.

Die Umsetzung der Cybersicherheit soll dabei praktisch während des gesamten Lebenszyklus von Produkten mit digitalen Elementen, einschließlich der Liefer- und Wartungsphase, erfolgen. In diesem Zusammenhang besteht eine klare Dokumentationspflicht, um sicherzustellen, dass risikoangemessene Cybersecurity-Maßnahmen in allen Phasen angewendet werden und diese Maßnahmen nachvollziehbar dokumentiert werden.

Ein weiterer wichtiger Aspekt des CRA ist die Einführung einer Meldepflicht für aktiv ausgenutzte Schwachstellen und Sicherheitsvorfälle. Hersteller und Betreiber von Produkten mit digitalen Elementen sind dazu verpflichtet, solche Vorfälle zu melden, um eine umfassende Überwachung und schnelle Reaktion auf aktuelle Bedrohungen zu gewährleisten.

Der EU-Cyber Resilience Act repräsentiert somit eine ganzheitliche Herangehensweise an die Gewährleistung der Cybersicherheit während der gesamten Lebensdauer von Produkten mit digitalen Elementen. Von den Anfangsphasen der Produktentwicklung bis hin zur Nutzung durch den Endnutzer werden risikoangemessene Maßnahmen ergriffen, um die Sicherheit dieser Produkte zu gewährleisten und gleichzeitig einen verantwortungsbewussten Umgang mit Schwachstellen und Sicherheitsvorfällen zu fördern.

 

 

Ausblick

Die geplante Verordnung, die voraussichtlich im Jahr 2024 in Kraft treten wird, hat weitreichende Auswirkungen auf alle Produkte, die sich derzeit in einer frühen Konzeptphase befinden oder bereits in der Entwicklung sind. Die Einführung des Cyber Resilience Act wird dazu führen, dass zeitnah Produkte auf den Markt kommen, die anhand der neuen CRA-Anforderungen überprüft wurden.

Die Hersteller solcher Produkte haben die Möglichkeit, insbesondere zu Beginn, einen erheblichen Wettbewerbsvorteil zu erlangen, indem sie frühzeitig und konsequent die CRA-konforme Entwicklung umsetzen.

Des Weiteren wird die Durchsetzung der neuen Regulierungen durch nationale Marktüberwachungsbehörden verstärkt. Diese Behörden erhalten die Befugnis, nicht-konforme Produkte vom Markt zu entfernen. Dies unterstreicht die Ernsthaftigkeit der Umsetzung des CRA und verdeutlicht die Notwendigkeit für Hersteller, die Cybersicherheit ihrer Produkte zu gewährleisten, um sowohl den gesetzlichen Anforderungen zu entsprechen als auch den Vertrauensverlust der Verbraucher zu vermeiden.

Die Einführung des Cyber Resilience Act könnte somit eine entscheidende Wendung in der Art und Weise, wie Produkte mit digitalen Elementen entwickelt, hergestellt und vermarktet werden, darstellen. Unternehmen, die frühzeitig auf die neuen Anforderungen reagieren und ihre Produkte an die Cybersicherheitsstandards anpassen, können von einem Wettbewerbsvorteil profitieren und gleichzeitig das Vertrauen der Verbraucher stärken. Ob die Pläne der EU vollständig aufgehen werden, bleibt jedoch abzuwarten.

 

„>

 
 
 

 

 

 

Das Oberlandesgericht (OLG) Karlsruhe hat im Rahmen eines aktuellen Urteils zu der Frage Stellung genommen, welche Sicherheitsmaßnahmen beim Versand von E-Mails im geschäftlichen Verkehr einzuhalten sind. Das Urteil betrifft insbesondere den Umgang mit Verstößen gegen diese Sicherheitsvorkehrungen und deren Auswirkungen auf Geldforderungen.

In der vorliegenden Gerichtsentscheidung des Oberlandesgerichts Karlsruhe vom 27.07.2023 mit dem Aktenzeichen 19 U 83/22 wurde zu einem Fall geurteilt, bei dem eine Autokäuferin den Kaufbetrag unwissentlich an einen Betrüger überwiesen hatte. Sie machte die Verkäuferin für den Irrtum aufgrund von vermeintlicher Verletzung von IT-Sicherheitspflichten verantwortlich und weigerte sich, die eigentliche Rechnung zu bezahlen.

 

Das Wichtigste in Kürze

  • Nach Auffassung des OLG gibt es bisher keine gesetzlichen Vorgaben für Sicherheitsvorkehrungen beim Versand von E-Mails im Geschäftsverkehr.
  • Das Landgericht (LG) Mosbach hatte die Klage zuvor abgewiesen und der Klägerin mangelnde Sicherheitsvorkehrungen im E-Mail-Verkehr vorgeworfen.
  • Nach Ansicht des OLG war die Klägerin nicht verpflichtet beim Versand der Rechnungs-E-Mail bestimmte Verschlüsselungsverfahren wie die Ende-zu-Ende-Verschlüsselung anzuwenden.

 

Die Entscheidung des OLG Karlsruhe

Die Parteien stritten um eine ausstehende Kaufpreiszahlung für einen Gebrauchtwagen in Höhe von 13.500 Euro.

Der Geschäftsführer des verkaufenden Unternehmens übersandte der Käuferin die Rechnung als Anhang in einer E-Mail. Kurz nach Erhalt der E-Mail erhielt die Käuferin eine weitere E-Mail von der E-Mail-Adresse der Verkäuferin.

Nachdem die Käuferin den Kaufpreis aufgrund der zweiten E-Mail, die von Hackern verschickt worden war, fälschlicherweise trotz Auffälligkeiten und Hinweisen auf eine gefälschte E-Mail irrtümlich an die unberechtigten Dritten überwiesen hatte, verweigerte er eine weitere Zahlung an die Verkäuferin. Die von den Hackern versandte E-Mail enthielt sprachliche Fehler und eine abweichende Anrede. Die Verkäuferin trug daher vor, dass der Käufer Anlass zu Misstrauen gehabt hätte und ihm eine Rückfrage bei der Verkäuferin zumutbar gewesen sei.
Wie es genau zu dem Hackerangriff kommen konnte, blieb im weiteren Verlauf unklar.

Vor diesem Hintergrund erhob die Verkäuferin Klage auf Zahlung des noch ausstehenden Kaufpreises. Sie machte geltend, dass die vertraglichen Pflichten ihrerseits erfüllt worden seien und der Beklagte daher zur Zahlung des Kaufpreises verpflichtet sei. Die Beklagte führte hingegen an, dass sie eine gefälschte Rechnung erhalten habe und daher nicht zur Zahlung des Kaufpreises verpflichtet sei. Sie behauptete, die Klägerin habe ihre IT-Sicherheitspflichten verletzt, was ursächlich für die falsche Überweisung gewesen sei.

Anders als die Vorinstanz (LG Mosbach) entschied das OLG, dass die Beklagte den vereinbarten Kaufpreis an die Klägerin zu zahlen habe. Der Zahlungsanspruch besteht, da die Zahlung auf das falsche Konto und eben nicht auf das Konto der Klägerin erfolgte. Darüber hinaus stellte das Gericht fest, dass der _Beklagten kein Anspruch auf Schadenersatz zustehe, da die Klägerin alle zumutbaren Sicherheitsmaßnahmen, wie insbesondere eine regelmäßige (alle zwei bis vier Wochen) Änderung des Passworts für das Postfach sowie das Vorhalten einer aktuellen Firewall, ergriffen habe.

Gleichzeitig stellte die Berufungsinstanz fest, dass eine Ende-zu-Ende-Verschlüsselung beim Versand von Rechnungen sowie das Signieren von PDF-Dateien nicht erforderlich seien.

 

Sicherheitsvorkehrungen beim Versand geschäftlicher E-Mails

Das OLG führt aus, dass es keine konkreten gesetzlichen Vorgaben dazu gibt, welche Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr zu beachten sind. Gleichwohl verdeutlicht es mit seinem Urteil die Notwendigkeit, angemessene Sicherheitsvorkehrungen zu treffen.

Unternehmen werden dazu angehalten, die Sicherheitserwartungen im Geschäftsverkehr zu berücksichtigen und zumutbare Maßnahmen zu ergreifen, um möglichen Schäden vorzubeugen. Darüber hinaus wird klargestellt, dass Verstöße gegen diese Sicherheitsvorkehrungen zwar nicht zum Erlöschen von Primäransprüchen führen, allerdings Schadensersatzansprüche begründen können.

Der Einsatz von Maßnahmen wie der Ende-zu-Ende-Verschlüsselung oder der Verschlüsselung von PDF-Dateien wurde im Verhältnis der Parteien zueinander nicht als zwingend verpflichtend angesehen. Zudem würde eine mögliche Pflichtverletzung der Klägerin dadurch entkräftet werden, dass die Beklagte selbst keine ausdrücklichen Sicherheitsmaßnahmen für die E-Mail-Kommunikation gefordert hatte.

Um in der Praxis E-Mails mit sensiblen Informationen sicher zu versenden, empfiehlt es sich, die E-Mail zu verschlüsseln. Bei der Verschlüsselung bleibt die E-Mail auf dem gesamten Übertragungsweg verschlüsselt, also unlesbar und wird erst vom Empfänger wieder entschlüsselt und damit lesbar gemacht. Eine ausdrückliche gesetzliche Pflicht zur Verschlüsselung von E-Mails mit personenbezogenen Daten besteht jedoch nicht.

Wenn der Empfänger sicher sein will, dass der angegebene Absender der Nachricht auch mit dem tatsächlichen Absender identisch ist und der Inhalt der E-Mail nicht „unterwegs“ manipuliert wurde, hilft eine so genannte „digitale Signatur“. Sie hat eine ähnliche Funktion wie die Unterschrift unter einem Papierdokument und zeigt Ihrem Kommunikationspartner, dass die E-Mail wirklich vom Absender stammt und der Inhalt nicht von Dritten verändert wurde.

 

 

Fazit

Rechtlich ging die Beklagte im Urteil als Verliererin aus dem Rechtsstreit heraus: Die Kaufpreisforderung war durch die Zahlung auf das falsche Konto nicht erloschen und der Beklagten kam auch kein Schadensersatzanspruch gegen die Klägerin zu. Die Täuschung durch die gefälschte E-Mail ging insoweit zu ihren Lasten. Derartige Täuschungen müssen daher rechtzeitig erkannt und umgangen werden. Gerade Rechtschreibfehler in E-Mails sind dabei häufig ein Hinweis auf eine IT-Bedrohung. Für Unternehmen gilt daher insbesondere auch, dass die Mitarbeiter ausreichend geschult werden, um hier Haftungsfälle zu vermeiden.

Aber auch die Klägerin hätte etwas tun können, um den Rechtsstreit zu vermeiden, und somit für mehr Datensicherheit und Kundenzufriedenheit zu sorgen. Denn Hackerangriffe führen häufig nicht nur zu Schadensersatzpflichten sondern auch zu Datenschutzverstößen, die eine besondere Aufmerksamkeit der Aufsichtsbehörden mit sich bringen. Als wichtige Maßnahme wird beispielsweise dringend davon abgeraten, Passwörter zu häufig zu ändern: Häufige Passwortänderungen führen vermehrt dazu, dass leicht zu merkende und damit unsichere Passwörter gewählt werden. Vielmehr sollte ein ausreichend langes und sicherer Passwort gewählt werden.

Das vorliegende Urteil schafft etwas Klarheit in einem wenig geregelten Bereich und trägt zu mehr Rechtssicherheit im geschäftlichen E-Mail-Verkehr bei. Unternehmen sollten sich bewusst sein, dass angemessene Sicherheitsvorkehrungen nicht nur rechtlich geboten sind, sondern auch dazu beitragen, mögliche finanzielle Schäden zu vermeiden.

 

„>

 
 
 

 

 

 

Social-Media-Kanäle ersetzen immer mehr die traditionelle elektronische Kommunikation per E-Mail. Plattformen wie LinkedIn oder Xing eröffnen uns die Gelegenheit, das berufliche Netzwerk zu erweitern. Es gibt jedoch auch hier Grenzen, die eingehalten werden müssen. Ein Urteil des Oberlandesgerichts Hamm (Beschl. v. 3.5.2023 – 18 U 154/22) macht deutlich, wie wichtig es ist, die rechtlichen Grenzen zu kennen.

 

Das Wichtigste in Kürze

  • Das OLG Hamm hat beschlossen, dass unerwünschte Werbenachrichten, die über Online-Portale oder soziale Netzwerke versendet werden, rechtswidriger Spam sein können.
  • Dies ist der Fall, wenn keine ausdrückliche Einwilligung des Empfängers vorliegt.
  • Für eine Einwilligung ist es nicht ausreichend, dass der Absender und der Empfänger auf den Kanälen vernetzt sind.
  • Eine Werbenachricht liegt bereits vor, wenn der Absender sich oder seine Dienstleistungen in den Vordergrund rückt.

 

Hintergrund

Im Rahmen eines zivilrechtlichen Verfahrens wurde vom Oberlandesgericht Hamm geprüft, ob die von der Klägerin vorgenommenen Werbemaßnahmen rechtmäßig waren.
Die Klägerin erbringt Dienstleistungen für Immobilienmakler und bot unter anderem kostenpflichtige Dienste zur Vermittlung von Erstkontakten zu möglichen Grundstücksverkäufern an. Der Beklagte ist Immobilienmakler und hatte einen Vertrag mit der Klägerin abgeschlossen, um sein Maklergeschäft durch die Gewinnung weiterer Kunden auszuweiten.
Die Tätigkeit der Klägerin bestand darin, Anzeigen von potenziellen Verkäufern von Immobilien, die keine Telefonnummer angegeben hatten, über die entsprechenden Online-Plattformen anzuschreiben. Ziel war es, in einem möglicherweise folgenden Telefonat die betreffenden Immobilienverkäufer um Erlaubnis zu fragen, ob sich der Immobilienmakler telefonisch bezüglich des geplanten Immobilienverkaufs melden darf.

Im Vertrag wurde eine Entlohnung für die Bereitstellung dieser Datensätze vereinbart. Tatsächlich wussten die Verkäufer jedoch nicht im Voraus, dass sich ein Makler mit Vermarktungsinteresse melden würde; sie waren nur darüber informiert, dass sich jemand wegen der inserierten Immobilen melden werde. Eine ausdrückliche Einwilligung der betroffenen Personen konnte nicht nachgewiesen werden.

Da die Bemühungen des Beklagten, anhand der bereitgestellten Datensätze Kunden zu gewinnen, nicht den gewünschten Erfolg brachten, entschied er sich, den Vertrag mit der Klägerin zu beenden und lehnte die bereits ausgestellten Rechnungen für die Vermittlung von Erstkontakten ab.
Infolgedessen reichte die Klägerin eine Klage beim Landgericht Hagen ein, um die vereinbarte Vergütung einzufordern. Der Beklagte vertrat die Meinung, dass die Klägerin die Leistungen nicht ordnungsgemäß erbracht habe und er dadurch in rechtliche Schwierigkeiten gebracht wurde, da die potenziellen Verkäufer über eine potenzielle Kontaktierung durch einen Makler nicht informiert waren.

Das Landgericht wies die Klage in der ersten Instanz ab und erklärte den Vertrag nach § 134 BGB für nichtig mit der Begründung, er ziele auf wettbewerbswidrige Handlungen ab.

 

Entscheidung des OLG Hamm

Das OLG Hamm stellte in seinem Beschluss fest, dass der geschlossene Akquisevertrag nichtig und darauf gerichtet sei, unzulässige geschäftliche Handlungen nach § 7 Abs. 2 Nr. 2 UWG durchzuführen und damit zu einem wettbewerbswidrigen Handeln verpflichte. Es vertritt die Ansicht, dass unter dem Begriff der „elektronischen Post“ im Sinne des § 7 Abs. 2 Nr. 2 UWG neben E-Mails, SMS und MMS auch sämtliche Nachrichten über die Sozialen Netzwerke wie beispielsweise Xing, Facebook, LinkedIn oder auch WhatsApp fallen.

Werbemails über solche Dienste dürfen nur dann verschickt werden, wenn darin zuvor eingewilligt wurde. Geschieht der Versand ohne vorherige ausdrückliche Zustimmung des Empfängers, stellt dies ein Wettbewerbsverstoß dar.

Zwar handle es sich bei dem Nachrichtendienst eines Immobilienportals nicht um einen Social-Media-Dienst, die Funktionsweise des Postfachs ist jedoch dieselbe.

Es ist davon auszugehen, dass die Verbraucher, die Immobilien auf einer entsprechenden Plattform anbieten ein grundsätzliches Interesse an einer Kontaktaufnahme haben. Von dieser konkludent anzunehmenden Einwilligung sind jedoch nicht die Anrufe von Maklern gedeckt, die darauf gerichtet sind, dem Verkäufer Maklerdienste bzw. einen Maklervertrag anzubieten.

Definiert wird der Begriff „Werbung“ so, dass darunter jede Äußerung zu verstehen ist, die bei der Ausübung eines Handels, Gewerbes, Handwerks oder freien Berufs mit dem Ziel getätigt wird, den Absatz von Waren oder die Erbringung von Dienstleistungen zu fördern.

 

Werbung ausnahmsweise ohne Einwilligung zulässig

Häufig wird fälschlicherweise davon ausgegangen, dass die elektronische Werbung per Direktnachricht gegenüber Bestandskunden, Social-Media-Freunden oder Followern auch ohne ihre Einwilligung zulässig sei.

Nach § 7 Abs. 3 UWG müssen die dort genannten vier Voraussetzungen kumulativ vorliegen, um Werbenachrichten ohne vorherige, ausdrückliche Einwilligung des Empfängers versenden zu dürfen.

Es muss sich bei dem Absender daher um einen Unternehmer handeln, der im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen elektronische Postadresse erhalten hat. Der Unternehmer muss diese Adresse zur Direktwerbung für eigene Waren oder Dienstleistungen verwenden und der Kunde darf der Verwendung nicht widersprochen haben. Zuletzt müsste der Kunde bei der Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen werden, dass er der Verwendung jederzeit widersprechen kann.

In der Praxis werden diese Voraussetzungen auf den Social-Media-Kanälen jedoch allenfalls im Ausnahmefall vorliegen.

Nun stellt sich die Frage, wie Unternehmer überhaupt ohne die Zustimmung des Nutzers in sozialen Netzwerken werben dürfen. Die Antwort ist: fast gar nicht. Tatsächlich bleiben nur noch zwei Möglichkeiten: Der Betrieb einer Unternehmensseite oder Fanpage (je nach Anbieter könnten sich hier jedoch datenschutzrechtliche Problem ergeben) und die kostenpflichtige Schaltung von Anzeigen oder Displaywerbung.

 

LinkedIn als Grauzone?

Obwohl die Rechtslage klar zu sein scheint, könnte man argumentieren, dass die Verwendung von LinkedIn InMails eine Grauzone darstellt, da dieses Tool explizit in den Nutzungsbedingungen von LinkedIn vorgesehen ist und Mitglieder implizit der Zustimmung zum Erhalt von Nachrichten von anderen Mitgliedern zustimmen. Dies könnte unter Umständen als eine Art „vorherige Zustimmung“ betrachtet werden.

Allerdings wird in den Nutzungsbedingungen von LinkedIn auch betont, dass Mitglieder keine Spam-Nachrichten versenden dürfen. Aus diesem Grund ist es unwahrscheinlich, dass allein die Mitgliedschaft bei LinkedIn als ausdrückliche Zustimmung zum Erhalt von Werbenachrichten ausgelegt werden kann.

 

 

Fazit

In Deutschland stellt das Gesetz gegen den unlauteren Wettbewerb (UWG) einen deutlichen rechtlichen Rahmen für das Versenden von Werbenachrichten dar. Insbesondere legt § 7 UWG fest, dass eine geschäftliche Handlung, bei der eine Nachricht ohne vorherige Zustimmung des Empfängers übermittelt wird, als unzulässige Werbung gilt.

Das Urteil des OLG Hamm muss als Signal für alle Unternehmen, die Soziale Medien wie LinkedIn oder Xing für Geschäftsaktivitäten oder zu Marketingzwecken nutzen, verstanden werden. Es zeigt, dass die Gesetze gegen unlauteren Wettbewerb auch in der digitalen Welt gelten und verdeutlicht, wie wichtig es ist, vor der Versendung von Werbenachrichten sicherzustellen, dass eine ausdrückliche Einwilligung des Empfängers vorliegt.

Folglich ist es Unternehmen zu empfehlen, ihre Marketing-Praktiken zu überprüfen und sicherzustellen, dass die geltenden Datenschutz- und Wettbewerbsgesetze eingehalten werden, um rechtliche Konsequenzen zu vermeiden.

Bei Werbenachrichten über LinkedIn, Facebook, Xing und andere Social-Media-Plattformen, die den oben genannten Anforderungen nicht genügen könnten wettbewerbsrechtliche Unterlassungsansprüche auf den Werbenden zukommen, die per Abmahnung geahndet werden können. Diese Risiken gilt es bei den unternehmerischen Entscheidungen genau abzuwägen.

 

„>

 
 
 

 

 

 

Cyberkriminalität hat sich in der heutigen digitalen Ära zu einer ständig wachsenden Bedrohung für Unternehmen aller Größen entwickelt. Besonders alarmierend ist dabei, dass Cyberangriffe häufig kleinere und mittlere Unternehmen treffen, die oftmals unvorbereitet auf solche Sicherheitsverletzungen sind. Diese Unternehmen finden sich oft in einer schwierigen Lage wieder, da sie häufig ein leichtes Ziel für Cyberkriminelle sind. Im Falle eines Cyberangriffs können die Auswirkungen verheerend sein: Daten werden verschlüsselt, gestohlen oder gelöscht, und die betroffenen Unternehmen sehen sich nicht selten mit Lösegeldforderungen konfrontiert. Diese Dynamik unterstreicht die dringende Notwendigkeit für Unternehmen, ihre Cybersicherheitsstrategien zu überdenken und zu verstärken, um sich gegen diese wachsende Bedrohung zu schützen.

 

Das Wichtigste in Kürze

  • Viele Unternehmen stehen heute einer wachsenden Anzahl komplexer Cyberangriffe gegenüber.
  • Die anhaltende Digitalisierung und zunehmende Vernetzung vergrößert die Angriffsflächen – und diese werden genutzt.
  • Cyberangriffe mithilfe von Schadprogrammen kommen beispielsweise durch E-Mail-Anhang zum Einsatz und ermöglichen verschiedenste Arten von Angriffsszenarien.
  • Die Abwehr von Cyberangriffen ist von entscheidender Bedeutung, um sowohl persönliche als auch geschäftliche Daten vor potenziellen Bedrohungen zu schützen.

 

Professionalisierung der Cyberkriminalität

In seinem jährlichen Bericht über den Zustand der IT-Sicherheit in Deutschland bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen detaillierten Einblick in die aktuellen Bedrohungen im Cyberraum. Der Bericht für das Jahr 2023 zieht das Resümee, dass die Gefahr im Bereich der Cybersecurity auf einem bisher unerreichten Niveau angelangt ist.

Bei der Cyberkriminalität ist eine stetig weiter voranschreitende Arbeitsteilung und Professionalisierung unter den Cyberkriminellen festzustellen, die sich in einem wachsenden Dienstleistungscharakter manifestiert.

Heutzutage gibt es beispielsweise eine Bandbreite von PhaaS- Dienstleistern (Phishing as a Service), die eine Vielfalt an Diensten für Cyberangreifer bereitstellen. Diese reichen von der Erstellung und dem Versand von Phishing-E-Mails über die Verwaltung von Weiterleitungs-webseiten und den endgültigen Köderseiten bis hin zu technischem Support und Schritt-für-Schritt-Tutorials. Oftmals werden vorgefertigte Phishing-Seiten für bekannte Online-Dienste wie Google, Microsoft, LinkedIn, iCloud, Facebook, Twitter, Yahoo, WordPress und Dropbox angeboten. Zusätzlich besteht die Möglichkeit, auf speziellen Wunsch hin maßgeschneiderte Phishing-Seiten für bestimmte Angriffsziele zu entwickeln.

Weit verbreitet sind auch Phishing-Proxy-Dienste, die als Mittelsmann (Man-in-the-Middle, MITM) zwischen dem Opfer und der Login-Seite eines Dienstes agieren. Diese können in der Lage sein, Zugangsdaten und Cookies zu entwenden und sogar Sicherheitsmaßnahmen wie die Multifaktor-Authentifizierung zu umgehen.

Ein beunruhigendes Beispiel für einen solchen Dienst ist EvilProxy. Besonders alarmierend ist, dass EvilProxy neben Phishing-Seiten für gängige Dienste wie Google und Microsoft auch solche für wichtige Entwicklerplattformen wie den Python Package Index (ein offizielles Verzeichnis für Python-Software), npmjs (ein von Millionen Entwicklern genutzter JavaScript Package Manager) und GitHub (eine Plattform für Softwareentwickler) anbietet. Ein erfolgreicher Angriff auf solche Seiten könnte zu Supply-Chain-Attacken führen, indem Code-Repositories böswillig modifiziert oder geklont werden, was wiederum legitime Software mit schädlichen Programmen zur Datendiebstahl infizieren könnte.

Zusammenfassend bleibt Phishing ein effektiver Weg für Angreifer, um Zugang zu IT-Netzwerken zu erlangen. Mit den genannten PhaaS-Services können auch weniger erfahrene Angreifer mit begrenzten Ressourcen Phishing-Angriffe durchführen, was die Evolution des Phishings maßgeblich beeinflussen dürfte. Zudem haben sich die Phishing-Aktivitäten diversifiziert und umfassen nun Angriffe über soziale Medien, SMS und Telefonanrufe.

 

Die wachsende Gefahr von Ransomware

Ein Ransomware-Angriff stellt eine Art digitaler Erpressung dar. Dabei nutzen die Täter verschiedene Schwachstellen wie Bedienfehler, Konfigurationsmängel, veraltete Software oder unzureichende Datensicherung, um in die Systeme einzudringen und Daten zu verschlüsseln. Die Angreifer fordern dann ein Lösegeld für die Freigabe der verschlüsselten Daten. Oft wird diese Forderung mit der Androhung verbunden, zuvor entwendete Daten zu veröffentlichen. Ein Vorgehen, das auch als Double Extortion bekannt ist. In diesen Fällen dient das Lösegeld häufig auch dazu, die Stille der Opfer zu erkaufen. Die geforderte Zahlung erfolgt meistens in digitalen Währungen wie Bitcoin oder Monero.

Ransomware-Attacken machen mittlerweile einen nicht unbedeutenden Anteil von Datenschutzverletzungen aus. Nicht selten führen diese Art von Cyberattacken zu einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen sowie zu einem enormen wirtschaftlichen Schaden für die angegriffene Organisation. Lösegeldforderungen im Millionenbereich sind hierbei keine Seltenheit mehr – die Täter sind sich der Notlage der Betriebe durchaus bewusst. Während früher allein die Verschlüsselung der Daten das Markenzeichen dieser Angriffe war, stellen heutzutage auch die Datenausleitung und die Veröffentlichung dieser Daten eine große Herausforderung für angegriffene Betriebe dar. Selbst wenn in solchen Fällen durch Backups und andere Vorkehrungen eine Wiederaufnahme des Betriebs möglich sein sollte, sind die Daten unwiderruflich in Hände von Kriminellen gelangt, die gezielt Lösegeld erpressen oder andere missbräuchliche Absichten verfolgen.

Durch Cyberpräventionsmaßnahmen können Unternehmen ihr IT-Sicherheitsnetz straffer spannen und es Ransomware-Gruppierungen erschweren, ihr Geschäftsmodell fortzusetzen. Die im Folgenden beschriebenen Maßnahmen sollen ermutigen, frühzeitig entsprechende Schritte zu unternehmen und sich so angemessen zu schützen.

 

Datenschutzrechtliche Tipps

Bei einem Datenschutzvorfall kann sich schnell die Aufsichtsbehörde melden. Damit die Kommunikation problemlos verläuft, sollten betroffene Unternehmen insbesondere zwei Dokumente vorliegen haben: das Verarbeitungsverzeichnis und ein Löschkonzept. Diese Unterlagen sollten stets auf dem neusten Stand und in einwandfreier Form vorliegen, um bei Bedarf schnell und effektiv reagieren zu können.

Ein wesentliches Risiko im Datenschutz stellt eine Website mit einer veralteten Datenschutzerklärung dar. Dies ist nicht nur für Wettbewerber und Aufsichtsbehörden von außen sichtbar, sondern signalisiert auch, dass das Unternehmen in puncto Datenschutz nicht optimal aufgestellt ist. Um rechtliche Konsequenzen zu vermeiden, ist es daher entscheidend, die Datenschutzerklärung regelmäßig zu aktualisieren und an die neusten Anforderungen anzupassen.

Die Datenschutz-Grundverordnung (DSGVO) ist mehr als nur eine Richtlinie; sie ist ein bindendes Gesetz. Um Haftungsszenarien präventiv auszuschließen, sind strategische Maßnahmen wie Schulungen, die Implementierung von Richtlinien und eine rechtssichere Datenschutzdokumentation unerlässlich. Diese Maßnahmen helfen nicht nur, die Einhaltung der DSGVO sicherzustellen, sondern minimieren auch das Risiko von Verstößen und den daraus resultierenden Konsequenzen.

Es ist ebenfalls wichtig zu bedenken, dass der Datenschutzbeauftragte eines Unternehmens nicht befugt ist, das Unternehmen in externen rechtlichen Auseinandersetzungen zu vertreten. Dies gilt insbesondere, wenn datenschutzrechtliche Ansprüche an das Unternehmen gestellt werden. In solchen Fällen ist es unerlässlich, ein rechtliches Team bereitzuhalten, das im Ernstfall einspringen kann.

Schließlich ist zu beachten, dass mehr als 58% der Datenschutzverletzungen in Kleinstunternehmen stattfinden. Dies unterstreicht die Notwendigkeit praktikabler Lösungen zur Umsetzung der Datenschutzanforderungen in diesem Segment. Kleinstunternehmen benötigen daher speziell zugeschnittene, realisierbare Datenschutzstrategien, die sowohl effektiv als auch umsetzbar sind, um ihre Daten und die ihrer Kunden zu schützen.

Weitere Praxistipps finden Sie hier.

 

 

Fazit

In Zukunft ist damit zu rechnen, dass Cyberkriminelle ihre Methoden weiter verfeinern und anpassen werden, um Schutzmechanismen zu umgehen. Dies macht eine kontinuierliche Anpassung und Verbesserung von Sicherheits- und Datenschutzmaßnahmen unabdingbar. Unternehmen sollten insbesondere in präventive Maßnahmen wie Mitarbeiterschulungen, regelmäßige Updates der Sicherheitssoftware und die Entwicklung eines robusten Notfallmanagements investieren.

 

„>

 
 
 

 

 

 

Im digitalen Zeitalter suchen Unternehmen ständig nach Wegen, die Effizienz zu steigern und innovative Lösungen für die Bewältigung alltäglicher Aufgaben zu integrieren. Microsoft 365 Copilot, ein auf Künstlicher Intelligenz (KI) basierendes Assistenztool, steht im Zentrum dieser Bestrebungen. Doch mit der Implementierung solcher Technologien gehen auch datenschutzrechtliche Bedenken einher, die für Datenschutzbeauftragte, Compliance-Manager und Datensicherheitsbeauftragte von zentraler Bedeutung sind.

 

Das Wichtigste in Kürze

  • Microsoft 365 Copilot ist eine KI-gestützte Assistentenfunktion, die innerhalb von Programmen wie Word, Excel, PowerPoint und Outlook eingebettet ist.
  • Die KI basiert auf der Nutzung von großen Sprachmodellen und verwendet spezifische, unternehmensbezogene Daten zur Generierung von Inhalten.
  • Datenschutzrechtliche Bedenken umfassen Themen wie die Verarbeitung personenbezogener Daten, Transparenz und Einwilligung der Nutzer sowie die Sicherheit und Isolation der verarbeiteten Daten.
  • Unternehmen müssen sicherstellen, dass der Einsatz von Microsoft 365 Copilot die Datenschutzprinzipien der Transparenz, Zweckbindung und Datenminimierung nicht untergräbt.

 

Hintergrund

Microsoft 365 Copilot steht an der Schwelle der nächsten Evolutionsstufe der Büroarbeit, indem es Künstliche Intelligenz (KI) nutzt, um die Interaktion mit der Microsoft 365-Produktivitätssuite – einschließlich Anwendungen wie Word, Excel, PowerPoint und Outlook – neu zu gestalten. Diese fortschrittliche Technologie repräsentiert nicht nur einen Quantensprung in der Effizienz und Produktivität am Arbeitsplatz, sondern wirft auch wichtige Fragen im Bereich des Datenschutzes und der Compliance auf.

Im Kern verwendet Microsoft 365 Copilot große Sprachmodelle (LLMs), die auf Technologien wie GPT-4 von OpenAI basieren. Diese Modelle wurden mit umfangreichen Datensätzen trainiert, um Inhalte zu verstehen, zusammenzufassen, vorherzusagen und zu generieren. Der Clou bei Copilot ist, dass es diese Fähigkeiten nutzt, um auf die unternehmensspezifischen Daten eines Benutzers über Microsoft Graph zuzugreifen, wodurch es kontextbezogene, maßgeschneiderte Antworten und Inhalte erzeugen kann. Dies bedeutet, dass Copilot nicht nur generische Antworten liefert, sondern solche, die spezifisch auf die Bedürfnisse und den Kontext des jeweiligen Unternehmens zugeschnitten sind.

Die Anwendungsbereiche von Microsoft 365 Copilot sind vielfältig und reichen von der Automatisierung routinemäßiger Aufgaben wie der Erstellung von Dokumenten und E-Mails bis hin zur Analyse von Daten in Excel und der Erstellung von PowerPoint-Präsentationen. Dies ermöglicht es den Nutzern, effizienter zu arbeiten, indem zeitraubende Aufgaben minimiert und die Konzentration auf kreative und strategische Aufgaben verstärkt wird.

 

Datenschutzrechtliche Bedenken bei der Implementierung von KI-Tools

Die Implementierung von KI-Tools wie Microsoft 365 Copilot im Arbeitsalltag stellt Unternehmen vor eine Vielzahl von Herausforderungen, insbesondere in Bezug auf den Datenschutz. Diese Technologien, während sie Effizienz und Produktivität erheblich steigern, werfen fundamentale Fragen hinsichtlich der Verarbeitung personenbezogener Daten, der Einhaltung der Datenschutz-Grundverordnung (DSGVO) und der Wahrung der Privatsphäre der Nutzer auf.

Microsoft 365 Copilot greift auf eine umfangreiche Datenbasis zurück, einschließlich E-Mails, Dokumenten und Chatverläufen innerhalb der Microsoft 365-Umgebung, um personalisierte und kontextbezogene Unterstützung zu bieten. Diese Verarbeitung personenbezogener Daten wirft zunächst Fragen nach der Rechtmäßigkeit gemäß Artikel 6 DSGVO auf. Die Verarbeitung muss auf einer rechtmäßigen Grundlage beruhen, wie der Einwilligung des Betroffenen oder der Notwendigkeit zur Erfüllung eines Vertrages. Unternehmen müssen daher sicherstellen, dass eine angemessene Rechtsgrundlage für die Datenverarbeitung durch Copilot besteht und dokumentiert ist.

Ein weiterer wichtiger Aspekt ist die Transparenz der Datenverarbeitung. Die DSGVO fordert, dass Unternehmen die betroffenen Personen klar und verständlich darüber informieren, wie ihre Daten verarbeitet werden. Im Falle von Microsoft 365 Copilot bedeutet dies, dass Nutzer umfassend darüber aufgeklärt werden müssen, welche ihrer Daten vom Tool verarbeitet werden, zu welchem Zweck und auf welcher rechtlichen Grundlage. Diese Informationen müssen leicht zugänglich und verständlich sein, um den gesetzlichen Anforderungen zu genügen.

 

Empfehlungen für datenschutzkonforme Nutzung im Unternehmen

Um Microsoft 365 Copilot datenschutzrechtlich korrekt zu nutzen, müssen Unternehmen eine Reihe von Maßnahmen ergreifen. Zunächst ist eine Datenschutz-Folgenabschätzung (DSFA) unerlässlich. Diese gründliche Untersuchung dient dazu, potenzielle Risiken für die Privatsphäre zu identifizieren und entsprechende Sicherheitsmaßnahmen festzulegen. Ein weiterer wichtiger Aspekt ist die Transparenz gegenüber den Nutzern: Sie sollten umfassend und verständlich über die Art und Weise, wie ihre Daten verarbeitet werden, informiert werden. Oftmals ist hierfür auch die explizite Einwilligung der Nutzer erforderlich, insbesondere bei sensiblen Daten.

Ein starkes Berechtigungskonzept spielt ebenfalls eine entscheidende Rolle. Es gewährleistet, dass nur autorisierte Personen Zugriff auf relevante Daten haben, wobei das Prinzip der minimalen Berechtigungen, das sogenannte „Need-to-Know“-Prinzip, zur Anwendung kommt. Um personenbezogene Daten effektiv zu schützen, sind außerdem technische und organisatorische Sicherheitsvorkehrungen erforderlich. Dazu zählen unter anderem die Verschlüsselung von Daten und die Implementierung von Zugangskontrollen, um Daten vor unbefugtem Zugriff oder Verlust zu schützen.

Schließlich ist die Schulung und Sensibilisierung der Mitarbeiter hinsichtlich der Datenschutzpraktiken von großer Bedeutung, insbesondere im Umgang mit KI-gestützten Werkzeugen wie Microsoft 365 Copilot. Mitarbeiter sollten dazu angehalten werden, die von Copilot generierten Inhalte sorgfältig auf ihre Genauigkeit und Datenschutzkonformität hin zu überprüfen. Durch die Beachtung dieser Maßnahmen können Unternehmen sicherstellen, dass der Einsatz von Microsoft 365 Copilot im Einklang mit den geltenden Datenschutzgesetzen erfolgt.

 

 

Fazit

Microsoft 365 Copilot bietet zweifellos das Potenzial, die Arbeitsweise in Unternehmen zu revolutionieren. Allerdings erfordert die Einführung solcher innovativen KI-Tools eine sorgfältige Abwägung und Anpassung an die datenschutzrechtlichen Anforderungen. Datenschutzbeauftragte, Compliance-Manager und Datensicherheitsleiter spielen eine entscheidende Rolle bei der Gewährleistung, dass der Einsatz von Copilot im Einklang mit der DSGVO und anderen Datenschutzvorschriften steht. Durch die Berücksichtigung der oben genannten Empfehlungen können Unternehmen die Vorteile von Microsoft 365 Copilot nutzen, ohne Kompromisse beim Datenschutz einzugehen.

 

„>

 
 
 

 

 

 

Die digitale Ära hat Unternehmen weltweit in eine neue Dimension der Effizienz und Innovation geführt. Diese Transformation, die durch das Internet und vernetzte Technologien angetrieben wird, hat es ermöglicht, Geschäftsprozesse zu optimieren, Marktreichweiten zu erweitern und Kundenbeziehungen zu intensivieren. Jedoch hat diese Entwicklung auch eine Schattenseite: Mit der zunehmenden Abhängigkeit von digitalen Technologien steigt das Risiko von Cyberangriffen, die nicht nur die technologische Infrastruktur von Unternehmen bedrohen, sondern auch erhebliche finanzielle Verluste nach sich ziehen können.

Die Zunahme von Cyberangriffen auf Unternehmen ist alarmierend. Hacker nutzen fortgeschrittene Techniken, um in IT-Systeme einzudringen, wertvolle Daten zu stehlen und Betriebsabläufe zu sabotieren. Diese Angriffe stellen nicht nur eine Bedrohung für die Informationstechnologie der Unternehmen dar, sondern auch für ihre finanzielle Stabilität.

 

Das Wichtigste in Kürze

  • Die deutsche Wirtschaft erleidet laut einer Studie des Digitalverbands Bitkom im Jahr 2023 einen Schaden in Höhe von 206 Milliarden Euro durch Datendiebstahl und Cyberangriffen.
  •  Künstliche Intelligenz (KI) spielt eine doppelte Rolle im Bereich der Cybersicherheit: Sie wird sowohl von Cyberkriminellen für ausgeklügelte Angriffe genutzt als auch von Unternehmen zur Abwehr dieser Bedrohungen eingesetzt.
  • Angesichts der erwarteten Zunahme von Cyberangriffen müssen Unternehmen in fortschrittliche Sicherheitstechnologien und -praktiken investieren, um ihre finanzielle Stabilität und operative Integrität zu schützen.

 

Zunahme der Cyberangriffe auf Unternehmen

In den letzten Jahren haben Cyberangriffe signifikant zugenommen, sowohl in ihrer Häufigkeit als auch in ihrer Komplexität. Diese Angriffe sind vielfältig und reichen von Ransomware, die ganze Systeme verschlüsselt und Lösegeldforderungen stellt, über das Eindringen in Netzwerke, um sensible Daten zu stehlen, bis hin zu ausgeklügelten Phishing-Kampagnen, die darauf abzielen, Mitarbeiter zu täuschen und sie dazu zu bringen, Zugangsdaten preiszugeben. Die finanziellen Schäden, die durch solche Angriffe entstehen, sind erheblich und vielschichtig. Direkte Schäden umfassen den Diebstahl von Vermögenswerten oder die Kosten für die Wiederherstellung kompromittierter Systeme. Doch darüber hinaus sind es oft die indirekten Kosten, die langfristig schwerer wiegen. Dazu gehören unter anderem der Verlust von Kundenvertrauen, das durch die Offenlegung von Kundeninformationen oder Ausfälle von Dienstleistungen erschüttert wird, sowie Reputationsschäden, die das Bild des Unternehmens in der Öffentlichkeit und auf dem Markt negativ beeinflussen.

Ein weiterer kritischer und häufig unterschätzter Aspekt sind die rechtlichen Konsequenzen, die aus Cyberangriffen resultieren können. Unternehmen sind zunehmend strengen Datenschutzgesetzen unterworfen, wie der Europäischen Datenschutz-Grundverordnung (DSGVO), die hohe Anforderungen an den Schutz personenbezogener Daten stellen. Die Nichteinhaltung dieser Vorschriften kann zu erheblichen Sanktionen führen, ganz zu schweigen von den Kosten, die durch Rechtsstreitigkeiten und Schadensersatzforderungen entstehen können. Die finanzielle Belastung durch die Notwendigkeit, Compliance-Verstöße zu adressieren, kann besonders für kleinere und mittlere Unternehmen, die möglicherweise nicht über die Ressourcen verfügen, um umfangreiche Sicherheitsmaßnahmen zu implementieren, verheerend sein.

Angesichts dieser komplexen Bedrohungslandschaft ist es entscheidend, dass Unternehmen eine proaktive Haltung einnehmen und in umfassende Sicherheitsstrategien investieren, die nicht nur auf die technische Abwehr von Angriffen ausgerichtet sind, sondern auch präventive Maßnahmen umfassen, um Risiken zu minimieren. Dies schließt regelmäßige Sicherheitsaudits, die Schulung von Mitarbeitern im Hinblick auf Cybersicherheitspraktiken und die Implementierung von Notfallplänen für den Fall eines Sicherheitsvorfalls ein. Nur durch eine Kombination aus technologischer Wachsamkeit und organisatorischer Resilienz können Unternehmen hoffen, sich gegen die wachsende Welle von Cyberangriffen zu wappnen und ihre finanzielle Integrität in einer zunehmend unsicheren digitalen Welt zu bewahren.

 

Diebstahl von persönlichen Daten

Der Diebstahl persönlicher Daten ist eine der häufigsten Formen von Cyberangriffen. Die finanziellen Verluste, die aus dem Diebstahl persönlicher Daten resultieren, sind beträchtlich. Für Einzelpersonen kann dies den Verlust von Ersparnissen, die Beeinträchtigung der Kreditwürdigkeit und langwierige Verfahren zur Wiederherstellung ihrer Identität bedeuten.

Unternehmen, die solche Datenverletzungen erleiden, stehen vor direkten Kosten durch die Notwendigkeit, die Sicherheitslücken zu schließen und die Systeme zu verbessern, um zukünftige Angriffe zu verhindern. Hinzu kommen die Kosten für die Benachrichtigung der betroffenen Kunden, die Bereitstellung von Überwachungsdiensten für Kreditberichte zur Minderung von Schäden sowie potenzielle Entschädigungen für die Opfer. In einigen Fällen können Unternehmen auch mit erheblichen Strafen konfrontiert sein, wenn festgestellt wird, dass sie fahrlässig gehandelt haben oder nicht ausreichend in den Schutz der ihnen anvertrauten Daten investiert haben.

 

KI als Herausforderung für die Cybersicherheit

Die Entwicklung der KI hat die Landschaft der Cybersicherheit grundlegend verändert. Einerseits nutzen Cyberkriminelle zunehmend KI-gestützte Techniken, um ausgeklügelte Phishing-Angriffe durchzuführen und Sicherheitsmaßnahmen zu umgehen. KI-Systeme können dazu eingesetzt werden, Angriffe zu automatisieren und zu personalisieren, was ihre Erfolgsrate erhöht.

Andererseits bietet KI auch leistungsstarke Werkzeuge zur Abwehr von Cyberangriffen. Durch die Analyse großer Datenmengen kann KI ungewöhnliche Muster erkennen, die auf eine Sicherheitsbedrohung hinweisen könnten, und automatisch Gegenmaßnahmen einleiten. Die Herausforderung besteht darin, KI-Systeme effektiv zu implementieren, um die Sicherheit zu verbessern, ohne dabei die Betriebsabläufe zu beeinträchtigen.

Um KI effektiv gegen Cyberangriffe einzusetzen, müssen Unternehmen in fortschrittliche Sicherheitssysteme investieren, die in der Lage sind, kontinuierliches Lernen und Anpassung zu unterstützen. Dies beinhaltet die Schulung der KI-Modelle mit aktuellen Bedrohungsdaten und die Implementierung von Systemen, die in der Lage sind, autonom auf erkannte Bedrohungen zu reagieren. Darüber hinaus ist es entscheidend, das Bewusstsein und die Ausbildung der Mitarbeiter bezüglich Cybersicherheitspraktiken kontinuierlich zu verbessern, da menschliche Fehler oft Einfallstore für Cyberangriffe darstellen.

 

 

Aussicht

Experten prognostizieren eine weitere Zunahme von Cyberangriffen auf Unternehmen, getrieben durch die fortlaufende Digitalisierung und die zunehmende Verwendung von KI durch sowohl Verteidiger als auch Angreifer. Um diesen Herausforderungen zu begegnen, müssen Unternehmen ihre Sicherheitsstrategien kontinuierlich evaluieren und anpassen. Dies beinhaltet die Investition in fortschrittliche Technologien, die Stärkung der organisatorischen Resilienz und die Schaffung einer Kultur der Cybersicherheit, die Mitarbeiter auf allen Ebenen einbezieht.

Die finanziellen Risiken, die mit Cyberangriffen verbunden sind, können gravierend sein, aber durch proaktive Maßnahmen und die effektive Nutzung von Technologien wie KI können Unternehmen ihre Anfälligkeit verringern und sich in der sich ständig verändernden Landschaft der Cybersicherheit behaupten.

 

„>

 
 
 

 

 

 

Die Schnittstelle zwischen der Welt der künstlichen Intelligenz (KI) und dem Umgang mit personenbezogenen Daten ist beträchtlich. Gerade Systeme, die eigenständig lernen, müssen in der Regel auf umfangreiche Datensätze zu greifen. Diese Systeme sind in der Lage, selbstständig Entscheidungen zu fällen, was jedoch das Risiko für die persönlichen Rechte und Freiheiten der Dateninhaber erhöht.

Mit der Einführung der Datenschutz-Grundverordnung (DSGVO) in der EU sind auch spezifische Regelungen in Kraft getreten, die den Einsatz künstlicher Intelligenz betreffen. Demzufolge ist der Schutz personenbezogener Daten ein essenzieller Faktor beim Einsatz von KI-Technologien. Dies gilt ganz unabhängig von den derzeitigen Plänen des EU-Parlaments zur KI-Regulierung.

 

Das Wichtigste in Kürze

  • Neben vielen Vorteilen birgt der Einsatz von Künstlicher Intelligenz auch Risiken für die Rechte der von der Verarbeitung betroffenen Personen.
  • Der Anwendungsbereich der DSGVO ist eröffnet, sobald durch die KI personenbezogene Daten verarbeitet werden.
  • Bestenfalls sollte eine Anonymisierung aller relevanten personenbezogenen Daten erfolgen.

 

Datenschutzrechtliche Probleme im Zusammenhang mit künstlicher Intelligenz

Ein deutliches Spannungsverhältnis zeichnet sich zwischen der Anwendung von Künstlicher Intelligenz und den Anforderungen des Datenschutzes ab. Die Effektivität von KI-Systemen hängt unmittelbar von der Qualität und dem Umfang der Daten ab, die zur Verfügung stehen. Um fortschrittliche und leistungsstarke KI zu entwickeln, ist die Verarbeitung großer Datenmengen unumgänglich. Dabei kommt es häufig zur Einbeziehung personenbezogener Informationen, deren Verarbeitung gemäß den strikten Vorgaben der DSGVO reguliert ist.

Die Bedeutung von künstlicher Intelligenz sowie die Wichtigkeit des Schutzes persönlicher Daten haben in jüngerer Vergangenheit zunehmend an Beachtung gewonnen.

Im unternehmerischen Alltag sind viele Anwendungsszenarien denkbar, wie KI-gestützte Systeme hilfreich sein können. Sei es im Kundensupport für die automatisierte Beantwortung von Kundenanfragen und Zurverfügungstellung von Informationen über Produkte und Dienstleistungen oder für die Generierung von Inhalten und Entwürfen sowie als virtuelle Assistenten, welche zur Optimierung von Abläufen dienen.

KI-Modelle durchlaufen für ihre Einsatzbereitschaft ein intensives Training, bei dem sie häufig auf frei zugängliche Daten, wie sie im Internet zu finden sind, zurückgreifen. Die Risiken sind dabei nicht zu unterschätzen, denn diese Datenquellen können fehlerhafte sein oder diskriminierende Inhalte enthalten, was sich potenziell in den Ergebnissen, die von der KI produziert werden, widerspiegeln könnte. Darüber hinaus besteht die Möglichkeit, dass die von der KI generierten Ergebnisse personenbezogene Daten enthalten, was datenschutzrechtlich bedenklich ist und für Unternehmen, die nicht alle Vorgaben der Datenschutz-Grundverordnung (DSGVO) einhalten, rechtliche Schwierigkeiten mit sich bringen kann.

 

Tipps für Unternehmen beim Einsatz von künstlicher Intelligenz

Für viele stellt sich die Frage, ob ein datenschutzkonformer Einsatz von KI überhaupt möglich ist. Die Integration von Large Language Models (LLMs) wie ChatGPT in Unternehmensprozesse beispielsweise bietet vielfältige Chancen, bringt jedoch auch wesentliche datenschutzrechtliche Verpflichtungen mit sich. Large Language Models sind große generative Sprachmodelle mit Künstlicher Intelligenz, die mit riesigen Mengen an Textdaten vortrainiert sind.

Um diese Technologie konform mit den Datenschutzgesetzen zu nutzen, sollten Unternehmen einige Punkte beachten.

Zuallererst muss ein Unternehmen sicherstellen, dass die Datenverarbeitung durch LLMs rechtmäßig erfolgt. Dies bedeutet, dass die Verarbeitung der Daten einen rechtlichen Rahmen hat, der beispielsweise durch Einwilligungen oder gesetzliche Erlaubnistatbestände gegeben ist.

Ein weiterer essenzieller Schritt ist der Abschluss eines Auftragsverarbeitungsvertrages mit dem Anbieter des LLMs. Dieser Vertrag regelt insbesondere die Verantwortlichkeiten in Bezug auf den Datenschutz und sollte gegebenenfalls auch Standardvertragsklauseln enthalten, wenn Daten in Drittländer übertragen werden.

Vor der Einführung eines LLMs sollten Unternehmen eine Datenschutzfolgenabschätzung (DSFA) und ein Transfer Impact Assessment (TIA) durchführen. Diese Assessments dienen dazu, die Risiken der Datenverarbeitung zu bewerten und entsprechende Maßnahmen zu ihrer Minimierung zu dokumentieren.

Der Einsatz des Dienstes muss in der Datenschutzerklärung des Unternehmens transparent gemacht und im Verzeichnis für Verarbeitungstätigkeiten dokumentiert werden, um den Transparenzpflichten nachzukommen.

Es ist darauf zu achten, dass bei der Nutzung von LLMs keine personenbezogenen Daten offengelegt werden. Unternehmensinterne Daten müssen daher vor der Eingabe anonymisiert werden.

Zudem müssen adäquate Maßnahmen ergriffen werden, um die Sicherheit der Datenverarbeitung zu gewährleisten. Beispielsweise sollte bei der Nutzung von ChatGPT eingestellt werden, dass die Daten nicht für Trainingszwecke genutzt werden dürfen.

Diese Anleitung soll Unternehmen dabei unterstützen, den Einsatz von LLMs wie ChatGPT möglichst rechtssicher und verantwortungsvoll zu gestalten. Abschließende Rechtssicherheit wird man jedoch nicht erlangen können. Es ist von höchster Bedeutung, dass diese Schritte sorgfältig umgesetzt werden, um den Schutz personenbezogener Daten zu gewährleisten und die Compliance mit den gesetzlichen Datenschutzanforderungen zu sichern.

 

KI aus Sicht der Aufsichtsbehörden

Im Frühjahr 2023 untersagte die italienische Datenschutzbehörde (GPDP) vorübergehend die Datenverarbeitung italienischer Bürger durch OpenAI, das für ChatGPT verantwortlich ist. Die Behörde äußerte Bedenken hinsichtlich der Gültigkeit der rechtlichen Grundlage für die Verarbeitung personenbezogener Daten zur Algorithmus-Schulung und bemängelte die unvollständige Erfüllung von Informationspflichten. Der inkorrekte Umgang mit personenbezogenen Daten durch ChatGPT wurde ebenfalls problematisiert.

Ein weiteres Problem war das Fehlen einer Altersverifizierung, obwohl die Dienstleistungen von OpenAI gemäß den Nutzungsbedingungen erst ab 13 Jahren zugänglich sind, was zu potenziell altersunangemessenen Inhalten für jüngere Kinder führen könnte.

ChatGPT ist inzwischen wieder zugänglich für die italienische Bevölkerung, nachdem OpenAI die Forderungen der italienischen Datenschutzbehörde erfüllt hat: OpenAI musste auf seiner Website eine überarbeitete Datenschutzrichtlinie bereitstellen, die über die Datenverarbeitung und die Rechte der Betroffenen aufklärt.

Ebenso darf das Unternehmen nicht länger die Vertragserfüllung (Art. 6 Absatz 1 lit. b DSGVO) als Rechtsgrundlage anführen, sondern muss sich stattdessen auf die Zustimmung der betroffenen Personen oder ihre berechtigten Interessen stützen. OpenAI wurde auferlegt, Verfahren zur Berichtigung und Löschung von Daten sowie zum Widerspruch gegen deren Nutzung sowohl für ChatGPT-Nutzer als auch für Nicht-Nutzer zu implementieren.

Zum Schutz Minderjähriger muss OpenAI zunächst die Volljährigkeit des Nutzers bestätigen und bis September 2023 ein Altersverifikationssystem einrichten, das Minderjährige unter 13 Jahren und solche zwischen 13 und 18 Jahren ohne Zustimmung der Erziehungsberechtigten ausschließt.

Auch in Deutschland gründete die deutsche Datenschutzkonferenz (DSK) im April 2023 eine spezielle KI-Taskforce, welche sich mit dem Thema Künstliche Intelligenz befassen soll.

Als initiale Maßnahme richteten die deutschen Regulierungsinstanzen einen Fragenkatalog an OpenAI, um Einblicke etwa in die Herkunft der Daten und die Algorithmen, die der automatisierten Verarbeitung zugrunde liegen, zu gewinnen. Nachdem die Antwortfrist bereits einmal verlängert wurde, steht die Vorlage der Rückmeldungen durch OpenAI bevor. Auf Basis dieser Informationen planen die deutschen Behörden, eine Datenschutzanalyse von ChatGPT durchzuführen.

 

 

Fazit

Es ist zu erwarten, dass künftige Veränderungen der Gesetzgebung erfolgen werden, um mit der fortschreitenden Integration von künstlicher Intelligenz Schritt zu halten. Dabei stehen in der politischen Diskussion häufig die Gefahren von besonders riskanten Anwendungen mit weitreichenden Folgen und der deshalb erforderlichen Regulierung im Vordergrund. Die KI bietet jedoch auch erheblich praktische Vorteile, wie etwa die Verbesserung und Erkennung von Cybersecurity-Bedrohungen. Darüber hinaus können Unternehmen von der Effizienzsteigerung ihrer Prozesse durch den Einsatz künstlicher Intelligenz profitieren. Die Prognose, wie sich die Anwendung von KI entwickeln wird, gestaltet sich schwierig, da viele Aspekte noch im Unklaren liegen und wohl erst im Zuge weiterer technologischer Fortschritte konkretisiert werden können.

Obwohl Künstliche Intelligenz bereits in zahlreichen Bereichen Anwendung findet, bliebt es ein Themenfeld mit erheblichem Entwicklungspotenzial für die kommenden Jahre, welches sorgfältig beobachtet werden sollte.

Datenschutz spielt beim Einsatz von KI eine wesentliche Rolle, die auch es auch zukünftig besonders zu beachten gilt. Es ist für Unternehmen daher empfehlenswert, sich frühzeitig mit notwendigen Strategien und Compliance auseinanderzusetzen, um die Konformität ihrer KI-Systeme insbesondere auch mit Datenschutzvorschriften sicherzustellen.

 

„>

 
 
 
 

 

 

 

Aufgrund der Einführung des Home-Office während der Corona-Pandemie sah sich auch die öffentliche Verwaltung gezwungen kurzer Hand Videokonferenzsysteme einzuführen. Dies wurde von vielen Datenschützern, wie etwa dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) kritisiert. Diese Kritik endete schließlich in einem Rechtsstreit mit der Hansestadt Hamburg über den Einsatz von Zoom in der hamburgischen Verwaltung.

Nun gab die Hamburger Datenschutzbehörde mit Pressemitteilung vom 19.09.2023 bekannt, dass das Gerichtsverfahren mit der Senatskanzlei der Freien und Hansestadt Hamburg (FHH) mit einem Vergleich beendet wurde.

 

Das Wichtigste in Kürze

  • Aufgrund von Bedenken in Bezug auf die Datenübermittlung von Zoom in die USA, hatte der HmbBfDI 2021 eine Warnung gegenüber der Staatskanzlei ausgesprochen.
  • Die Hamburger Staatskanzlei reichte gegen die behördliche Maßnahme Klage ein.
  • Aufgrund des Inkrafttretens des EU-US-Privacy Framework im Juli 2023 beendeten die Parteien das Verfahren durch einen Vergleich.
  • Zoom hat bisher nicht erklärt, die Zertifizierungskriterien zur Erfüllung des neuen Angemessenheitsbeschlusses zu erfüllen.

 

Hintergrund

Im August 2021 hat der HmbBfDI eine offizielle Warnung an die Senatskanzlei gerichtet, da diese beabsichtigte die Nutzung von Zoom Inc. in der Hamburger Verwaltung einzusetzen.

Der Ansicht des Hamburgischen Datenschutzbeauftragten nach sei die Nutzung von Zoom als US-amerikanisches Softwareunternehmen für Videokonferenzen mit der Übermittlung personenbezogener Daten in die USA verbunden, wodurch kein ausreichender Schutz für diese Daten bestehe.

Gegen die Warnung erhob die Senatskanzlei im September 2021 Klage vor dem Verwaltungsgericht Hamburg.

 

Änderung der Rechtslage durch den Angemessenheitsbeschluss

Nach dem Schrems II-Urteil des EuGH im Jahr 2020 und dem damit verbundenen Wegfall des Privacy Shields wurde die Rechtsgrundlage für den Datentransfer in die USA aufgrund der Tatsache gekippt, dass US-Geheimdienste umfangreichen Zugriff auf die bei amerikanischen Unternehmen gespeicherten Daten haben und demnach eine Massenüberwachung grundsätzlich ermöglicht wird.

In der Zwischenzeit – am 10.07.2023 – hat die Europäische Kommission einen neuen Angemessenheitsbeschluss („EU-US Data Privacy Framework“) gem. Art. 45 Abs. 1 DSGVO erlassen, der am selben Tag in Kraft getreten ist. Nach diesen aktuellen Entwicklungen ist die Übermittlung personenbezogener Daten in die USA rechtssicher möglich, wenn das verantwortliche Unternehmen eine vom Angemessenheitsbeschluss vorgesehenen Zertifizierung hat.

Angesichts dieser erheblichen Änderung der Rechtslage einigten sich die Aufsichtsbehörde und die Senatskanzlei darauf, den Rechtsstreit gütlich zu beenden. Insbesondere besteht zwischen den Parteien kein Interesse gerichtlich klären zu lassen, ob die ausgesprochene Warnung unter den damaligen rechtlichen Umständen zutreffend war oder nicht.

 

Der EU-US-Privacy Framework ermöglicht Datentransfers an zertifizierte Unternehmen

Der im Juli 2023 veröffentlichte Angemessenheitsbeschluss der Europäischen Kommission gilt derzeit als die Grundlage für die Datenübermittlungen in die USA.

Als Nachfolger des „Privacy-Shields“ attestiert der Angemessenheitsbeschluss ein angemessenes Schutzniveau für Übermittlungen personenbezogener Daten in die USA. Damit wird festgestellt, dass personenbezogene Daten in den USA einen mit dem europäischen Datenschutzrecht vergleichbaren adäquaten Schutz genießen.

Die zentrale Voraussetzung ist eine Zertifizierung des datenempfangenden Unternehmens, wobei es sich um eine Selbstverpflichtung zur Einhaltung verschiedener datenschutzrechtlicher Verpflichtungen handelt. Die Zertifizierung des Empfängerunternehmens in den USA müssen die Exporteure von personenbezogenen Daten zuvor überprüfen (Wir berichteten hier).

 

Ist der Einsatz von Zoom jetzt datenschutzkonform?

Infolgedessen stellt sich nun die Frage, ob der Einsatz von Zoom und ähnlichen Diensten und die damit verbundene Übermittlung von personenbezogenen Daten in die USA aufgrund der neuen Regelungen datenschutzkonform ist.

Formal gesehen, größtenteils ja, denn der EU-US-Privacy Framework bietet eine Grundlage für die Datenübermittlung und aus diesem Grund ist derzeit ein Datentransfer an zertifizierte Unternehmen in den USA problemlos möglich.

Soweit keine Zertifizierung des Unternehmens vorliegt, muss die Datenübermittlung von weiteren Schutzmaßnahmen (sogenannten geeignete Garantien) begleitet werden.

Zwar hat Zoom keine Zertifizierung, jedoch beruft sich das Unternehmen in seinen Geschäftsbedingungen auf die weiterhin bestehenden Standardvertragsklauseln der Europäischen Kommission, welche grundsätzlich auch eine Grundlage für internationale Datentransfers aus dem Europäischen Wirtschaftsraum in Nicht-EWR-Länder bilden. Im Übrigen hat der Hessische Datenschutzbeauftragte bereits im letzten Jahr ein Modell für den Einsatz von Zoom in Hochschulen freigegeben.

 

 

Aussicht

Nur zwei Monate nachdem die EU-Kommission den Angemessenheitsbeschluss erlassen hat, reichte im September der französische Parlamentarier Philippe Latombe, Mitglied der zentristisch-liberalen Partei Mouvment Démocrate, vor dem Europäischen Gerichtshof Klage dagegen ein.

Das EU-US Data Privacy Framework wurde entwickelt, um ein Datenschutzniveau zu etablieren, das „im Wesentlichen gleichartig“ mit der DSGVO ist und somit eine neue Grundlage für den Datentransfer in die USA schafft. Latombe hingegen sieht seine Rechte verletzt, da seiner Ansicht nach das Framework weder mit der DSGVO noch mit der EU-Grundrechtecharta im Einklang steht. Er reicht die Klage als Privatperson ein und strebt eine vorübergehende Aussetzung des Frameworks sowie eine gründliche Überprüfung des Abkommens an.

Auch der Datenschutzverein NOYB, mitbegründet von Datenschutzaktivist Max Schrems, hatte bereits am Tag der Veröffentlichung des Angemessenheitsbeschlusses angekündigt, auch gegen den neuerlichen Beschlussrechtliche Schritte einzuleiten. Schrems hatte bereits erfolgreich gegen die Vorgängerabkommen, Safe Harbour und Privacy Shield, geklagt.

Es ist also davon auszugehen, dass auch der dritte Versuch der EU-Kommission erneut einer Überprüfung durch den EuGH unterzogen wird. Das Ergebnis kann freilich nicht vorweggenommen werden, jedoch sollte bei Datenverarbeitungen, die eine Übermittlung in die USA vorsehen im besten Fall weiterhin auch auf ergänzende Schutzmaßnahmen geachtet werden. Dies gilt insbesondere für Zoom, das sich bislang noch nicht für die Anwendung des Angemessenheitsbeschlusses zertifiziert hat.

 

„>

 
 
 

 

 

 

Nicht erst seit dem Inkrafttreten der Datenschutz-Grundverordnung kommt dem Thema Arbeitnehmerdatenschutz eine große Bedeutung zu. Ziel des Arbeitnehmerdatenschutzes ist es, das Persönlichkeitsrecht der Arbeitnehmer und Bewerber zu schützen. Aus diesem Grund muss die Erhebung, Speicherung und Verwendung von Arbeitnehmerdaten stets in einem zulässigen Zusammenhang mit dem Beschäftigungsverhältnis erfolgen. So muss die Erhebung personenbezogener Daten der Arbeitnehmer entsprechend dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) grundsätzlich auf ein Minimum reduziert werden. Zudem dürfen einmal erhobene Daten nicht zu jedem beliebigen Zweck weiterverarbeitet werden. Verstöße gegen den Datenschutz der Beschäftigten können mit empfindlichen Bußgeldern sanktioniert werden. Erst kürzlich erließ die Berliner Beauftragte für Datenschutz und Informationsfreiheit einen Bußgeldbescheid in Höhe von satten 215.000 Euro gegen ein Unternehmen aufgrund eines datenschutzwidrigen Umgangs mit den Daten seiner Beschäftigten.

 

Das Wichtigste in Kürze

  • Für die Entscheidung über die Weiterbeschäftigung oder Kündigung eines Beschäftigten dürfen dessen personenbezogene Daten nur verarbeitet werden, wenn sie einen Rückschluss auf die Leistung und das Verhalten des Arbeitnehmers ermöglichen.
  • Zudem müssen die Daten in einem unmittelbaren Zusammenhang mit dem Beschäftigungsverhältnis stehen.
  • Art. 9 DSGVO, der die Verarbeitung besonders schutzwürdiger Kategorien personenbezogener Daten regelt, ist zu beachten.

 

Liste mit persönlichen Informationen von Mitarbeitern in der Probezeit

Die Geschäftsleitung des betroffenen Unternehmens wies im Jahr 2021 eine Vorgesetzte an, eine tabellarische Übersicht sämtlicher in der Probezeit beschäftigten Mitarbeiter anzulegen und zu führen. Die in diesem Zusammenhang gesammelten Daten sollten zur Vorbereitung möglicher Kündigungen bis zum Ende der Probezeit dienen. Neben der Erfassung sämtlicher in Probezeit beschäftigter Mitarbeiter enthielt die Liste weitere Informationen sowie eine Bewertung im Hinblick auf eine mögliche Weiterbeschäftigung. Hierbei wurde die potenzielle Weiterbeschäftigung von 11 Personen als kritisch bzw. sehr kritisch eingestuft und die Einstufung mit einer Begründung versehen. Diese beinhalteten persönliche Äußerungen der Mitarbeiter sowie gesundheitliche und außerbetriebliche Gründe, die einer flexiblen Schichteinteilung entgegenstünden. Daneben wurde ein potenzielles Interesse an der Gründung eines Betriebsrats sowie die Inanspruchnahme psychotherapeutischer Behandlung dokumentiert. Die gesammelten Informationen wurden in den meisten Fällen von den Beschäftigten zum Zwecke der Dienstplanung selbst mitgeteilt. Über eine darüber hinausgehende Verarbeitung wurden die Beschäftigten nicht informiert. Die Berliner Datenschutzbehörde leitete umgehend eine Untersuchung ein, nachdem sie durch Medienberichte und die Beschwerde eines Betroffenen von dem Vorgehen Kenntnis erlangt hatte. Auf eine Berichterstattung des Spiegels hin meldete sich auch das Unternehmen bei der Datenschutzbeauftragten, um zu den Vorwürfen Stellung zu nehmen.

 

Bußgeldbescheid der Berliner Datenschutzbehörde

Nach einer umfassenden Prüfung kam die Behörde zu dem Ergebnis, dass das Vorgehen rechtswidrig war und erließ einen Bußgeldbescheid in Höhe von 215.000 Euro. Im Rahmen ihrer Untersuchungen stellte die Behörde fest, dass die Erhebung, Speicherung und Verarbeitung der personenbezogenen Daten zum Zwecke der Vorbereitung von Kündigungen zum Ende der Probezeit im konkreten Fall datenschutzwidrig war. Insbesondere habe das Unternehmen durch die Führung der Liste mit den genannten Informationen gegen Art. 9 DSGVO verstoßen, da es besonders sensible personenbezogene Daten seiner Beschäftigten verarbeitet hat, ohne dass hierfür eine Rechtsgrundlage bestand.

 

Verarbeitung von Beschäftigtendaten zur Vorbereitung von personellen Maßnahmen

Grundsätzlich dürfen Arbeitgeber personenbezogene Daten im Zusammenhang mit der Entscheidung über die Weiterbeschäftigung von Arbeitnehmern in einem zulässigen Rahmen verarbeiten. Allerdings muss die Datenverarbeitung für diesen Zweck geeignet und erforderlich sein. Zudem ist Art. 9 DSGVO zu beachten, der die Verarbeitung besonders schutzwürdiger Kategorien personenbezogener Daten regelt, die nur in Ausnahmefällen verarbeitet werden dürfen. Hierunter fallen unter anderem auch die im konkreten Fall relevante Gewerkschaftszugehörigkeit sowie Informationen zum Gesundheitszustand einer Person. Auch bei einer Verarbeitung personenbezogener Informationen, die vom Beschäftigten selbst mitgeteilt werden, ist zu prüfen, ob diese erforderlich und angemessen ist. Für den Fall der Entscheidung über die Weiterbeschäftigung oder Kündigung eines Beschäftigten gilt, dass seine Daten nur verarbeitet werden dürfen, wenn sie einen Rückschluss auf die Leistung und das Verhalten des Arbeitnehmers ermöglichen. Zudem müssen diese in einem unmittelbaren Zusammenhang mit dem Beschäftigungsverhältnis stehen.

 

Ahndung drei weiterer Verstöße

Neben der Sanktion des genannten Verstoßes erließ die Behörde drei weitere Bußgelder in Höhe von insgesamt rund 40.000 Euro aufgrund von weiteren Verstößen. Zum einen versäumte das Unternehmen es den betrieblichen Datenschutzbeauftragten an der Erstellung der Liste zu beteiligen. Zum anderen soll das Unternehmen eine Datenpanne verspätet gemeldet haben. Zudem hat die Behörde moniert, dass die Liste nicht im Verarbeitungsverzeichnis erfasst wurde.

 

 

Fazit

Der Fall zeigt eindrücklich wie wichtig es ist den Datenschutz stets ernst zu nehmen und vollumfänglich zu berücksichtigen. Dies gilt umso mehr, wenn im Zusammenhang mit Personalmaßnahmen besonders sensible Beschäftigtendaten verarbeitet werden sollen. Auch wenn die DSGVO keine ausdrückliche Pflicht zur Datenschutz-Schulung von Mitarbeitern vorsehen mag, ergibt sich dennoch die Notwendigkeit zur Sensibilisierung und Schulung der Mitarbeiter. Schulungen der Mitarbeiter in Sachen Datenschutz tragen dazu bei, Datenschutzverstöße zu vermeiden, die zu behördlichen Aufsichtsmaßnahmen und empfindlichen Sanktionen führen können. Gemäß Art. 83 DSGVO können die Aufsichtsbehörden bis zu 20 Millionen Euro oder von bis zu vier Prozent des gesamten weltweit erzielten Vorjahresumsatzes (je nachdem welcher der höhere Betrag ist) verhängen. Bei der Bemessung der Bußgeldhöhe im vorliegenden Fall hat die Berliner Beauftragte unter anderem den Umsatz des Unternehmens sowie die Zahl der betroffenen Beschäftigten berücksichtigt. Zudem fiel die Tatsache, dass es sich um eine rechtswidrige Verarbeitung besonders sensibler Daten handelte, besonders ins Gewicht. Bußgeldmindernd wurde berücksichtigt, dass das Unternehmen sich kooperativ gezeigt hat und den Verstoß nach Bekanntwerden in den Medien unaufgefordert abgestellt hat.

 

„>

 
 
 

 

 

 

Anbieter digitaler Dienste wie Google, Amazon, Facebook und Co. sind heutzutage nicht mehr wegzudenken. Die Online-Plattformen bringen große Vorteile sowohl für Verbraucher als auch für Unternehmer. Sie erleichtern den grenzüberschreitenden Handel, ermöglichen den Informationsaustausch und eröffnen vor allem für europäische Unternehmen neue Geschäftsmöglichkeiten. Gleichzeitig werden sie aber auch für die Verbreitung illegaler Inhalte, den Verkauf illegaler Ware oder die Bereitstellung illegaler Dienstleistungen missbraucht. Um die Risiken für Plattformnutzer einzudämmen und Wettbewerbsnachteile für Mitbewerbern einzudämmen, hat die EU das Gesetz über digitale Dienste (Digital Services Act, kurz: DSA) erlassen. Sehr große Online-Plattformen hatten bis zum 25. August 2023 Zeit, um die Verpflichtungen aus dem DSA zu erfüllen.

 

Das Wichtigste in Kürze

  • Der Digital Services Act soll in Zukunft die Aktivitäten von Anbietern digitaler Dienste innerhalb der EU einheitlich regeln.
  • Als EU-Verordnung gilt der DSA unmittelbar in allen EU-Mitgliedstaaten, ohne dass es einer weiteren nationale Umsetzung durch die EU-Mitgliedstaaten bedarf.
  • Ziel ist die Schaffung eines sicheren digitalen Raums, in dem die Grundrechte der Verbraucher geschützt werden und gleiche Wettbewerbsbedingungen für Unternehmen gelten.
  • Sehr große Online-Plattformen und -Suchmaschinen waren verpflichtet, die Pflichten aus dem DSA bereits bis zum 25. August 2023 umzusetzen.

 

Ziel des neuen Gesetzes

Der Digital Services Act baut auf den Vorschriften der Richtlinie über den elektronischen Geschäftsverkehr auf und soll die besonderen Probleme, die im Zusammenhang mit Online-Plattformen und Suchmaschinen auftreten, regeln. Das Gesetz soll den Verbraucherschutz im Internet stärken und die Einhaltung der Grundrechte und Grundfreiheiten im Internet gewährleisten sowie einen einheitlichen Rahmen in der gesamten EU bieten. In diesem Zusammenhang sollen illegale Inhalte und Desinformationen weitmöglichst reduziert werden.

 

Anbieter von Online-Vermittlungsdiensten als Adressaten

Die Regelungen des Digital Services Act gelten generell für alle Anbieter von Online-Diensten und zwar auch solche, die zwar keinen Sitz innerhalb der EU haben, aber innerhalb der EU den Zugang zu Waren, Dienstleistungen und anderen Inhalten ermöglichen. Auch Hosting-Dienste wie Anbieter von Cloud-Diensten sind von den Regelungen betroffen. Sehr große Online-Plattformen wie beispielsweise Facebook, Instagram oder Twitter und sehr große Suchmaschinen wie Google unterliegen einer strengeren Regulierung und müssen zusätzliche Verpflichtungen erfüllen. Als „sehr große Online-Plattformen“ gelten nach dem DSA solche, die monatlich mindestens 45 Millionen aktive Nutzer innerhalb der EU erreichen. Diese werden durch die EU-Kommission ermittelt.

 

Neue Pflichten für Anbieter digitaler Dienste

Der DSA enthält neben Sorgfalts- und Transparenzpflichten Durchsetzungsmechanismen, wozu auch Bußgelder gehören. Als EU-Verordnung ist er in allen EU-Mitgliedstaaten unmittelbar anwendbar, ohne dass es eines zusätzlichen Umsetzungsakts bedarf. Nachdem das Gesetz am 27. Oktober 2022 im Amtsblatt der EU veröffentlicht wurde, ist es am 16. November 2022 in Kraft getreten. Die Umsetzung der Vorgaben des neuen Gesetzes muss spätestens bis zum 17. Februar 2024 erfolgt sein. Für Anbieter sehr großer Online-Plattformen und Suchmaschinen im Sinne des DSA hat diese bereits 4 Monaten nach Benennung durch die Kommission, wenn diese vor dem 17. Februar 2024 erfolgt, Geltung. Sehr große Plattformen waren verpflichtet, die Zahl ihrer aktiven Nutzer bis zum 17. Februar 2023 zu veröffentlichen. Auf Basis der veröffentlichten Nutzerzahlen hat die EU-Kommission bereits am 25. April 2023 die sehr großen Online-Plattformen und -Suchmaschinen gemäß dem DSA ermittelt und eine Liste veröffentlicht. Betroffen sind 17 Plattformen und 2 Suchmaschinen, darunter unter anderem Amazon, Bing, Apple, Unternehmen von Google und Meta sowie das chinesische Unternehmen Alibaba. Diese hatten bis zum 25. August 2023 Zeit, um die Verpflichtungen aus dem DSA zu erfüllen.

 

Verpflichtungen für alle Anbieter von Vermittlungsdiensten

  • Alle Anbieter von Vermittlungsdiensten sind verpflichtet, jährliche Transparenzberichte über das Lösch- und Sperrverhalten zu veröffentlichen. Für Online-Plattformen und für sehr große Online-Plattformen gelten gesteigerte Berichtspflichten.
  • Zudem müssen die Anbieter eine Kontaktstelle für Behörden und Nutzer bereitstellen.
  • Die Anbieter sind ferner verpflichtet, die Ausführung von Anordnungen zum Vorgehen gegen rechtswidrige Inhalte, die durch nationale Behörden ergangen sind, unverzüglich mitzuteilen.
  • Darüber hinaus müssen die Allgemeinen Geschäftsbedingungen in klarer, verständlicher und benutzerfreundlicher Sprache angeben, welche Beschränkungen und Moderationsmaßnahmen für Nutzerinhalte gelten und über wesentliche Änderungen der AGB informieren.

 

Weitere Pflichten für Anbieter von Hosting-Diensten

Sofern es sich um einen Anbieter von Hosting-Diensten handelt, d.h. sobald Nutzerdaten und -inhalte gespeichert werden, gelten gesteigerte Pflichten.

  • Diese umfassen insbesondere die Pflicht zur Meldung beim Verdacht der Begehung von Straftaten durch die veröffentlichten Inhalte der Nutzer sowie die Bereitstellung erforderlicher Informationen.
  • Ferner sind die Anbieter zur Einrichtung eines sog. Notice-and-action-Systems verpflichtet, das Nutzern sowie Dritten die Meldung rechtswidriger Inhalte ermöglicht.
  • Darüber hinaus müssen Beschränkungen für Nutzer, die rechtswidrige oder den Nutzungsbedingungen widersprechende Inhalte veröffentlicht haben, begründet werden.

 

Deutlich erhöhte Pflichten für Online-Plattformen

Für Online-Plattformen kommen weitere erhebliche Pflichten hinzu.

  • Anbieter müssen Beschwerde- und Rechtsbehelfsmechanismen schaffen, die es Nutzern ermöglichen, illegale Ware, Dienstleistungen oder Inhalte einfacher zu melden und Entscheidungen der Plattform über entfernte illegale Inhalte anzufechten.
  • Außergerichtliche Streitbeilegung muss im Zusammenhang mit Entscheidungen der Plattform über die Sperrung von Inhalten möglich sein und die Nutzer über diese Möglichkeit informiert werden.
  • Daneben werden die Online-Plattformbetreiber zu mehr Transparenz verpflichtet, indem das Gesetz umfangreiche Informationen über die Algorithmen, die für die Empfehlung von Inhalten oder Produkten an Nutzer verwendet werden, verlangt.
  • Nutzer, die regelmäßig offensichtlich illegale Inhalte bereitstellen, müssen nach vorheriger Warnung gesperrt werden.
  • Weiterhin soll durch die Pflicht zur Kennzeichnung jeglicher Werbung auf den Online-Plattformen Transparenz geschaffen werden. Der Einsatz von Dark Patterns, bei denen Nutzer durch gezieltes Design oder Vorschläge zu bestimmten Entscheidungen gebracht werden sollen, ist unzulässig. Auch die Ablehnung von Cookies darf nicht schwieriger sein als die Erteilung der Zustimmung. Verboten sind auch Werbemaßnahmen, die sich gezielt an bestimmte Zielgruppen wie zum Beispiel Minderjährige richten (sog. Targeted Ads).
  • Neben der allgemeinen Transparenzberichtspflicht ist über die Anzahl und Umsetzung von Streitigkeiten vor der Streitbeilegungsstelle, die Schließungen von Nutzerkonten sowie halbjährlich über die Anzahl der monatlich aktiven Nutzer zu berichten.
  • Zudem gibt es einige Sondervorschriften (Art. 29-32 DSA) für solche Online-Plattformen, die Verbrauchern den Abschluss von Fernabsatzverträgen mit dritten Unternehmern ermöglichen (sog. Online-Marktplätze).

 

Noch umfassendere Pflichten für sehr große Anbieter

Aufgrund der erheblichen zusätzlichen Risiken, die mit der umfangreichen Nutzung sehr großer Online-Vermittlungsdienste und -Suchmaschinen einhergehen, treten für die Anbieter solcher Dienste noch einmal umfassendere Pflichten hinzu.

  • Insbesondere besteht nach dem DSA die Pflicht zur Durchführung einer jährlichen Risikobewertung. Dabei muss unter anderem überprüft werden, ob die Dienste negative Auswirkungen auf die Ausübung von Grundrechten wie zum Beispiel die Meinungs- und Informationsfreiheit durch die Nutzer haben.
  • Zudem sollen die Plattformen und Suchmaschinen jährlich einer externen unabhängigen Überprüfung unterzogen werden, welche der Einhaltung der Bestimmungen dient und systematische Risiken für die Nutzer analysiert. In diesem Zusammenhang sind die Anbieter verpflichtet, der EU-Kommission sowie dem jeweiligen Koordinator für digitale Dienste am Niederlassungsort Zugang zu den relevanten Daten zu gewähren. Die EU-Kommission ist für die Aufsicht über sehr große Online-Plattformen mit über 45 Millionen monatlich aktiven Nutzern in der EU zuständig. Die Rolle des Koordinators für digitale Dienste fällt in Deutschland der Bundesnetzagentur zu.
  • Weiterhin müssen die Nutzer darüber belehrt werden, dass sie die Möglichkeit haben, sich gegen Profiling-basierte Produktempfehlungen zu entscheiden.
  • Onlinewerbung auf sehr großen Online-Plattformen und -Suchmaschinen muss für mindestens ein Jahr archiviert werden.
  • In den geforderten Transparenzberichten müssen zusätzliche Informationen zu den Personen, die zur Moderation von Inhalten eingesetzten werden, sowie die durchschnittlichen monatlichen Nutzerzahlen aufgeschlüsselt nach Mitgliedsstaat enthalten sein.

 

Privilegierung von Kleinst- und Kleinunternehmen

Kleinst- und Kleinunternehmer, d.h. Unternehmen, die weniger als 50 Mitarbeiter beschäftigen und einen Jahresumsatz von unter 10 Mio. Euro generieren, sind von den neuen Regelungen nicht betroffen. Für diese gelten jedoch die allgemeinen datenschutzrechtlichen und wettbewerbsrechtlichen Vorgaben.

 

Haftungsprivileg nach dem DSA

Neben den verschärften und teilweise neuen Verpflichtungen enthält der DSA eine Haftungsprivilegierung für die Anbieter von Online-Diensten. Diese entspricht allerdings der bisherigen Rechtslage nach dem Telemediengesetz. Danach gilt, dass die Anbieter von Online-Vermittlungsdiensten nicht haften, wenn sie keine tatsächliche Kenntnis von rechtswidrigen Inhalten der Nutzer haben oder wenn sie diese Inhalte unverzüglich entfernen, sobald sie Kenntnis davon erlangen.

 

 

Fazit

Es bleibt abzuwarten, wie sich die rechtlichen Neuerungen in der Praxis auswirken werden. Unternehmen wie Facebook und TikTok sind bereits aktiv geworden und haben erste Maßnahmen veranlasst. Amazon und Zalando wollen die neuen Regeln nicht einfach so hinnehmen und haben Klagen eingereicht, da sie ihrer Auffassung nach zu Unrecht als sehr große Online-Plattformen im Sinne des DSA eingestuft worden seien und die Vorgaben für sie als Händler nicht gelten. Vor diesem Hintergrund ist nicht auszuschließen, dass auch andere Plattformen sich gerichtlich wehren könnten. Feststeht, dass alle größeren Unternehmen, die Online-Vermittlungsdienste anbieten, d. h. nicht nur die „Big Player“ mit einem erhöhten Compliance-Aufwand rechnen müssen. Denn das Gesetz adressiert grundsätzlich alle Anbieter digitaler Dienste und enthält nur für die Kleinst- und Kleinunternehmen eine Ausnahme. Anbieter sollten demnach proaktiv handeln und sich mit den neuen Verpflichtungen auseinandersetzen, um den rechtlichen Anforderungen gerecht zu werden. Andernfalls drohen Sanktionen, insbesondere Bußgelder in Höhe von bis zu 6 Prozent des weltweit erzielten Vorjahresumsatzes.

 

„>

 
 
 

 

 

 

Als Grundlage des globalen offenen Internets hat grenzüberschreitender Datentransfer eine große Bedeutung und ist vor allem im unternehmerischen Bereich oftmals unabdingbar. Insbesondere, da viele europäische Unternehmen auf Dienstleister zurückgreifen, die ihren Sitz in den USA haben. Doch spätestens seit dem Schrems II-Urteil, in dem der Europäische Gerichtshof (EuGH) der Übermittlung personenbezogener Daten aus der EU in die USA die verlässliche und rechtssichere Grundlage entzogen hat, gestaltet sich dieser Transfer problematisch. Nun erließ die irische Datenschutzbehörde (Data Protection Commission, kurz: DPC) nach einem langjährigen Verfahren einen Bußgeldbescheid in Höhe von rund 1,2 Milliarden Euro gegen Meta Platforms Ireland Limited wegen des rechtswidrigen Datentransfers in die USA. Es handelt sich um das bisher höchste DSGVO-Bußgeld, das aufgrund von Datenschutzverstößen ausgesprochen wurde.

 

Das Wichtigste in Kürze

  • Am 12. Mai 2023 veröffentlichte die DPC ihre endgültige Entscheidung, die das Ergebnis eines Streitbeilegungsverfahrens vor dem EDSA abbildet.
  • Die Übermittlung personenbezogener Daten der Facebook-Nutzer aus dem EWR in die USA ist rechtswidrig.
  • Neben dem Rekordbußgeld, ist Meta verpflichtet jede weitere datenschutzwidrige Übermittlung binnen 5 Monaten auszusetzen.
  • Der rechtswidrige Zustand im Hinblick auf die bereits übermittelten Daten der Facebook-Nutzer aus dem EWR in die USA einschließlich der Speicherung in den USA ist binnen 6 Monaten zu beenden.

 

Schrems Datenschutzbeschwerde aus dem Jahr 2013

Nachdem Edward Snowden 2013 die Massenüberwachungspraxis der US-Regierung aufgedeckt hatte, brachte Max Schrems im selben Jahr eine Beschwerde bei der irischen Datenschutzbehörde gegen Facebook Ireland (jetzt Meta Platforms Ireland) ein. Grund dafür war die datenschutzwidrige Übermittlung personenbezogener Daten von Facebook-Nutzern aus der EU auf die US-Server des Konzerns. Schrems machte geltend, dass in den USA aufgrund der umfassenden Zugriffsbefugnisse der US-Nachrichtendienste unter anderem aus dem Foreign Surveillance Act (FISA) kein angemessenes Datenschutzniveau herrsche, sodass die Übertragung einschließlich der Speicherung personenbezogener Daten der europäischen Nutzer rechtswidrig sei.

 

DPC bleibt jahrelang untätig

Nachdem die DPC die ursprüngliche Beschwerde zurückgewiesen hat, zog der Datenschutzaktivist mehrfach vor den Europäschen Gerichtshof und erreichte zwei grundlegende Entscheidungen. So wurde mit dem ersten Urteil das Safe Harbor-Abkommen, das bis dahin als Rechtsgrundlage für den transatlantischen Datentransfer galt, für ungültig erklärt. Einige Jahre später kippte der EuGH in seiner Schrems II-Entscheidung auch das Nachfolgeabkommen, den EU-US-Privacy Shield.

 

Entscheidungsentwurf der DPC

Nach einer umfassenden Untersuchung, die im Anschluss an das Schrems II-Urteil im August 2020 eingeleitet wurde, erstellte die DPC am 6. Juli 2022 einen Entscheidungsentwurf. In diesem wurde insbesondere festgestellt, dass die beschwerdegegenständlichen Datenübermittlungen unter Verstoß gegen Art. 46 Abs. 1 DSGVO erfolgt sind und daher ausgesetzt werden müssen.

 

Uneinigkeit der europäischen Datenschutzaufsichtsbehörden

Da die Datenverarbeitung durch Meta auch Nutzer aus anderen Mitgliedsstaaten des Europäischen Wirtschaftsraumes bzw. der EU betrifft, durften auch die jeweiligen nationalen Aufsichtsbehörden an der Entscheidungsfindung mitwirken. Daher wurde der Entscheidungsentwurf der irischen Datenschutzbehörde als federführende Behörde auch den übrigen EU-Aufsichtsbehörden vorgelegt. Diese äußerten erhebliche Einwände, insbesondere, da die irische Behörde in ihrer Entscheidung von einem Bußgeld absah. Weil die Behörden keine Einigung im Hinblick auf den Inhalt der Entscheidung erzielen konnten, fasste der Europäische Datenschutzausschuss im Streitbeilegungsverfahren einen verbindlichen Beschluss. Mit diesem hob er die Entscheidung der DPC weitgehend auf und verpflichtete die irische Behörde zur Verhängung einer Geldbuße unter Berücksichtigung des Art. 83 DSGVO und zur Anordnung von Abhilfemaßnahmen. Am 12. Mai 2023 veröffentlichte die irische Datenschutzaufsicht ihre endgültige Entscheidung, die sie auf Grundlage des Beschlusses des EDSA gefasst hat.

 

Endgültige Entscheidung des DPC

In ihrer endgültigen Entscheidung stellt die Behörde fest, dass die Übermittlung personenbezogener Daten europäischer Facebook-Nutzer an Meta Platforms Inc. mit Sitz in den USA entgegen Art. 46 Abs. 1 DSGVO erfolgt. Konkret soll das in Irland ansässige Tochterunternehmen die Daten der Facebook-Nutzer nicht ausreichend vor Zugriffen durch US-Behörden schützen.

Nach Art. 46 Abs. 1 DSGVO ist ein Datentransfer in ein Drittland, für das kein Angemessenheitsbeschluss der EU-Kommission vorliegt, nur dann rechtmäßig, wenn geeignete Garantien zum Schutz der personenbezogenen Daten vorliegen. Solche „geeigneten Garantien“ bestehen unter anderem im Abschluss der Standarddatenschutzklauseln der EU-Kommission (engl. Standard Contractual Clauses, kurz: SCC) (Mehr dazu lesen Sie hier).

Nach der Aufhebung des Privacy Shield durch den EuGH hat Meta die stattfindenden Datenübertragungen zwar auf die SCC der EU-Kommission sowie auf konzerninterne Vereinbarungen gestützt. Der EDSA und schließlich auch die irische Datenschutzbehörde befanden jedoch, dass weder die verwendeten SCC noch die zusätzlich ergriffenen Maßnahmen ausreichend seien, um die vom EuGH festgestellten Risiken zu beseitigen, da der US-Regierung nach der Rechtslage in den USA weiterhin weitreichende Zugriffsmöglichkeiten zustünden.

Aus diesem Grund wurde Meta verpflichtet, weitere Datenübermittlungen innerhalb von 5 Monaten auszusetzen und die Verarbeitungsvorgänge mit dem europäischen Datenschutzrecht in Einklang zu bringen. Der rechtswidrige Zustand im Hinblick auf die bereits übermittelten Daten der Facebook-Nutzer aus dem EWR in die USA einschließlich der Speicherung in den USA ist laut Anordnung binnen 6 Monaten zu beenden. Meta steht es laut Anordnung frei, ob sie diese vollständig löscht oder zurück auf Server im EWR überträgt, solange dadurch ein Zugriff durch US-Behörden ausgeschlossen werden kann. Zudem verhängte die DPC ein Bußgeld in Höhe von umgerechnet 1,2 Milliarden Euro und damit das bisher höchste Bußgeld, das aufgrund von Datenschutzverstößen ausgesprochen wurde.

 

 

Ausblick

Meta hat bereits angekündigt, gegen die Entscheidung vorzugehen (Zu der Stellungnahme gelangen Sie hier). Angesichts der hohen Anforderungen, die der EuGH in seinem Schrems II-Urteil an die Datenübermittlung in die USA gestellt hat, ist es allerdings unwahrscheinlich, dass das Unternehmen damit Erfolg haben wird. Da Europa dem Konzern gleich nach den USA die meisten Einnahmen einbringt, scheint es allerdings auch eher unwahrscheinlich, dass Meta seine Dienste in Europa einstellen wird. Insoweit besteht Hoffnung, dass die Daten der europäischen Nutzer zukünftig in der EU verbleiben und nur notwendige Übermittlungen, die allein Kommunikationszwecken dienen, fortgesetzt werden.

Trotz der Tatsache, dass die Entscheidung nur an Meta gerichtet ist, hat sie auch für andere Unternehmen große Bedeutung. Das gilt insbesondere für Unternehmen, die ein Facebook-Unternehmensprofil betreiben (wir berichteten hier) und daher gemeinsam mit Meta für die Datenverarbeitung verantwortlich sind. Solche Unternehmen könnten ebenso für unrechtmäßige Datenübermittlungen haftbar gemacht werden, da sie die Datenverarbeitung wesentlich mitbestimmen. Nach Möglichkeit sollte daher auf solche Profile verzichtet werden.

Die Frage einer rechtssicheren Datenübermittlung in die USA ist von großer praktischer Bedeutung und sorgte in den letzten Jahren für viel Unsicherheiten und Prüfungsaufwand. Insoweit ist es wünschenswert, wenn die politischen Entscheidungsträger der EU und den USA mit dem neuen EU-US-Data Privacy Framework Rechtssicherheit schaffen. Ein angemessenes Datenschutzniveau und insbesondere die Schaffung von Transparenz dürfen dabei jedoch nicht vergessen werden. Da sich der zuständige parlamentarische Ausschuss gegen den aktuellen Entwurf der EU-Kommission ausgesprochen hat (Mehr dazu lesen Sie hier.), könnte sich das Verfahren noch verzögern. Es kann jedoch mit einem Erlass noch in diesem Jahr gerechnet werden.

 

„>

 
 
 

 

 

 

Mithilfe der Pseudonymisierung besteht für Verantwortliche die Möglichkeit, das Risiko einer unbefugten Offenlegung oder einer missbräuchlichen Verwendung personenbezogener Daten zu reduzieren und so Daten in bestimmten Fällen datenschutzkonform weitergeben und analysieren zu können. Ob und in welchem Fall pseudonymisierte Daten in den Anwendungsbereich der Datenschutzgrundverordnung (DSGVO) fallen, kann nicht pauschal beantwortet werden. Mit Urteil vom 26. März 2023 (Rs. T-557/20) hat das Gericht der Europäischen Union (Vorinstanz des EuGH) zum Personenbezug pseudonymisierter Daten Stellung genommen. Er entschied, dass pseudonymisierte Daten, die an einen Dritten übermittelt werden, nicht als personenbezogene Daten anzusehen sind, wenn der Empfänger nicht über die Mittel verfügt, die betroffenen Personen zu re-identifizieren. Auch wenn es sich bei den streitgegenständlichen Normen um solche aus der Datenschutzverordnung für EU-Organe und -Einrichtungen (Verordnung 2018/1725) handelt, sind die Erwägungen aufgrund des Gleichlaufs mit den Normen aus der DSGVO auch für die Verarbeitung pseudonymisierter Daten durch Unternehmen von Bedeutung.

 

Das Wichtigste in Kürze

  • Bei der Pseudonymisierung werden Namen und andere Identifikationsmerkmale durch ein Kennzeichen ersetzt, um die Bestimmung der betroffenen Person zu verhindern bzw. wesentlich zu erschweren.
  • Die betroffenen Personen können jedoch unter Heranziehung zusätzlicher Schlüsselinformationen, die isoliert aufbewahrt werden, wieder identifiziert werden.
  • In diesem Fall gelten die Grundsätze des Datenschutzes so lange wie die Zuordnung von Daten zu einer Person noch möglich und wahrscheinlich ist.
  • Das EuGH hat entschieden, dass bei einem Pseudonym mit relativem Personenbezug dann kein personenbezogenes Datum vorliege, wenn dem Empfänger keine Mittel zur Rückidentifizierung zur Verfügung stehen.

 

Hintergrund

Dem Verfahren liegt eine Klage des Einheitlichen Abwicklungsausschusses (Single Resolution Board, kurz: SRB) gegen zwei Entscheidungen des Europäischen Datenschutzbeauftragten zugrunde. Beim SRB handelt es sich um eine europäische Institution, die die ordnungsgemäße Abwicklung von insolvenzbedrohten Banken gewährleisten soll. Im zu entscheidenden Fall verwendete der SRB in einem Abwicklungsverfahren ein elektronisches Formular, über das berechtigte Anteilseigner und Gläubiger Stellung nehmen konnten und gab die eingegangenen Antworten an ein externes Beratungsunternehmen zur Auswertung weiter. Vor der Weitergabe nahm der SRB eine Pseudonymisierung vor, indem er die Namen aller Befragten durch einen Code ersetzte.

Nachdem der Europäische Datenschutzbeauftragte (EDSB) eine Reihe von Beschwerden betroffener Anteilseigner und Gläubiger erhalten hatte, stellte er im Rahmen einer Untersuchung fest, dass der SRB gegen Art. 3 Nr. 1 und 15 Abs. 1 lit. d der Datenschutzverordnung für EU-Organe und -Einrichtungen [Verordnung 2018/1725] verstoßen habe. Diese sind nahezu wortgleich mit den Art. 4 Nr. 1 und Art. 13. Abs. 1 lit. e) DSGVO. Nach Auffassung des EDSB handle es sich bei den weitergegebenen pseudonymisierten Daten um personenbezogene Daten, da mit der Weitergabe auch der Code geteilt wurde, anhand dessen die jeweiligen Antworten der Befragten einer Person zugeordnet werden konnten. Zudem seien die Antworten selbst als personenbezogene Daten anzusehen. Dadurch, dass der SRB diese Date an externe Beratungsunternehmen weitergeleitet habe, ohne diese in der Datenschutzerklärung als potenzielle Datenempfänger aufzuführen, hat die Institution gegen ihre Informationspflichten aus der Verordnung verstoßen.

Dies sah der SRB anders und legte Klage beim EuG ein.

 

Keine Anwendbarkeit des Datenschutzrechts bei anonymen Informationen

In dem Verfahren vor dem EuG kam es entscheidend darauf an, ob der sachliche Anwendungsbereich der Datenschutzverordnung (Verordnung (EU) 2018/1725) eröffnet ist. Dies ist wie auch im Falle der DSGVO grundsätzlich dann zu bejahen, wenn eine Verarbeitung personenbezogener Daten vorliegt. Unter personenbezogenen Daten versteht man Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Gemäß Erwägungsgrund 16 der Verordnung 2018/172 sowie auch aus dem nahezu wortgleichen Erwägungsgrund 26 der DSGVO sind anonyme Informationen, die keiner Person zugeordnet werden können, nicht vom Anwendungsbereich der DSGVO erfasst. Anders verhält es sich bei der Pseudonymisierung, bei der natürliche Personen unter Heranziehung zusätzlicher Schlüsselinformationen, die isoliert aufbewahrt werden, wieder identifiziert werden können. Bei der Pseudonymisierung werden Namen und anderer Identifikationsmerkmale durch ein Kennzeichen ersetzt, sodass die Bestimmung der betroffenen Person verhindert bzw. wesentlich erschwert wird. In diesem Fall gelten die Grundsätze des Datenschutzes so lange, wie die Zuordnung von Daten zu einer Person noch möglich und wahrscheinlich ist.

 

Relatives Verständnis des Personenbezugs

Entscheidend ist folglich die Frage, unter welchen Umständen jeweils noch von einer Re-Identifizierung ausgegangen werden kann.

Legt man ein absolutes Verständnis zugrunde, so kommt es für die Identifizierung nicht allein auf die Möglichkeiten an, die dem Verantwortlichen zur Verfügung stehen, sondern vielmehr darauf, welche Möglichkeiten irgendeinem Dritten zur Herstellung des Personenbezugs zur Verfügung stehen. Demnach würde man einen Personenbezug erst dann verneinen, wenn die Re-Identifizierung jedermann unmöglich wäre, folglich erst bei einer vollständigen Anonymisierung der Daten.

Aus Erwägungsgrund 16 der Verordnung 2018/172 geht hervor, dass zur Feststellung der Identifizierungsmöglichkeit grundsätzlich alle Mittel zu berücksichtigen sind, die von einem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich eingesetzt werden, um eine natürliche Person direkt oder indirekt zu identifizieren. Insoweit sind alle objektiven Faktoren, wie z.B. die Kosten und der dafür erforderliche Zeitaufwand zu berücksichtigen sowie die zum Zeitpunkt der Verarbeitung verfügbaren Technologien und technologische Entwicklungen. Demnach muss sich ein Empfänger auch das Wissen und die Mittel Dritter zurechnen lassen. Allerdings muss die Identifizierung durch den Empfänger über das Wissen oder die Mittel des Dritten auch nach objektiven Kriterien wahrscheinlich sein.

Der EuGH legt dem Personenbezug ein relatives Verständnis zugrunde. In seiner Entscheidung vom 19.10.2016 (Rs. C-582/14, Patrick Breyer/BRD) hat er im Hinblick auf dynamische IP-Adressen festgestellt, dass es für die Annahme der Re-Identifizierbarkeit allein auf die Mittel ankommt, die dem Verantwortlichen zur Verfügung stehen. Das heißt, dass der Empfänger zur Herstellung eines Personenbezugs grundsätzlich auch auf Wissen und Mittel Dritter zurückgreifen kann. Diese sind jedoch nur dann einzubeziehen, wenn es dem Verantwortlichen rechtlich möglich ist, auf sie zuzugreifen. Konkret muss die Identifizierung der Person durch den Verantwortlichen nach objektiven Kriterien wie den Kosten, dem Arbeitsaufwand und einer bestehenden gesetzlichen Erlaubnis zur Identifizierung der Person möglich und wahrscheinlich sein.

In Bezug auf dynamische IP-Adressen kam der EuGH in diesem Fall zu dem Ergebnis, dass aufgrund der Tatsache, dass es anhand der IP-Adresse möglich ist den Inhaber des Internetanschlusses unter Einbeziehung des Telekommunikationsanbieters zu ermitteln, das Herstellen eines Personenbezugs nicht ausgeschlossen ist, weshalb bei einer dynamischen IP-Adresse von einem personenbezogenen Datum auszugehen sei.

Dieses sehr weite Verständnis zeigt, dass die Einschränkung der Erwägungsgründe in der Praxis oft leerläuft.

 

Urteil des EuG: Horizont des Datenempfängers entscheidend

Das Gericht der Europäischen Union hat in seinem Urteil nun festgestellt, dass bei einem Pseudonym mit relativem Personenbezug kein personenbezogenes Datum vorliegt, wenn dem Empfänger der Daten keine Mittel zur Re-Identifizierung zur Verfügung stehen. Nach Auffassung des EuG komme es allein auf den Horizont des Datenempfängers an.

Im konkreten Fall hat der EDSB nicht hinreichend geprüft, ob dem externen Beratungsunternehmen eine solche Re-Identifizierung der Personen, die Stellungnahmen eingereicht haben, anhand der den Stellungnahmen zugewiesenen Codes tatsächlich und rechtlich möglich war. Für eine Re-Identifizierung hätte das Unternehmen weitere Informationen gebraucht, die in einer Datenbank gespeichert waren, zu der aber nur Mitarbeiter der SRB Zugang hatten. Somit hätte der EDSB nicht zu dem Ergebnis gelangen dürfen, dass es sich bei den streitgegenständlichen Stellungnahmen um personenbezogene Informationen handle und der SRB gegen Informationspflichten verstoßen habe.

Darüber hinaus hat das Gericht klargestellt, dass eine Stellungnahme oder Meinung nicht von vornherein als personenbezogenes Datum angesehen werden kann. Der Begriff der personenbezogenen Daten erfasse potenziell alle Arten von Informationen, d.h. auch Stellungnahmen. Dies allerdings nur unter der Voraussetzung, dass die darin enthaltene Sichtweise aufgrund ihres Inhalts, Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist. Entscheidend sei demnach die Prüfung im Einzelfall, die der EDSB im zugrundeliegenden Fall nicht vorgenommen habe. Daher durfte er auch nicht davon ausgehen, dass es sich bei den übermittelten Informationen um personenbezogene Daten handle.

 

 

Fazit

Das Urteil des EuG macht deutlich, dass stets die Prüfung im Einzelfall entscheidend ist. Es ist im Einzelfall zu untersuchen, ob einem Datenempfänger das Wissen oder die Mittel zur Verfügung stehen, die ihm in tatsächlicher und rechtlicher Hinsicht eine Rückidentifizierung ermöglichen und, ob eine hinreichende Wahrscheinlichkeit besteht, dass er von dieser Möglichkeit Gebrauch machen könnte. Insoweit schließen sich die Richter grundsätzlich der Entscheidung des EuGH (Rs. C-582/14) an, in der die Richter dem Personenbezug ein relatives Verständnis zugrunde gelegt haben. Gleichzeitig gibt diese neue Entscheidung jedochHoffnung, dass der Umgang mit pseudonymisierten Daten in Zukunft von den Gerichten praxisnäher ausgelegt werden könnte, als noch im Rahmen der IP-Adressen-Entscheidung.

Zur Feststellung, ob eine datenschutzrechtliche Verpflichtung besteht, sollten Unternehmen daher stets im Einzelfall prüfen, ob der Datenempfänger über Wissen oder Mittel verfügt, die er vernünftigerweise heranziehen könnte, um die einer bestimmten Information zugehörige Person identifizieren zu können. Erst wenn dies nicht der Fall ist oder eine Identifizierung nur unter äußerst unverhältnismäßigem Aufwand, den der Empfänger vernünftigerweise nicht betreiben wird, vorgenommen werden könnte, wären die datenschutzrechtlichen Anforderungen an den Datenaustausch mangels Personenbezugs nicht mehr zu beachten.

Doch unabhängig davon, ob man zu dem Ergebnis gelangt, dass diese übermittelten Informationen für den Empfänger nicht personenbeziehbar sind, treffen denjenigen Verantwortlichen, der die Daten weitergibt, datenschutzrechtliche Pflichten. Dieser hat gem. Art. 25 Abs. 1 DSGVO stets geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Datenschutzgrundsätze gem. Art. 5 DSGVO zu erfüllen und die Rechte der Betroffenen zu schützen. Hierfür könnte es erforderlich sein entsprechende Verträge mit Datenempfängern abzuschließen, um darin Zugriffsrechte auf Schlüsselinformationen zur Rückidentifizierung auszuschließen oder den Empfänger seinerseits zur Einhaltung des geltenden Datenschutzrechts zu verpflichten.

 

„>

 
 
 

 

 

 

In einer Zeit, in der das Internet und die sozialen Medien als zentrales Element des Informationsaustausches den direkten Draht der Regierung zur Bevölkerung bilden und durch Zeitung, Radio und Fernsehen – jedenfalls Teile der Bevölkerung – -zunehmend nicht mehr erreicht werden, müssen auch datenschutzrechtliche Herausforderungen berücksichtigt werden.

Mit knapp 1,1 Millionen Followern auf Facebook ist die Fanpage der Bundesregierung sehr aktiv und macht den Zugang zu Informationen für einen großen Teil der Bevölkerung einfacher. Diese Art von Facebook-Profilen bieten Unternehmen und öffentlichen Stellen Vorteile, die das offene Internet nicht bzw. nur bedingt bietet. Allerdings ist bis heute ein datenschutzkonformer Betrieb von Fanpages nach Ansicht des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) nicht möglich.

 

Das Wichtigste in Kürze

  • Der BfDI, Herr Prof. Ulrich Kelber, hat das Bundespresseamt (BPA) aufgefordert, den Betrieb der Facebook Fanpage der Bundesregierung aufgrund mangelnder Datenschutzkonformität einzustellen.
  • Der Vorwurf des BfDI stützt sich auf die Rechtsprechung des Europäischen Gerichtshofes (EuGH) aus dem Jahr 2018, wonach der Bertreiber der Facebook Fanpage gemeinsam mit Facebook für die Verarbeitung personenbezogener Daten verantwortlich ist.
  • Der BfDI bemängelt bei Facebook Fanpages insbesondere die fehlende Rechtsgrundlage für die Datenverarbeitung.

 

Betrieb von Facebook Fanpages nicht datenschutzkonform

Unternehmen, öffentliche Stellen oder Personen des öffentlichen Lebens verwenden Facebook Fanpages für die eigene Präsentation auf der Social Media Plattform „Facebook“. Davon abzugrenzen sind die persönlichen Facebook Profile der registrierten Nutzerinnen und Nutzer, die Privatpersonen zugeordnet sind.

Der Betrieb von Facebook Fanpages ist aus datenschutzrechtlicher Sicht problematisch, da Meta als Betreiber des Dienstes „Facebook“ die Daten der Nutzerinnen und Nutzer nicht ausschließlich zum Zweck der Bereitstellung eines sozialen interaktiven Netzwerks verarbeitet, sondern auch zu Werbezwecken. Insoweit fehlt es an einer geeigneten Rechtsgrundlage für die DSGVO-konforme Datenverarbeitung. Die Nutzerdaten dienen dazu, „passgenaue“ Werbung im Auftrag von Unternehmen, Verbänden oder öffentlichen Stellen schalten zu können. Für die Betreiber einer Fanpage besteht ein Interesse an der Verarbeitung personenbezogener Daten der Besucher ihrer Seite, da sie durch dieses Geschäftsmodell den Dienst von Facebook kostenlos nutzen und durch die gezielte Ansprache eines selektiven Nutzerkreises auf ihre Seite aufmerksam machen können. Die Möglichkeit der gezielten Ansprache von Nutzern stellt einen großen Mehrwert dar, den die Betreiber über ihre eigene Internetpräsenz nicht auf diese Weise erreichen können.

 

Die Problematik der gemeinsamen Verantwortlichkeit

Definiert wird die gemeinsame Verantwortlichkeit in Art. 26 I 1 DSGVO und liegt vor, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke und die Mittel zur Datenverarbeitung festlegen. Das bedeutet, dass sie tatsächlich Einfluss auf die Entscheidung nehmen können, wie und zu welchen Zwecken Daten verarbeitet werden.

Für die Entscheidung des BfDI ist unter anderem ein Urteil des Europäischen Gerichtshofes vom 5. Juni 2018 (Rechtssache C210/16, „Wirtschaftsakademie“) mitverantwortlich. Darin stützt sich der EuGH maßgeblich auf die Erwägung, dass der Betreiber einer Facebook Fanpage mit der Einrichtung der Seite Meta die Möglichkeit gibt, auf dem Endgerät der Besucher Cookies zu platzieren, unabhängig davon, ob diese Person über ein Facebook-Konto verfügt oder nicht. Damit leistet laut dem EuGH der Betreiber – in diesem Fall das Bundespresseamt – einen maßgeblichen Beitrag zur Verarbeitung personenbezogener Daten der Besucher der Fanpage. Durch das Setzen bestimmter Cookies (sogenannte „datr-Cookies“) auf dem Computer des Nutzers wird sein gesamtes Surf-Verhalten verfolgt. Laut Facebook sollen die datr-Cookies zur Verhinderung von Cyber-Attacken und zum Herausfiltern von Fake-Profilen eingesetzt werden.

Aufgrund dieser Funktion sieht der EuGH eine gemeinsame datenschutzrechtliche Verantwortlichkeit im Verhältnis zwischen dem Betreiber der Fanpage und Meta, da beide Verantwortliche Daten im jeweils eigenen Interesse verarbeiten und gemeinsam die Mittel und Zwecke der Verarbeitung im Sinne des Art. 26 DSGVO festlegen.

 

BfDI untersagt Betrieb von Facebook Fanpage der Bundesregierung

Nach Darstellung des BfDI stehen gerade Behörden in der Verantwortung, sich als Vorbild an Recht und Gesetz zu halten. Bereits 2019 hatte Prof. Kelber betont, dass der Betreib einer Facebook-Fanpage nicht datenschutzkonform sei. Dabei wies er auf die Erforderlichkeit hin, dass öffentliche Stellen, die eine Fanpage betreiben, mit Facebook eine Vereinbarung zur gemeinsamen Verantwortlichkeit abzuschließen haben, die den Anforderungen des Art. 26 DSGVO entspricht. In diesem Verfahren sei es dem BPA allerdings nicht gelungen, den Bundesdatenschutzbeauftragten von der Datenschutzkonformität der Facebook Fanpage der Bundesregierung und der von Meta vorgelegten Vereinbarung über die gemeinsame Verantwortlichkeit zu überzeugen.

Mit einem Bescheid vom 17. Februar 2023 wies der Bundesdatenschutzbeauftragte das Bundespresseamt an, den Betrieb der Facebook Fanpage der Bundesregierung einzustellen.

Das Bunfdespresseamt ist der Betreiber der Facebook Fanpage der Bundesregierung und somit Verantwortlicher im Sinne der DSGVO. Der BfDI erklärte, das BPA müsse als Verantwortlicher nachweisen können, dass die Grundsätze des Datenschutzrechts eingehalten werden. Ein solcher Nachweis gem. Art. 5 Abs. 1DSGVO wurde derzeit jedoch noch nicht erbracht.

Kritisiert wird durch den BfDI vor allem die fehlende Rechtsgrundlage für die Datenverarbeitung im Sinne der Art. 5 Abs. 1 lit. a) i.V.m. Art. 6 Abs. 1 DSGVO. Für den Einsatz von Cookies durch Facebook fehle es an einer wirksamen Einwilligung im Sinne des § 25 Abs. 1 S. 1 des1 Telekommunikation-Telemedien-Datenschutzgesetzes (TTDSG). Außerdem würden die Betroffenen nicht ausreichend über die Verarbeitung ihrer Daten nach Art. 13 DSGVO informiert werden.

Grundlage für die Untersagung ist insbesondere ein Gutachten vom 18. März 2022 einer Taskforce der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK). Die Taskforce kritisierte auf Basis einer eingehenden Analyse die fehlende Rechtsgrundlage der Datenverarbeitung und unvollständige und intransparente Informationen gegenüber den Betroffenen, worin ein Verstoß gegen die Informationspflicht nach Art. 13 DSGVO zu sehen ist.

 

Was können Betreiber einer Facebook Fanpage tun?

Aufgrund der oben ausgeführten Punkte ist das Betreiben von Facebook Fanpages sowohl für öffentliche als auch private Stellen nicht mit der DSGVO vereinbar. Für Betreiber von Facebook Fanpages gibt es Maßnahmen, die umgesetzt werden können, damit sie als Mitverantwortliche im schlimmsten Fall Bußgelder und Schadensersatzansprüche betroffener Personen im Sinne des Art. 82 DSGVO vermeiden können. Hierzu gehört auch die Sicherstellung und der Nachweis der Rechtskonformität der von ihnen verantworteten Datenverarbeitung.

Ist eine rechtskonforme Verarbeitung der Nutzerdaten nicht möglich, ist der Betrieb der Facebook Fanpage sowohl für öffentliche als auch für nicht-öffentliche Stellen rechtswidrig. Die Datenschutzbehörden weisen hierauf bereits seit langem hin. Deshalb müssen Sie jederzeit mit einer Abmahnung rechnen, sollten Sie Ihre Fanpage weiter betreiben.

Empfehlenswert ist es, die Besucher der Seite in transparenter und verständlicher Form darüber zu informieren, welche Daten zu welchen Zwecken durch Facebook und die Bertreiber verarbeitet werden. Dazu eignet sich eine Datenschutzerklärung auf der Fanpage und eine auf der eigenen Webseite.

Für die Erfüllung der datenschutzrechtlichen Anforderungen ist eine Mitwirkung von Meta notwendig. Betreiber von Facebook Fanpages und Meta müssen gemeinsam sicherstellen, dass die Nutzenden von Facebook über die Verarbeitung ihrer Daten beim Aufruf von Facebook-Fanpages informiert sind und die Verarbeitung auf Basis einer wirksamen Rechtsgrundlage stattfindet. Die gemeinsam Verantwortlichen müssen gem. Art. 26 DSGVO in einer Vereinbarung intern festlegen, wie die Einhaltung der DSGVO gewährleistet wird. Ob dies in der Praxis in Zusammenarbeit mit Meta tatsächlich umsetzbar ist, kann jedoch bezweifelt werden.

 

 

Ausblick

Das Bundespresseamt ist nun aufgefordert, die Fanpage der Bundesregierung innerhalb von vier Wochen einzustellen. Es besteht auf Seiten des Bundespresseamtes die Möglichkeit, gegen den Bescheid vorzugehen, indem innerhalb eines Monats verwaltungsgerichtliche Klage eingereicht wird. In diesem Fall könnte eine Klärung noch länger dauern. Es ist zu bezweifeln, dass die Bundesregierung kampflos einen ihrer wichtigsten Kommunikationskanäle aufgeben wird.

Für private Unternehmen ist die Gefahr, dass die Aufsichtsbehörden gegen den Betrieb von Facebook-Fanpages ebenfalls weiterhin sehr hoch. Die Tatsache, dass nun zunächst gegen Behörden vorgegangen wird, kann nicht als Freifahrtsschein verstanden werden. Vielmehr dient das jüngste Vorgehen des BfDI als Warnschuss, um die Notwendigkeit des Betriebs der Fanpage zu überdenken und diese auf Datenschutzkonformität zu überprüfen.

 

„>

 
 
 

 

 

 

Neben den Ansprüchen auf Auskunft und Löschung stellt der Anspruch auf immateriellen Schadensersatz nach Art. 82 DSGVO einen der praxisrelevantesten Ansprüche im Datenschutzrecht dar. Die ordentlichen Gerichte haben sich jedoch bisher schwergetan, immateriell Schäden infolge von Datenschutzverstößen zu bejahen und zu beziffern. Die Arbeitsgerichtsbarkeit dagegen urteilen regelmäßig deutlich bereitwilliger Schadensersatz aufgrund von Schadensersatzansprüchen aus. Eine gefestigte und einheitliche Rechtsprechung gab es bisher jedoch jedenfalls nicht, sodass eine Klärung und Konkretisierung durch den EuGH wünschenswert ist. Nun hat der EuGH am 04. Mai 2023 eine langersehnte Entscheidung zum immateriellen DSGVO-Schadensersatz veröffentlicht (Urteil v. 04.05.2023 – C-300/21). Die für die Praxis relevanten Fragen, haben die Richter jedoch offengelassen.

 

Das Wichtigste in Kürze

  • Der bloße DSGVO-Verstoß an sich begründet noch keinen Anspruch auf Schadensersatz.
  • Die Darlegungs- und Beweislast im Hinblick auf einen konkret eingetretenen Schaden liegt beim Betroffenen.
  • Nach Auffassung des EuGH ist grundsätzlich jeder kausale Schaden, d. h. jede konkrete Einbuße oder Beeinträchtigung aufseiten des Betroffenen ersatzfähig.
  • Die Entscheidung über den Anspruch auf immateriellen Schadensersatz dem Grunde und der Höhe nach gem. Art. 82 DSGVO unterliegt grundsätzlich den nationalen Vorschriften.

 

Ausgangsfall: Rechtswidrige Verarbeitung personenbezogener Daten durch die Österreichische Post AG

Der aktuellen Entscheidung des EuGH liegt ein Vorabentscheidungsersuchen des österreichischen Obersten Gerichtshofs zugrunde. Dieser hatte sich mit der Klage eines Betroffenen auf Zahlung immateriellen Schadensersatzes gegen die Österreichische Post AG zu befassen.

Das Unternehmen hat seit 2017 mithilfe eines Algorithmus basierend auf der Wohnschrift Informationen zur Parteiaffinität der österreichischen Bevölkerung – unter anderem auch des Klägers – gesammelt. Diese sollten anschließend zu Wahlwerbezwecke verwendet werden. Eine Weitergabe der Informationen an Dritte sei jedoch nicht erfolgt.

Infolgedessen machte der Kläger einen Anspruch auf immateriellen Schadensersatz in Höhe von 1.000 Euro gegen das Unternehmen geltend. Dieses habe seine Daten ohne Einwilligung und damit rechtswidrig verarbeitet. Durch die rechtswidrige Datenverarbeitung habe er einen immateriellen Schaden erlitten. Konkret sei er unter anderem erbost gewesen und habe sich durch die ihm zugeordnete Parteiaffinität bloßgestellt gefühlt.

 

Vorlagefragen des österreichischen OGH an den EuGH

Nachdem die ersten beiden Instanzen einen Datenschutzverstoß bejahten, einen Anspruch auf Schadensersatz jedoch mit der Begründung scheitern ließen, dass dieser nicht erheblich sei, zog der Kläger vor den Obersten Gerichtshof (OGH). Dieser hat das Verfahren schließlich ausgesetzt und ein Vorabentscheidungsersuchen zur Auslegung der DSGVO-Vorschriften an den EuGH gerichtet (OGH, Vorlage vom 12. Mai 2021, Rs. C-300/21).

Der OGH wollte zum einen wissen, ob bereits der Umstand, dass eine Datenschutzverletzung vorliegt, ausreiche, um einen Anspruch auf immateriellen Schadensersatz zu bejahen oder der Betroffene zudem auch den Eintritt eines solchen Schadens nachweisen muss.

Zum anderen wollte das Gericht geklärt haben, wie ein immaterieller Schaden der Höhe nach zu bemessen ist und ob ein ersatzfähiger Schaden nur dann vorliegt, wenn die Beeinträchtigung eine gewisse Erheblichkeit erreicht.

 

Erforderlichkeit eines Datenschutzverstoßes und eines kausalen Schadens

Der EuGH hat in seiner Entscheidung deutlich gemacht, dass ein Datenschutzverstoß an sich nicht unmittelbar zu einem Schadensersatzanspruch führt. Vielmehr liegt es entsprechend den Grundsätzen des jeweiligen nationalen Zivilprozessrechts beim Betroffenen einen konkreten Schaden darzulegen und zu beweisen.

 

Keine Erheblichkeitsschwelle

Allerdings reicht nach Auffassung des EuGH grundsätzlich jeder kausale Schaden, d. h. jede konkrete Einbuße oder Beeinträchtigung aufseiten des Betroffenen für die Begründung eines Schaden aus. Das Überschreiten einer Bagatellgrenze, wie sie auch von deutschen Gerichten immer wieder angenommen wurde, sei demgegenüber nicht erforderlich.

Die Tatsache, dass der EuGH die nationalen Gerichte zu einer möglichst datenschutzfreundlichen Auslegung auffordert, kommt wenig überraschend. Allerdings sprach sich der zuständige Generalanwalt Sánchez-Bordona in seinen Schlussanträgen im vergangenen Oktober für eine restriktive Auslegung des Art. 82 DSGVO aus. Konkret führte er aus, dass seiner Auffassung nach nicht jeder bloße Ärger, zu dem die Verletzung der Datenschutzvorschriften beim Betroffenen geführt haben mag, als immaterieller Schaden angesehen werden könne (Schlussanträge vom 06.10.2022, Rs. C-300/21).

Demgegenüber ergibt sich nach Auffassung des EuGH eine Erheblichkeitsschwelle weder aus dem Wortlaut oder der systematischen Stellung noch aus dem Sinn und Zweck des Art. 82 DSGVO. In diesem Zusammenhang wies das Gericht in seinen Entscheidungsgründen darauf hin, dass eine einheitliche Anwendung des weiten Schadensbegriffs durch die mitgliedstaatlichen Gerichte unabdingbar sei, um ein einheitliches und vor allem hohes Datenschutzniveau innerhalb der Europäischen Union zu gewährleisten. Folglich muss jeder noch so kleine Schaden infolge einer Datenschutzverletzung geltend gemacht werden können.

 

Entscheidung über immateriellen DSGVO-Schadensersatz dem Grunde und der Höhe nach obliegt den nationalen Gerichten

Der EuGH überlässt es den Gerichten der Mitgliedstaaten, die Kriterien für die Ermittlung des Schadensersatzes im konkreten Fall unter Berücksichtigung der nationalen Vorschriften festzulegen. Die nationalen Regelungen müssen dabei die Einhaltung der DSGVO sichern und den Effektivitäts- und Äquivalenzgrundsatz sowie die Ausgleichsfunktion des in Art. 82 DSGVO vorgesehenen Schadenersatzanspruchs beachten. In diesem Zusammenhang haben die Richter klargestellt, dass es an den Gerichten der Mitgliedstaaten liegt, sicherzustellen, dass die Geltendmachung eines Schadensersatzanspruchs aus der DSGVO durch die nationalen Vorschriften des jeweiligen Mitgliedstaates nicht erschwert oder praktisch unmöglich gemacht wird. Zudem sei unter Berücksichtigung der Ausgleichsfunktion, die einem Schadensersatzanspruch immanent ist, ein vollständiger Ersatz des tatsächlich eingetretenen Schadens zu gewähren, wobei vermieden werden muss, dass der Schadensersatzanspruch aus Art. 82 DSGVO einen Strafcharakter annimmt.

 

 

Ausblick

Nach der EuGH-Entscheidung muss sich nun der OGH dem Verfahren wieder annehmen und eine Entscheidung auf Grundlage des österreichischen Rechts treffen. Ob das Gericht tatsächlich einen Schadensersatz zuspricht und in welche Höhe, bleibt also spannend. Einige deutsche Gerichte haben bisher eine gewisse Erheblichkeit der Verletzung gefordert, wonach geringfügige Beeinträchtigungen oder bloße Unannehmlichkeiten keinen Ersatzanspruch rechtfertigten. Einer solchen Bagatellgrenze hat der EuGH nun eine Absage erteilt. Darüber hinaus wären jedoch klarere Aussagen oder Vorgaben durch den EuGH wünschenswert gewesen. Der Anspruch auf immateriellen Schadensersatz infolge von Datenschutzverstößen wird die Praxis folglich zukünftig weiterhin beschäftigen. Da nach der neuen Rechtsprechung klar gestellt ist, dass jeder immaterielle Schaden gerichtlich geltend gemacht werden kann, sofern er dargelegt und bewiesen werden kann, ist damit zu rechnen, dass zukünftig mehr Betroffene versuchen werden, Schmerzensgeldansprüche gerichtlich durchzusetzen. Um die Möglichkeit einer Inanspruchnahme durch Betroffene möglichst gering zu halten, kann Unternehmen weiterhin nur geraten werden, ein effektives Datenschutz-Management-System zu implementieren, das eine professionelle Evaluierung von Datenschutzvorfällen sowie Bearbeitung von Betroffenenanfragen gewährleistet und das bestenfalls dafür sorgt Datenschutzverstöße gänzlich zu vermeiden.

 

„>

 
 
 

 

 

 

ChatGPT erfreut sich in den sozialen Medien aktuell größter Beliebtheit. Bereits zwei Monate nachdem der KI-Chatbot ChatGPT auf den Markt kam, verzeichneten die Entwickler bereits 100 Millionen aktive Nutzer. Medienberichten zufolge soll es sich bei dem Webservice um die am schnellsten gewachsene Verbraucheranwendung der letzten 20 Jahre handeln. Das Besondere an dem Chatbot ist, dass er auf einem KI-System basiert, das einen natürlichsprachlichen Dialog ermöglicht. Trotz des enormen Potenzials und der vielfältigen Einsatzmöglichkeiten darf nicht außer Acht gelassen werden, dass es sich um ein KI-System handelt, das eine große Mengen an Daten benötigt, um automatisiert Inhalte generieren zu können. Daraus können sich Gefahren für die Rechte und Freiheiten der Nutzer sowie anderer Betroffener ergeben.

 

Das Wichtigste in Kürze

  • Im Gegensatz zu herkömmlichen Chatbots und virtuellen Assistenten generiert ChatGPT innerhalb nur weniger Sekunden eigenständig eine natürlich klingende Antwort.
  • Bei komplexeren Aufgaben oder Themen zeigt das sprachbasierte KI-System Schwächen.
  • Wie bei jeder Technologie, die mit personenbezogenen Daten arbeitet, besteht auch bei ChatGPT das Risiko von Datenschutzverletzungen.
  • Zudem besteht die Gefahr von Urheberrechtsverletzungen, da die Herkunft der generierten Inhalte ungewiss ist.

 

Chat Generative Pre-trained Transformer

Bei ChatGPT (Chat Generative Pre-trained Transformer) handelt es sich um einen Webservice in Gestalt eines Chatbots, der vom US-amerikanischen Unternehmen OpenAI entwickelt wurde. Ein Chatbot ist ein textbasiertes Dialogsystem, das in erster Linie dafür eingesetzt wird, Website-Nutzern eine Hilfestellung zu verschiedenen Fragen oder zu der jeweiligen Funktion der Website zur Verfügung zu stellen. So können unter anderem Fragen in Echtzeit ohne menschliches Zutun beantwortet werden. Die Anwendung kann je nach Bedürfnis und Zielen des einsetzenden Unternehmens vielfältig sein. Chatbots finden sich in vielen Bereichen, wie z.B. im Online-Kundenservice und Marketing wieder. Zu den bekanntesten Chatbots zählen unter anderem Siri (Apple) und Alexa (Amazon). Seit November vergangenen Jahres steht Internetnutzern auch der Prototyp des OpenAI-Chatbots ChatGPT kostenlos zur Verfügung. Für die Nutzung ist eine Registrierung unter Angabe einer E-Mail-Adresse sowie einer Handynummer erforderlich. Nach Abschluss der Registrierung kann vergleichbar zu jedem anderen bekannten Chat-System über ein Eingabefeld mit dem Chatten begonnen werden. Da das System eine integrierte Spracherkennung hat, erscheint die Antwort in der jeweiligen Eingabesprache.

 

Besonderheiten des OpenAI Chatbots

ChatGPT kann zur Recherche von Fragen, zum Verfassen kurzer bis mittellanger Texte auf Basis konkreter Vorgaben oder Anweisungen sowie auch zum Zusammenfassen oder Übersetzen eingegebener oder benannter Inhalte aus Texten, Büchern, Filmen etc. verwendet werden. Ebenso kann der Chatbot eingegebene Texte umschreiben und Codes erzeugen. Ferner kann das System eine Hilfestellung durch Produktbeschreibungen oder Fehleranalysen eingegebener Inhalte bieten. Im Gegensatz zu herkömmlichen Chatbots und virtuellen Assistenten, die vorprogrammierte Antworten auf vordefinierte Fragen anzeigen, generiert ChatGPT innerhalb nur weniger Sekunden eigenständig eine natürlich klingende Antwort. Da das System eine Unmenge an Informationen verfügt, ist der Chatbot in der Lage, menschenähnlich zu interagieren, wobei die Antworten ein leichtes bis mittleres Niveau aufweisen. Insgesamt handelt es sich um ein leistungsfähiges Instrument, das eine schnellere Informationsbeschaffung ermöglicht und zukünftig in einigen Branchen und Tätigkeitsfeldern als Unterstützung im Arbeitsalltag eingesetzt werden könnte.

 

ChatGPT bestätigt Schwächen

Doch als KI-Sprachmodell weist ChatGPT einige Schwächen auf, wie der Chatbot auf Nachfrage selbst durch eine ausführliche Antwort bestätigt. Aufgrund der Tatsache, dass den Antworten große Mengen von Textdaten, die implizite Voreingenommenheit oder Vorurteile der jeweiligen Verfasser enthalten können, zugrunde liegen, dürfte es den Antworten des Chatbots häufig an Objektivität fehlen. Ferner kann das System zwar kohärente und sprachlich korrekte Antworten generieren, allerdings handelt es sich dennoch um ein Programm, dem es an Menschenverstand und Realitätsbezug fehlt. Dadurch kann es auch zu unsinnigen, ungenauen, irrelevanten oder unangemessenen Antworten kommen. Insofern ist der Chatbot auch nicht in der Lage, komplexe Probleme zu lösen oder Entscheidungen auf Grundlage moralischer oder ethischer Erwägungen zu treffen. Letztlich ist das System nur so gut wie die Daten, mit denen es gefüttert wird. Antworten auf aktuelle Fragen sind vielfach nicht möglich oder nicht erfolgversprechend, weil die Datenbasis des Programms Ende 2021 endet. Werden falsche Informationen eingegeben, gibt das Programm sie unter Umständen wieder. Um dem entgegenzuwirken, setzten die Entwickler im Hinblick auf Informationen zu kontroversen Themen (wie z. B. Politik oder Religion) bereits Moderationsfilter ein.

 

Rechtliche Risiken, die mit der Nutzung von ChatGPT einhergehen

Aus der Verwendung von ChatGPT können sich in vielerlei Hinsicht rechtliche Probleme ergeben. Wie bei jeder Technologie, die mit personenbezogenen Daten arbeitet, besteht auch bei ChatGPT das Risiko von Datenschutzverletzungen. Zudem besteht die Gefahr von Urheberrechtsverletzungen, da die Herkunft der Informationen ungewiss ist und nicht benannt wird. Der Chatbot weist auf die Frage nach den rechtlichen Problemen selbst darauf hin, dass bei spezifischen Fragen oder Bedenken bezüglich der Verwendung von ChatGPT stets ein Rechtsexperte zurate gezogen werden sollte.

 

Urheberrechtsverstöße sind nicht auszuschließen

Auch wenn die Antworten des Sprachmodells je nach Kontext der Konversation variieren und eine reine Wiedergabe der Inhalte aus dem Internet in der Regel nicht stattfindet, sind Urheberrechtsverstöße dennoch nicht nur nicht auszuschließen, sondern dürften vielmehr häufig der Fall sein. Bei Systemen wie ChatGPT, die mithilfe von Inhalten aus dem Internet trainiert wurden, besteht das Risiko, dass die erzeugten Inhalte Urheberrechte und/oder auch Datenbankrechte eines Dritten verletzten.

Da der Chatbot seine Quellen nicht angibt, ist es für Verwender nur schwer bis gar nicht nachvollziehbar, ob die Texte auch Inhalte Dritter enthalten und ob der Chatbot die Originalwerke ausreichend verändert, um den urheberrechtlichen Schutz zu umgehen. So hilfreich und eloquent die Antworten des Systems auch sind, stellt sich für den Anwender im Anschluss die Frage, ob er die generierten Inhalte auch außerhalb privater Zwecke nutzen kann (z.B. zur Veröffentlichung auf der eigenen Internetseite).

Auf Nachfrage beim System heißt es, dass es im Allgemeinen zwar legal sei, die von ChatGPT produzierten Inhalte für kommerzielle Zwecke zu verwenden, allerdings nur dann, wenn der Verwender die entsprechenden Genehmigungen und Lizenzen von OpenAI sowie ggf. den jeweiligen Rechteinhabern der Inhalte besitzt, die dem Urheberrecht unterliegen. Die Verantwortung, dass bei der kommerziellen Verwendung der Texte z.B. durch Veröffentlichung eines von ChatGPT verfassten Informationstextes auf der eigenen Website keine Urheberrechtsverstöße begangen werden, wird demnach auf den Nutzer verlagert. Sofern der Nutzer die von ChatGPT generierten Inhalte dann zu nicht privaten Zwecken verwenden möchte, müsste er sich zunächst eine entsprechende Lizenz sichern, da er ansonsten Gefahr läuft, eine Urheberrechtsverletzung zu begehen. Aufgrund fehlender Quellenangaben ist das allerdings nur schwer umzusetzen. Um Urheberrechtsverstöße zu vermeiden, sollten daher bestimmte Kontrollmechanismen eingerichtet werden. Dafür gibt es entsprechende Programme und Tools, die eine Übernahme fremder Inhalte gezielt aufdecken. Im Zweifel ist jedoch von einer Verwendung dieser automatisch generierten Texte abzuraten.

 

Bedenken aus datenschutzrechtlicher Sicht

ChatGPT ist aus datenschutzrechtlicher Perspektive in mehrerlei Hinsicht bedenklich.

Um künstliche Intelligenz trainieren zu können, sind große Datenmengen erforderlich. Die Wissensbasis von ChatGPT bilden eine Vielzahl unterschiedlicher Quellen wie Websites, Online-Foren, Nachrichtenseiten, Bücherdatenbanken und soziale Netzwerke, anhand derer das Tool erlernt hat, wie natürliche Sprache funktioniert und wie diese anzuwenden ist. So befinden sich in den generierten Inhalten nicht selten Unmengen an Daten mit Personenbezug, die vermutlich in der Mehrzahl der Fälle ohne Einwilligung der betroffenen Person verarbeitet wurden.

Da das Programm sich aktuell noch in der Testphase befindet, werden von dem System auch die Daten in Form von Wörtern, Aufforderungen oder Fragen, die von Nutzern eingegeben werden, um eine Antwort zu generieren, gespeichert, um die KI zu trainieren und zu verbessern.

Sowohl auf der Registrierung-Seite als auch auf der Webseite der eigentlichen Anwendung sucht man vergeblich nach Datenschutzhinweisen und Einwilligungsfenstern. Zwar findet sich eine Datenschutzerklärung auf der Webseite von OpenAI, diese bleibt allerdings recht vage.

So werden ausweislich der Datenschutzhinweise von OpenAI Protokoll- und Nutzungsdaten sowie Geräteinformationen der ChatGPT-Nutzer gesammelt, die unter bestimmten Umständen ohne Benachrichtigung an Dritte weitergeleitet werden können. Allerdings bleibt unklar, zu welchem Zweck das Unternehmen die Nutzerdaten verarbeitet und wie lange diese gespeichert werden. In diesem Zusammenhang ergeben sich Schwierigkeiten für Betroffene im Hinblick auf die Durchsetzung ihrer Betroffenenrechte.

Die stattfindende Datenverarbeitung durch den Chatbot ist darüber hinaus auch deshalb problematisch, da die verarbeiteten Daten auf US- Servern gespeichert werden (Mehr zu der Problematik lesen Sie hier.).

Letztlich wird in den Datenschutzrichtlinien zwar beschrieben, wie die personenbezogenen Daten für den Fall, dass sie erfasst werden, geschützt und verwendet werden, allerdings geben die Betreiber keine Garantie für die Sicherheit der Daten.

 

 

Fazit

Insgesamt ist ChatGPT ein bemerkenswertes Beispiel für die Fortschritte, die in Sachen intelligenter Programme und der menschlichen Sprachverarbeitung gemacht wurden. Es hat das Potenzial, in vielen Branchen und Anwendungsbereichen eingesetzt zu werden, von Kundenservice-Chatbots bis hin zu intelligenten persönlichen Assistenten und vielem mehr. Doch bevor ChatGPT produktiv eingesetzt werden kann, müssen die noch offenen Haftungsfragen geklärt werden. Ferner bleibt abzuwarten, wie sich die von der EU geplante Verordnung zur Regulierung künstlicher Intelligenz auf den Einsatz solcher Technologien auswirken wird. Jedenfalls sollte die Eingabe personenbezogener Daten vermieden und die mittels ChatGPT generierten Inhalte vor einer weiteren Verwendung sowohl in datenschutzrechtlicher – als auch urheberrechtlicher Hinsicht geprüft werden. Von einer Veröffentlichung mittels ChatGPT erstellter Texte sollte daher in den allermeisten Fällen abgesehen werden.

 

„>

 
 
 

 

 

 

In Sachen internationaler Datentransfer hat sich insbesondere im Hinblick auf die USA in den letzten Jahren viel getan. Seitdem der EuGH den früheren Angemessenheitsbeschluss für die USA für ungültig erklärt hat, besteht weitestgehend Rechtsunsicherheit. Mit der Genehmigung neuer Standardvertragsklauseln (engl. Standard Contractual Clauses, kurz: SCC) im Juni 2021 schuf die EU-Kommission für EU-Unternehmen eine rechtliche Grundlage für Datenübermittlungen in die USA (Wir berichten hier.). Durch den Abschluss von SCC haben die Akteure die Möglichkeit, die Einhaltung des europäischen Datenschutzstandards zu vereinbaren. Datenexporteure und -Importeure sind nach den neuen SCC in der Regel zur Durchführung eines sog. Transfer Impact Assessments (kurz: TIA) verpflichtet. Dabei handelt es sich um eine Risikoanalyse, durch die im Vorfeld geprüft werden soll, ob aufgrund der individuell ergriffenen Maßnahmen das EU-Datenschutzniveau auch im Drittland erreicht werden kann.

 

Das Wichtigste in Kürze

  • Beim Transfer Impact Assessment handelt es sich um eine Risikobewertung für Datenübermittlungen in Drittländer ohne Angemessenheitsbeschluss.
  • Die Pflicht zur Durchführung eines TIA ergibt sich aus den Standardvertragsklauseln.
  • Mit Abschluss der SCC und der Durchführung eines TIA sichern die Parteien zu, dass weder Rechtsvorschriften noch Gepflogenheiten des jeweiligen Drittstaats im Widerspruch zu den SCC stehen.
  • Fällt die Risikobewertung negativ aus, sind die Defizite (sofern möglich) zu beheben. Andernfalls ist die Datenübermittlung zu unterlassen.

 

Spezifische Risikobewertung im Rahmen eines Drittlanddatentransfers

Beim Transfer Impact Assessment handelt es sich um eine für den Drittlanddatentransfer spezifische Risikobewertung im Hinblick auf das Datenschutzniveau eines Drittstaates, für den kein Angemessenheitsbeschluss (bspw. die USA, Australien oder Indien) vorliegt. Diese Prüfung umfasst auch die Beurteilung der Rechtslage in dem jeweiligen Drittland.

 

Hohe Praxisrelevanz für EU-US-Datenübermittlungen

Besonders praxisrelevant ist die Durchführung eines TIA im Zusammenhang mit der Übermittlung personenbezogener Daten in die USA. Diese ist spätestens seit dem Schrems II- Urteil des EuGH, indem der EU-US-Angemessenheitsbeschluss für ungültig erklärt wurde, rechtlich äußerst problematisch. Mit einem neuen Angemessenheitsbeschluss ist aber wohl noch in diesem Jahr zu rechnen (Wir berichten hier.). Bis dahin ist eine Datenübermittlung in die USA in der Regel nur aufgrund ausdrücklicher Einwilligung oder der wirksamen Verwendung von Standardvertragsklauseln möglich.

Wenn ein Drittland-Datentransfer auf die neuen Standardvertragsklauseln gestützt werden soll, kommt man um die Durchführung einer Risikoabschätzung nicht herum. Denn mit Abschluss der SCC versichern die Parteien, dass weder Rechtsvorschriften noch rechtliche Gepflogenheiten des jeweiligen Drittlandes den Datenimporteur an der Erfüllung seiner in den Standardvertragsklauseln vereinbarten Pflichten hindern. Diese Risikoabschätzung erfolgt regelmäßig im Wege eines Transfer Impact Assessments.

 

Inhalt des Transfer Impact Assessments

Die Verpflichtung betrifft sowohl den Datenexporteur, der personenbezogene Daten aus der EU in ein Drittland übermittelt, als auch den dort empfangenden Datenimporteur. Der Datenimporteur hat dabei dem Datenexporteur alle relevanten Informationen bereitzustellen, um eine möglichst vollständige Beurteilung zu ermöglichen. Beide Parteien müssen die durchgeführte Analyse dokumentieren. Der Datenimporteur ist ferner verpflichtet, den Datenexporteur unverzüglich über etwaige Änderungen zu informieren, die eine neue Risikobewertung erforderlich machen könnten.

In den Standardvertragsklauseln sind die wesentlichen Kriterien, die für die Risikoabschätzung heranzuziehen sind, aufgeführt.

Gemäß Klausel 14 lit. b) ist neben der Beschreibung des Datentransfers die Bewertungsgrundlage, unter anderem das betreffende Drittland sowie der Zeitraum der Übermittlung zu definieren. Für die Entscheidung, ob eine Datenübermittlung auf Grundlage der SCC möglich ist, muss das TIA ferner neben der Benennung getroffener Sicherheitsmaßnahmen ebenso eine Risikobewertung im Hinblick auf potenzielle behördliche Zugriffsmöglichkeiten sowie eine abschließende Beurteilung des Datentransfers enthalten. Im besten Fall sind die meisten relevanten Informationen bereits im Verarbeitungsverzeichnis beschrieben und dokumentiert und können für die Erstellung des TIA herangezogen werden.

 

Mögliche Vorgehensweise bei der Durchführung einer Risikobewertung

Eine feste Vorgehensweise bei Erstellung dieser Risikobewertung gibt es bisher nicht. Im Wesentlichen lässt sie sich aber in folgende Schritte unterteilen:

1. Beschreibung des geplanten Datentransfers

Zunächst sollten allgemeine Informationen zu der geplanten Übermittlungen festgehalten werden:

  • Detaillierte Angaben zum Datenexporteur und -Importeur
  • Die rechtliche Grundlage für die Datenübermittlung gem. Art. 44 ff. DSGVO, beispielsweise die SCC gem. Art. 46 Abs. 2 lit. c) DSGVO
  • Angaben zum Produkt oder der Dienstleistung, die in Anspruch genommen wird, wie z. B. die verwendete Funktion eines Tools
2. Besondere Umstände der Datenübermittlung

Im nächsten Schritt sind die besonderen Umstände der Übermittlung zu erfassen und zu dokumentieren:

  • Länge der Verarbeitungskette
  • Anzahl der an der Datenübermittlung beteiligten Akteure und der verwendeten Übertragungskanäle
  • Beabsichtigte Datenweiterleitungen (z.B. an Unterauftragnehmer)
  • Art des Empfängers (z. B. Cloud-Anbieter)
  • Detaillierte Angabe des Zwecks der Verarbeitung (Bspw. Durchführung von Videokonferenzen)
  • Auflistung aller Kategorien der vom Transfer erfassten personenbezogenen Daten
  • Festlegung des Formats, in welchem die personenbezogenen Daten übermittelt werden (anonymisiert, pseudonymisiert oder verschlüsselt, einschließlich der Verschlüsselungsart)
  • Angabe des Wirtschaftszweigs, in dem die Übertragung erfolgt (Bspw. Telekommunikation)
  • Speicherort der übermittelten Daten
3. Identifizierung der Rechtslage und rechtlichen Gepflogenheiten im Drittland und Festlegung des Zeitraums der geplanten Übermittlung

Im Anschluss an die Erfassung der besonderen Umstände der Übermittlung sind die relevanten Rechtsvorschriften sowie rechtlichen Gepflogenheiten des Ziellandes zu identifizieren und zu untersuchen. Darunter fallen insbesondere solche Vorschriften oder Gepflogenheiten, die eine Datenoffenlegung gegenüber Behörden vorschreiben oder Behörden Zugang zu diesen Daten gewähren. Im Hinblick auf den Datentransfer in die USA wären insbesondere der US-CLOUD Act sowie der Foreign Intelligence Surveillance Act so wie ggf. die im jeweiligen Bundesstaat geltenden Gesetzte zu nennen. Ferner sollten in diesem Zusammenhang auch die konkreten Behörden und öffentliche Stellen benannt werden, die durch die genannten Vorschriften Zugang zu den Daten erhalten könnten (wie etwa das FBI oder die NSA). Zudem ist es empfehlenswert, festzuhalten, ob Datenimporteure etwaige Anordnungen zur Offenlegung der Daten anfechten würden. Um eine möglichst umfassende Bewertung des Risikos eines solchen Zugriffs auf die Daten zu erhalten, sollte ferner festgehalten werden, ob in der Vergangenheit bereits eine Offenlegung der exportierten Daten durch eine Behörde verlangt wurde. War dies der Fall, sollte weiterhin untersucht und dokumentiert werden, wie oft und welche Kategorie von Daten davon betroffen war. Im Anschluss ist festzuhalten, ob die identifizierten Gesetze und Praktiken den Datenimporteur daran hindern würden, seinen Verpflichtungen zum Datenschutz aus den SCC nachzukommen.

4. Benennung bestehender und geplanter Schutzmaßnahmen

Weiterhin sollten alle relevanten vertraglichen, technischen und organisatorischen Schutzmaßnahmen, die zur Ergänzung der SCC implementiert wurden oder geplant sind, benannt werden. Im Hinblick auf technische Maßnahmen wären beispielsweise die Verschlüsselung, Überwachung oder Protokollierung zu nennen. Als organisatorische Sicherheitsvorkehrungen käme ein Access-Konzept oder eine Datenminimierung in Betracht. Schließlich sollte eine Liste erstellt werden, die sämtliche Zertifikate, Audits sowie Berichte über die vorhandenen oder geplanten Sicherheitsmaßnahmen enthält.

5. Gesamtergebnis

Abschließend sind die aus der Risikobewertung gewonnenen Erkenntnisse anzugeben und näher zu erläutern. In einem Gesamtergebnis ist eine abschließende Aussage darüber zu treffen, ob die Parteien Grund zu der Annahme haben, dass der Datenimporteur aufgrund der Gesetze und Gepflogenheiten im Bestimmungsland daran gehindert sein könnte, seinen Verpflichtungen aus den SCC nachzukommen. Fällt das Ergebnis negativ aus, sind die Defizite (sofern möglich) zu beheben. Andernfalls muss die Datenübermittlung unterbleiben.

Ist es nicht möglich, ein TIA durchzuführen, weil es beispielsweise an erforderlichen Informationen fehlt oder führt dieses zu unklaren Ergebnissen, ist von einem mangelnden Schutzniveau im Drittstaat auszugehen.

Hat der Datenimporteur im Nachhinein Grund zu der Annahmen, dass er die Anforderungen der SCC nicht mehr einhalten kann, müssen zur Gewährleistung einer rechtssicheren Datenübermittlung geeignete Maßnahmen ergriffen werden. Der Europäische Datenschutzausschuss veröffentlichte in diesem Zusammenhang die Empfehlungen 01/2020. Sie dient als Hilfestellung mit praktischen Beispielen für zusätzliche Schutzmaßnahmen.

 

 

Ausblick

Insgesamt ist festzuhalten, dass es mit der Einbindung von Standardvertragsklauseln in einen Auftragsverarbeitungsvertrag alleine nicht getan ist. Mithilfe der entsprechenden Risikoanalyse eines TIA kann festgestellt und rechtssicher dokumentiert werden, ob die zusätzlich ergriffenen technischen und organisatorischen Maßnahmen dazu führen, dass im konkreten Fall auch außerhalb der EU ein gleiches Datenschutzniveau gewährleistet und die Drittlandübermittlung mithin datenschutzkonform ist. Unterbleibt diese Analyse andererseits drohen dem verantwortlichen Unternehmen im schlimmsten Falle empfindliche Bußgelder und andere aufsichtsbehördliche Maßnahmen. Insbesondere Unternehmen, die aufgrund der Zusammenarbeit mit US-Dienstleistern auf den Drittlanddatentransfer angewiesen sind, können die Datenübermittlung durch den Abschluss von Standardvertragsklauseln und positiver Risikoabschätzung bis zur Annahme eines neuen Angemessenheitsbeschlusses folglich grundsätzlich rechtssicher fortsetzten.

 

„>

 
 
 

 

 

 

Nachdem die irische Datenschutzbehörde (Data Protection Commissioner, kurz: DPC) gleich zu Beginn des Jahres ihre Entscheidungen in den Verfahren gegen Facebook und Instagram veröffentlicht hatte, gab sie nun einige Wochen später eine Entscheidung in einem Verfahren gegen WhatsApp bekannt. Darin bestätigt die Behörde, dass WhatsApp seit Jahren personenbezogenen Daten seiner Nutzer verarbeitet, ohne dass dafür eine Einwilligung oder der Tatbestand anderer Rechtsgrundlagen vorgelegen habe. Für dieses Vorgehen wurde der Messenger-Dienst mit einem Bußgeld in Höhe von 5,5 Millionen Euro belegt. Einige Datenschützer, allen voran Maximilian Schrems, kritisieren die Entscheidung.

 

Das Wichtigste in Kürze

  • Noyb reichte am 25. Mai 2018 im Namen eines deutschen Nutzers Beschwerde gegen WhatsApp bei der irischen Datenschutzbehörde ein.
  • Konkret ging es um Datenverarbeitungen auf Grundlage der Zustimmung zu aktualisierten Nutzungsbedingungen sowie die Transparenz der Informationen, die WhatsApp seinen Nutzern zur Verfügung stellte.
  • Die irische Datenschutzbehörde hat festgestellt, dass eine weitergehende Verarbeitung von Nutzerdaten durch WhatsApp auf Grundlage des Nutzungsvertrages unrechtmäßig ist.
  • Die Kernprobleme der Datenverarbeitung bei WhatsApp hat der DPC trotz einer ausdrücklichen Aufforderung des EDSA nicht untersucht.

 

Hintergrund

Nachdem die Nichtregierungsorganisation None of your business (Noyb) rund um den Datenschutzaktivisten Max Schrems von einem betroffenen Nutzer aus Deutschland um Unterstützung ersucht wurde, reichte sie am 25. Mai 2018 – am selben Tag des Inkrafttretens der Datenschutzgrundverordnung – im Namen des Nutzers Beschwerde bei der zuständigen Datenschutzbehörde ein. In der Beschwerde wurde WhatsApp vorgeworfen, die Zustimmung zu den damals neuen Nutzungsbedingungen als rechtliche Grundlage für die Verarbeitung von Nutzerdaten verwendet zu haben, ohne dass die Nutzer hinreichend darüber belehrt wurden und ohne, dass sie eine solche Verarbeitung ablehnen konnten. Zudem trug die Organisation vor, dass unklar sei, ob sich die Betreiberin auf die Einwilligung der Nutzer oder auf Vertrag als Rechtsgrundlage für die stattfindenden Verarbeitungen berief, und dass jedenfalls keine der beiden Rechtsgrundlagen einschlägig sei.

 

Erforderlichkeit der Datenverarbeitung zur Erfüllung des Nutzungsvertrages

Am Tag vor dem Inkrafttreten der DSGVO forderte WhatsApp alle Nutzer dazu auf, aktualisierte Nutzungsbedingungen zu akzeptieren, um den Messenger weiterhin nutzen zu können. Anschließend berief sich der Messenger-Dienst auf die erteilte Zustimmung in die neuen Nutzungsbedingungen und gab vor, dass die Verarbeitung der Nutzdaten erforderlich sei, um die Dienste bereitzustellen und den Vertrag mit dem Nutzer erfüllen zu können.

Die DSGVO fordert für die Verarbeitung personenbezogener Daten stets eine Rechtsgrundlage. Zwar kommt ein Vertrag generell als rechtliche Grundlage für die Verarbeitung personenbezogener Daten in Betracht. Da Tracking und Online-Werbung für die Bereitstellung eines Messenger-Dienstes jedoch nicht erforderlich sind, ist die Datenverarbeitung zu diesen Zwecken nur auf Grundlage einer freiwilligen Einwilligung der Nutzer zulässig. WhatsApp versuchte gezielt dieses Erfordernis zu umgehen, indem das Unternehmen Tracking- und Werbemaßnahmen als Teil der Dienste ausgelegt hat, die vertraglich geschuldet sind.

 

Unfreiwillige Einwilligung in die Datenverarbeitung zu Werbezwecken

Der Messenger-Dienst hat die Zustimmung in die weitgehende Datenverarbeitung sowie die erforderlichen Datenschutzhinweise bewusst in ihre Allgemeinen Geschäftsbedingungen eingebaut, um sich später auch auf die Rechtsgrundlage der Vertragserfüllung berufen zu können und so gezielt das Einwilligungserfordernis der DSGVO zu umgehen. Auf eine freiwillige und informierte Einwilligung, wie sie die DSGVO fordert, konnte sich WhatsApp aufgrund des intransparenten Vorgehens nicht berufen. WhatsApp-Nutzer haben mit der Zustimmung in die neuen Nutzungsbedingungen – wenn überhaupt – nur unwissentlich in eine weitergehende Verarbeitung ihrer persönlichen Informationen für verhaltensbezogene Werbung, für Marketingzwecke sowie für die Bereitstellung von Statistiken an Dritte und den Austausch von Daten mit verbundenen Unternehmen eingewilligt.

 

Entscheidungsentwurf des DPC

In einem ersten Entscheidungsentwurf, der sich an eine Untersuchung anschloss, befand die irische Datenschutzbehörde diese Umgehung der DSGVO durch WhatsApp für rechtmäßig. Daraufhin brachten sechs Datenschutzbehörden, darunter auch der deutsche Bundesbeauftragte für Datenschutz und die Informationsfreiheit, Einwände gegen dieses Ergebnis vor.

 

Beschluss des EDSA im Streitbeilegungsverfahren

Schließlich nahm sich der Europäische Datenschutzausschuss dem Streitfall an und bestätigte die Einwände. Im Rahmen seiner Untersuchungen stellte das Gremium fest, dass WhatsApp sich unzulässigerweise auf die Vertragserfüllung für die Verarbeitung der personenbezogenen Daten seiner Nutzer gestützt hat. In seinem Streitbeilegungsbeschluss vom 05. Dezember 2022 wies der EDSA die irische Behörde konkret an, ihren Entscheidungsentwurf im Hinblick auf die Feststellungen zur Rechtmäßigkeit sowie Transparenz der Datenverarbeitung und die vorgesehenen Abhilfemaßnahmen zu überarbeiten. Zudem sollte die Behörde weitere Untersuchungen zu den Kernverstößen wie die Datenverwendung für verhaltensbezogene Werbung sowie die Datenweitergabe an Dritte und den Austausch von Daten mit verbundenen Unternehmen durchführen.

 

Endgültige Entscheidung des DPC

Zu Beginn des Jahres gab der DPC schließlich den Abschluss seiner Untersuchung in der Sache WhatsApp bekannt und veröffentlichte die entsprechende Entscheidung. Zum einen hat der DPC einen Verstoß gegen die Transparenzpflichten bejaht, da die Nutzer nicht hinreichend darüber informiert worden seien, inwiefern eine Verarbeitung ihrer personenbezogenen Daten erfolgt und auf welcher Rechtsgrundlage dies geschieht. Ferner hat die Behörde festgestellt, dass die bisherige weitgehende Datenerhebung unter Berufung auf eine vertragliche Grundlage einen Verstoß gegen Art. 6 Abs. 1 DSGVO darstellt und daher unrechtmäßig ist. Neben einem Bußgeld in Höhe von 5,5 Mio. Euro ordnete die Behörde unter Fristsetzung Abhilfemaßnahmen an.

 

Noyb-Kritik: Irische Datenschutzbehörde unterstützt Umgehung der DSGVO

Datenschutzaktivist und Vorstandsvorsitzender der Organisation Noyb, Maximilian Schrems, beanstandet in einer kritischen Stellungnahme, dass der DPC die Kernprobleme der Datenverarbeitung bei WhatsApp trotz einer ausdrücklichen Aufforderung des EDSA nicht untersucht habe. Vielmehr habe der DPC die vom EDSA angeordnete weitergehende Untersuchung der Kernverstöße abgelehnt und klargestellt, dass es dem Gremium nicht zustehe, eine Behörde anzuweisen und anzuleiten, eine unbefristete und spekulative Untersuchung durchzuführen.

 

Datenweitergabe zu Werbezwecken bleibt unberücksichtigt

Nach Auffassung des Datenschützers ist es äußerst problematisch, dass die Behörde die Datenweitergabe zu Werbezwecken völlig außer Acht lässt. Auch wenn WhatsApp selbst keine personalisierte Werbung schalte, sei davon auszugehen, dass aufgrund der Zugehörigkeit zum US-Konzern Meta eine Übermittlung der Metadaten (Verbindungs- und Standortdaten) an Facebook und Instagram stattfindet. Metadaten ermöglichen einen Rückschluss auf das Kommunikationsverhalten der Nutzer, sodass der Konzern die gewonnenen Informationen anschließend verwenden könne, um personalisierte Werbung auf den anderen Meta-Plattformen (Facebook und Instagram) zu schalten.

 

 

Fazit

Weshalb die irische Datenschutzbehörde über vier Jahre lang gebraucht hat, um sich mit einer einfachen Rechtsfrage auseinanderzusetzen, ist insbesondere unter Berücksichtigung der Einwände der Datenschutzbehörden anderer EU-Staaten unerklärlich. Weder Noyb noch WhatsApp sind erfreut über den Ausgang des Verfahrens. WhatsApp beabsichtigt, die Entscheidung des DPC anzufechten, da das Unternehmen von der datenschutzrechtlichen Konformität seiner Dienste überzeugt ist. Abgesehen von der Nichtbeachtung der Kernprobleme rügt Noyb auch die Höhe des Bußgeldes. In Anbetracht der Tatsache, dass die Behörde erst kürzlich gegen Facebook und Instagram ein Bußgeld in Höhe von insgesamt 390 Mio. Euro ausgesprochen hat, welches bereits als viel zu gering bewertet wird, fallen die 5,5 Mio. Euro, die WhatsApp zu zahlen hat, recht milde aus. Nachdem WhatsApp die DSGVO jahrelang durch Unterstützung der irischen Behörde sehr weit auslegen konnte, muss der Messenger-Dienst zukünftig Nutzereinwilligungen einholen, wenn die breitgefasste Verarbeitung von Nutzdaten zu Produktverbesserungszwecken fortgesetzt werden soll. Die Verarbeitung von Nutzerdaten zu Sicherheitszwecken bleibt weiterhin auch ohne Einwilligung rechtlich zulässig, auch wenn der Vertrag dahingehend keine Regelung vorsieht.

 

„>

 
 
 

 

 

 

Zentraler Bestandteil einer datenschutzkonformen Unternehmensführung ist neben einem vollständigen Verarbeitungsverzeichnis ein gut durchdachtes Löschkonzept. Unternehmen sind verpflichtet personenbezogene Daten grundsätzlich dann zu löschen, wenn der Zweck, für den sie erhoben wurden, weggefallen ist und gesetzliche Aufbewahrungspflichten der Löschung nicht entgegenstehen. Dies kann aus verschiedenen Gründen und zu verschiedenen Zeitpunkten der Fall sein. Neben der Festlegung konkreter Regeln für die Vornahme einer Löschung dient das Löschkonzept auch der sorgfältigen Dokumentation der entsprechenden Zweckbestimmungen als Basis der Datenerhebung und Verarbeitung.

Abgesehen von der Gewährleistung des Datenschutzes trägt die Aufstellung eines Löschkonzepts zur Verbesserung der unternehmensinternen Organisation bei.

 

Das Wichtigste in Kürze

  • In einem Löschkonzept wird systematisch und standardisiert definiert, wann personenbezogene Daten zu löschen sind.
  • Zur Erstellung eines Löschkonzepts kann die DIN-Norm 66398 als Richtlinie herangezogen werden.
  • Eine Datenlöschung ist immer dann vorzunehmen, wenn die personenbezogenen Daten für die Zwecke ihrer Verarbeitung, nicht mehr erforderlich sind und gesetzliche Aufbewahrungsfristen dem nicht entgegenstehen.
  • Das Löschkonzept muss in regelmäßigen Abständen aktualisiert und dahingehend überprüft werden, ob die festgelegten Löschfristen tatsächlich eingehalten werden und die automatisierten Löschroutinen keine Fehler aufweisen.

 

Was ist ein Löschkonzept?

In einem Löschkonzept wird systematisch und standardisiert definiert, welche Aufbewahrungsfristen für die jeweiligen Kategorien der personenbezogenen Daten vorgesehenen sind und wann diese entsprechend zu löschen und zu sperren sind. Das BDSG und die DSGVO sehen eine Löschung personenbezogener Daten vor, wenn diese nicht mehr benötigt werden, d. h. wenn der Zweck, für den sie ursprünglich erhoben wurden, erfüllt ist, dieser auf sonstige Weise entfällt, Aufbewahrungsfristen ausgelaufen sind oder der Betroffene die Löschung seiner Daten fordert. Das Löschkonzept sieht Regeln dafür vor, wer in diesen Fällen auf welche Weise und zu welchem Zeitpunkt eine Löschung der betroffenen Daten vornimmt.

 

Wie wird ein Löschkonzept erstellt?

Ein Löschkonzept enthält konkrete Vorgaben für die Löschung personenbezogener Daten. Allerdings enthält weder die DSGVO noch das BDSG eine konkrete Vorgabe hinsichtlich des Aufbaus eines Löschkonzepts. Daher kann zu dessen Erstellung die DIN-Norm 66398 als Richtlinie herangezogen werden. Sie ist jedoch nicht verpflichtend. Insoweit ist es oftmals empfehlenswerter, ein gut durchdachtes branchenspezifisches bzw. abteilungsspezifisches Löschkonzept aufzustellen, das den Bedürfnissen der Organisation und den Ressourcen des eigenen Unternehmens entspricht.

Da es in der Praxis oftmals schwierig ist, den Überblick darüber zu behalten, in welchen Unternehmensbereichen oder Systemen zu löschende Daten gespeichert sind, zwischen welchen Systemen ein Datenaustausch erfolgt und wer Datenempfänger ist, ist die Führung eines aktuellen Verarbeitungsverzeichnisses im Sinne des Art. 30 DSGVO essentiell. Darin erfolgt eine Bestandsaufnahme und Dokumentation der erhobenen, verarbeiteten und gespeicherten Daten (Mehr zum Thema Verarbeitungsverzeichnis lesen Sie hier.).

 

Wie geht man bei der Erstellung eines Löschkonzepts vor?

1. Personenbezogene Daten im Unternehmen lokalisieren

Zunächst sollte für jede Abteilung des Unternehmens eine gesonderte Bestandsanalyse durchgeführt werden, die einen Überblick darüber gibt, welche Verarbeitungstätigkeiten stattfinden und welche Daten in welchen Systemen oder auf welchen Datenträgern gespeichert werden. Ebenso, welche Datenzu- und Abflu¨sse zwischen einzelnen Systemen vorliegen. Dabei ist insbesondere die Datenkategorie zu erfassen, ebenso wie die Dauer, für die diese Daten unmittelbar im jeweiligen Geschäftsvorgang benötigt werden. Handelt es sich um eine Massenverarbeitung (bspw. Verarbeitung von Zahlungstransaktionen), ist die Ermittlung einer durchschnittlichen Verweildauer der Daten möglich und empfehlenswert. Weiterhin muss festgestellt werden, ob die betreffenden Daten einer gesetzlichen Aufbewahrungspflicht unterliegen und wann diese beginnt und endet. In diesem Zusammenhang sind die branchenspezifischen Rechtsvorschriften zu ermitteln, die für die jeweiligen Daten gelten. Insoweit ergeben sich beispielsweise allgemeine Fristen aus dem Handels-, Arbeits- und Steuerrecht.

2. Einordnung in Datenkategorien

Anschließend erfolgt die Einordnung der Daten in unterschiedliche Kategorien, die sich nach der Länge der Aufbewahrungsfrist richten. Handelt es sich um besonders sensible personenbezogene Daten im Sinne von Art. 9 DSGVO, können weitere Punkte zu beachten sein. Werden Daten vom Unternehmen im Wege der Auftragsverarbeitung durch einen externen Dienstleister verarbeitet oder verarbeitet das Unternehmen selbstständig personenbezogene Daten im Auftrag eines anderen, sollte auch für diese jeweils eine eigene Kategorie gebildet werden.

3. Aufstellung von Löschregeln

Gemäß der Datenschutzgrundverordnung dürfen personenbezogene Daten nur solange
gespeichert werden, wie dies auch tatsächlich erforderlich ist. Dabei ist zu beachten, dass personenbezogene Daten nicht nach dem Zufallsprinzip, sondern vielmehr nach sinnvollen Regeln gelöscht werden mu¨ssen. Eine Löschregel definiert, ob die angelegte Kategorie an einem bestimmten Tag oder in bestimmten Zeitabständen gelöscht werden muss. Zur Aufstellung einer Löschregel muss zunächst die jeweils geltende Aufbewahrungsfrist für die gebildete Datenkategorie ermittelt und anschließend für jede Kategorie mithilfe des Erhebungsdatums, der absehbaren Bearbeitungszeit und dem Beginn der jeweils geltenden Aufbewahrungsfrist eine Löschregel definiert werden.

Nach Ablauf der zuvor definierten Aufbewahrungsfristen sind sämtliche, sowohl analoge als auch digitale Datensätze datenschutzkonform zu löschen beziehungsweise zu vernichten. Dafür sollten sichere Vorgehensweisen gewählt werden.

 

Wann müssen Daten gelöscht werden?

Grundsätzlich mu¨ssen personenbezogene Daten auch immer dann gelöscht werden, wenn die betroffene Person dies im Rahmen der Geltendmachung ihres Rechts auf Löschung aus Art. 17 DSGVO vom Verantwortlichen verlangt.. Demnach ist eine Datenlöschung immer dann vorzunehmen, wenn die personenbezogenen Daten für die Zwecke, für die sie ursprünglich erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr erforderlich sind. Weiterhin kann sich eine Löschpflicht auch dann ergeben, wenn die Einwilligung in die Datenverarbeitung vom Betroffenen widerrufen wurde und für die Verarbeitung keine andere Rechtsgrundlage vorliegt. Insbesondere deshalb ist eine regelmäßige Überprüfung und entsprechende Aktualisierung der Löschroutinen und Datenbestände unausweichlich. Mit einer regelmäßigen automatischen Löschung von Datenkategorien ist es deshalb häufig nicht getan.

 

Dokumentation, Überprüfung und Aktualisierung des Löschkonzepts

Sämtliche vorgenannten Schritte sind zu dokumentieren. Insbesondere sind alle Löschvorgänge in einem Löschprotokoll zu dokumentieren, das für eine gewisse Dauer aufbewahrt werden sollte, um die Vornahme der Löschungen unter Umständen gegenüber Betroffenen oder Behörden nachweisen zu können. Um der Dokumentations- und Rechenschaftspflicht aus der DSGVO ordnungsgemäß nachzukommen, sollte das Löschkonzept darüber hinaus in regelmäßigen Abständen aktualisiert und sogleich überprüft werden, ob die festgelegten Löschfristen auch tatsächlich eingehalten werden und die automatischen Löschmechanismen keine Fehler aufweisen.

 

Kann eine Einwilligung durch Zeitablauf erlöschen?

In diesem Zusammenhang ist zu beachten, dass es in der Vergangenheit eine Reihe an Urteilen gab, die sich mit der Frage des Erlöschens einer Einwilligung durch Zeitablauf bzw. durch Verwirkung beschäftigt haben.

So auch erst kürzlich das Amtsgericht München (AG München, Urteil vom 14.02.2023, 161 C 12736/22). Das Gericht hat in seinem Urteil festgestellt, dass eine einmal erteilte Einwilligung in den Erhalt eines Newsletters auch dann erlischt, wenn ein E-Mail-Account über einen Zeitraum von vier Jahren nicht mehr genutzt wurde, der Werbende Kenntnis davon hatte und der Versand des Newsletters aufgrund dieser Kenntnis für eine gewisse Zeit unterblieben ist. Nach Auffassung des Gerichts müsse der Absender sich vom Empfänger bestätigen lassen, dass die ursprünglich erteilte Einwilligung noch besteht, wenn der Versand von Werbemails wieder aufgenommen werden soll.

Auch das LG München I entschied mit Urteil vom 8. April 2010, Az. 17 HK O 138/10 in einem ähnlichen Fall, dass eine Einwilligung in Werbemails, die vor 17 Monaten erteilt wurde und über die gesamte Zeit nicht genutzt wurde, „ihre Aktualität verliere“.

Demgegenüber verweist die Datenschutzkonferenz (DSK) in ihrer Orientierungshilfe zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung auf das Urteil des Bundesgerichtshofs vom 01. Februar 2018 (III ZR 196/17), in dem die Richter noch vor dem Inkrafttreten der DSGVO klargestellt hatten, dass eine einst erteilte Einwilligung grundsätzlich nicht allein durch Zeitablauf erlösche. Dies gelte allerdings nur, solange das betreffende Vertragsverhältnis andauert sowie bis zu höchstens zwei Jahren nach Beendigung des Vertrages. Für diesen überschaubaren Zeitraum könne nach Auffassung des BGH ein fortbestehendes Interesse des Verbrauchers, der bei Vertragsschluss seine Einwilligung in eine werbliche Ansprache erteilt hatte, angenommen werden.

Auch das AG München verweist in seinem Urteil auf diese Rechtsprechung des BGH, vertritt jedoch die Auffassung, dass die Einwilligung aufgrund der oben dargestellten besonderen Umstände durch Zeitablauf erloschen sei. Es bleibt abzuwarten, wie sich die Rechtsprechung zur Frage des Erlöschens einer Einwilligung aufgrund Zeitablaufs zukünftig entwickelt.

Für den Verantwortlichen ergibt sich daraus, dass insbesondere beim Umgang mit personenbezogenen Daten, deren Verarbeitung auf eine Einwilligung des Betroffenen gestützt wird, besonderes Augenmerk im Hinblick auf die einzuhaltenden Löschfristen zu legen ist. Denn wenn die Wirksamkeit einer Einwilligung – etwa in Werbemaßnahmen – nach einer gewissen Zeit abläuft, besteht auch kein datenschutzrechtlicher Rechtfertigungsgrund für die Speicherung der Kontaktdaten des Betroffenen mehr. Wer hier einen Datenschutzverstoß sicher ausschließen will, kommt um eine regelmäßige Überprüfung seiner Löschroutinen nicht herum.

 

 

Fazit

Spätestens seit dem Inkrafttreten der DSGVO sollten sich Unternehmen angesichts der deutlich erhöhten Bußgeldrahmen offensichtliche Lücken in diesem Bereich nicht mehr erlauben. Ist die Dokumentation und/oder Umsetzung des Löschkonzepts mangelhaft, drohen Bußgelder, die sich bekanntlich im Maximum auf bis zu 20 Mio. Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Jahres, je nachdem welcher der Beträge höher ist, erstrecken können. Erfahrungsgemäß ist das Vorhandensein eines Löschkonzepts eine der wesentlichen Anforderungen, die die Aufsichtsbehörden im Rahmen von Kontrollen stellen. Bestehen hier große Lücken, ist mit einem Entgegenkommen der Behörden regelmäßig nicht zu rechnen. Auf die Führung und regelmäßige Aktualisierung eines datenschutzkonformen Verarbeitungsverzeichnisses und Löschkonzepts sollte daher keinesfalls verzichtet werden.

 

„>

 
 
 

 

 

 

In seiner vielbeachteten Entscheidung vom 13.09.2022 (Az. 1 ABR 22/21) formulierte das Bundesarbeitsgericht neue Pflichten des Arbeitgebers in punkto Arbeitszeiterfassung. So ist nunmehr jeder Arbeitgeber verpflichtet, ein System zur Erfassung der von seinen Arbeitnehmern geleisteten täglichen Arbeitszeit einzuführen, das Beginn und Ende und damit die Dauer der Arbeitszeit einschließlich der Überstunden umfasst. Seit dem 02.12.2022 ist auch die schriftliche Begründung der Entscheidung zugänglich, sodass nunmehr die für die Praxis wichtigen Umsetzungsfragen präziser beantwortet werden können.

 

Das Wichtigste auf einen Blick

  • Das Bundesarbeitsgericht verpflichtet Arbeitgeber zur Einführung einer systematischen und vollständigen Arbeitszeiterfassung.
  • Bezüglich des „wie“ der Arbeitszeiterfassung bestehen Spielräume.
  • Vertrauensarbeitszeit ist nur noch eingeschränkt möglich.
  • Die Implementierung eines geeigneten Zeiterfassungssystems beinhaltet auch eine Reihe datenschutzrechtlicher Herausforderungen.
  • Es wird erwartet, dass in absehbarer Zeit eine gesetzliche Regelung die Vorgaben des Bundesarbeitsgerichts weiter ausgestalten wird.

 

Welche Zeiten sind zu erfassen?

Das Bundesarbeitsgericht hat in seiner Entscheidung herausgestellt, dass jeder Arbeitgeber verpflichtet ist, ein System zur Erfassung der von seinen Arbeitnehmern geleisteten täglichen Arbeitszeit einzuführen, das Beginn und Ende und damit die Dauer der Arbeitszeit einschließlich der Überstunden umfasst. Das Bundesarbeitsgericht formuliert hierbei in seiner Entscheidung wörtlich, dass „sämtliche“ Arbeitszeiten zu erfassen sind. Das Gericht leitet die Pflicht des Arbeitgebers zur Erfassung sämtlicher Arbeitszeiten aus dem Arbeitsschutzgesetz ab. Das Arbeitsschutzgesetz dient dem Gesundheitsschutz der Arbeitnehmer. Durch die Arbeitszeiterfassung, so das Bundesarbeitsgericht, werde sichergestellt, dass im Sinne des Gesundheitsschutzes die Regelungen über die Höchstarbeitszeit und die Ruhezeiten eingehalten werden.

Als Arbeit ist hierbei jede arbeitsvertraglich geschuldete Tätigkeit des Arbeitnehmers anzusehen, die der Arbeitgeber im Rahmen seines Direktionsrechts veranlasst oder wissentlich duldet. Nicht mitzurechnen sind entsprechend § 2 Abs. 1 ArbZG die Ruhepausen. Im Einzelnen kann es schwierig sein, trennscharf festzulegen, welche Tätigkeiten des Arbeitnehmers genau als Arbeit anzusehen sind. Diese Problematik stellt sich beispielsweise häufiger bei durch den Arbeitnehmer erbrachten Reisezeiten oder auch bei vorbereitenden Tätigkeiten, wie etwa dem Anziehen der Berufskleidung. Die Frage, welche Tätigkeiten konkret als Arbeitszeit anzusehen sind, kann auch Inhalt eines Tarifvertrages oder einer Betriebsvereinbarung sein, sodass im Zweifel die dort getroffenen Vereinbarungen herangezogen werden können. Durch die Entscheidung des Bundesarbeitsgerichts dürften derartige Vereinbarungen an zusätzlicher Bedeutung gewinnen.

 

Ändert sich etwas in Bezug auf Vertrauensarbeitszeit?

Vertrauensarbeitszeit wird in der betrieblichen Praxis unterschiedlich gehandhabt. So wird teilweise im Rahmen der Vertrauensarbeitszeit auf eine Arbeitszeiterfassung vollständig verzichtet. Damit entfällt naturgemäß auch weitgehend die Kontrolle der erbrachten Arbeitszeit durch den Arbeitgeber. Der Arbeitgeber vertraut darauf, dass der Arbeitnehmer seiner Arbeitsverpflichtung nachkommt. Arbeitgeber und Arbeitnehmer kommt es bei diesem Modell also primär auf das zu erbringende Arbeitsergebnis an und weniger auf die durch den Arbeitnehmer tatsächlich „abgeleistete“ Arbeitszeit. Gleichwohl dürfen auch bei diesem Modell die gesetzlichen Höchstarbeitszeiten und die Ruhezeiten nicht überschritten werden. Auch sind Überstunden gem. § 16 Abs. 2 ArbZG aufzuzeichnen.

Das beschriebene Modell der Vertrauensarbeitszeit steht in Konflikt mit der nunmehr expliziten Vorgabe des Bundesarbeitsgerichts, wonach „sämtliche“ Arbeitszeiten des Arbeitnehmers zu erfassen sind. Es wird in dieser Form also nicht weiter umsetzbar sein.

In einer abgeschwächten Form wird unter Vertrauensarbeitszeit auch verstanden, dass der Arbeitgeber dem Arbeitnehmer lediglich keine Vorgaben zu Beginn, Ende bzw. Lage seiner Arbeitszeit macht. Diese Form der Vertrauensarbeit wird auch weiterhin möglich sein, da eine Arbeitszeiterfassung auch möglich ist, wenn Arbeitsbeginn und -ende an den einzelnen Arbeitstagen variieren. Sofern also das konkrete Modell der Vertrauensarbeitszeit die Führung eines Arbeitszeitkontos vorsieht, ist Vertrauensarbeit auch weiterhin möglich.

 

Wessen Arbeitszeiten müssen erfasst werden?

Die Verpflichtung des Arbeitgebers, ein System einzuführen, mit dem der Beginn und das Ende der täglichen Arbeitszeiten einschließlich der Überstunden erfasst werden kann, bezieht sich nach der Entscheidung des Bundesarbeitsgerichts auf alle im Betrieb des Arbeitgebers beschäftigten Arbeitnehmer einschließlich der zu ihrer Berufsausbildung Beschäftigten (also auch Auszubildende, Volontäre und ggf. Praktikanten). Auch macht das Bundesarbeitsgericht keinen Unterschied zwischen im Betrieb tätigen Arbeitnehmern und solchen im Außendienst oder Home- bzw. Mobile-Office.

Umstritten ist derzeit noch, ob die Entscheidung des Bundesarbeitsgerichts so zu verstehen ist, dass auch die Arbeitszeit von leitenden Angestellten (also Angestellten mit wesentlichen Arbeitgeberbefugnissen) zu erfassen ist. Hintergrund dieser Unklarheit ist, dass das Bundesarbeitsgericht die Pflicht des Arbeitgebers zur Arbeitszeiterfassung wesentlich auf das Arbeitsschutzgesetz stützt, das jedoch auf leitende Angestellte nicht anwendbar ist. Klarheit kann hier letztlich nur durch eine gesetzliche Regelung geschaffen werden.

 

Wie muss die Arbeitszeit erfasst werden?

Das Bundesarbeitsgericht verpflichtet den Arbeitgeber zur Einrichtung eines objektiven, verlässlichen und zugänglichen Systems für die Erfassung sämtlicher Arbeitszeiten. Diese allgemein gehaltene Verpflichtung eröffnet einen weiten Spielraum hinsichtlich der konkreten Umsetzung. In der Praxis wird sich häufig ein elektronisches Zeiterfassungssystem anbieten. Dies ist jedoch nicht zwingend – auch eine analoge Aufzeichnung (etwa handschriftlich) ist möglich. Ein „objektives, verlässliches und zugängliches System“ der Zeiterfassung kann nach Auffassung der Erfurter Richter auch dann gewährleistet sein, wenn die Zeiterfassung durch den Arbeitnehmer in Eigenverantwortung durchgeführt wird (etwa durch Eintragung in eine selbstgeführte Excel-Tabelle). Die Arbeitszeiterfassung kann damit grundsätzlich auch weiterhin auf den Arbeitnehmer delegiert werden. Der Arbeitgeber bleibt gleichwohl für die Einhaltung des Arbeitszeitgesetzes verantwortlich.

 

Welche datenschutzrechtlichen Grundlagen sind für die Arbeitszeiterfassung relevant?

In der Arbeitswelt sind in vielfältiger Weise datenschutzrechtliche Regelungen – insbesondere aus der Datenschutzgrundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) – zu beachten. Die DSGVO und das BDSG sind grundsätzlich immer dann anwendbar, wenn personenbezogene Daten verarbeitet werden.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Bei Arbeitszeiten handelt es sich um Informationen (in Form der Art und Dauer der erbrachten Arbeit), die sich auf identifizierbare Personen (die jeweiligen Arbeitnehmer) beziehen, sodass Arbeitszeiten als personenbezogene Daten anzusehen sind.

Indem der Arbeitgeber die Arbeitszeiten mittels des jeweiligen Zeiterfassungssystems auch erhebt und ausliest, „verarbeitet“ er sie auch im Sinne der DSGVO und des BDSG.
Die Verarbeitung personenbezogener Daten in Form der Arbeitszeiterfassung kann zum einen auf § 26 Abs. 1 S. 1 BDSG gestützt werden. Gemäß dieser Vorschrift dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für dessen Durchführung erforderlich ist. Da nunmehr eine explizite Pflicht des Arbeitgebers zur Arbeitszeiterfassung besteht, ist von einer derartigen Erforderlichkeit auszugehen. Auf Grundlage dieser Erwägungen kann die Datenverarbeitung auch auf Art. 6 Abs. 1 lit. c) DSGVO (Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung) gestützt werden.

Es ist also festzuhalten, dass im Rahmen der Arbeitszeiterfassung personenbezogene Daten verarbeitet werden. Hierfür besteht auch eine Rechtsgrundlage im BDSG und der DSGVO.

 

Was ist bei der datenschutzrechtlichen Umsetzung zu beachten?

Für die konkrete datenschutzkonforme Umsetzung der Zeiterfassung ist die jeweilige betriebliche Ausgestaltung genauer in den Blick zu nehmen.

So kommt es insbesondere darauf an, mittels welchen Systems die Arbeitszeit erfasst werden soll. Wie oben dargestellt, besteht hinsichtlich des „wie“ der Arbeitszeiterfassung derzeit ein weiter Spielraum (dies kann sich möglicherweise durch eine gesetzliche Regelung in Zukunft noch ändern). So ist eine Arbeitszeiterfassung über eine Stechuhr genauso möglich, wie ein handgeschriebener Stundenzettel. Ebenso sind volldigitale Umsetzungen (auch etwa durch eine mobil einsetzbare App) grundsätzlich möglich.

Innerhalb dieses weiten Spielraums ist gleichwohl die gesamte Palette der datenschutzrechtlichen Vorgaben zu beachten. Wenn etwa im Rahmen der Arbeitszeiterfassung ein Fingerabdruck oder ein Iris-Scan vorgenommen wird, werden biometrische Daten verarbeitet, für deren Verarbeitung in Art. 9 DSGVO strengere Anforderungen definiert sind. Auch das Prinzip der Zweckbindung aus Art. 5 Abs. 1 lit. b) DSGVO ist zu beachten, wonach die Datenerhebung nur für festgelegte, eindeutige und legitime Zwecke erfolgen darf. Hier ist insbesondere darauf zu achten, dass der Arbeitgeber die erhobenen Daten nicht zu einer unzulässigen (Dauer-)Überwachung des Arbeitnehmers (etwa in Form von Bewegungsprofilen) verwenden darf. Das Prinzip der Speicherbegrenzung aus Art. 5 Abs. 1 lit. e) DSGVO, gebietet es zudem, ein Löschkonzept für die erhobenen Arbeitszeiten zu erstellen und umzusetzen.

Insbesondere das „wie“ der Zeiterfassung gerät also schnell in ein Spannungsfeld zwischen dem Bedürfnis nach praktikablen (d.h. zeitsparenden und leicht auslesbaren) Erfassungssystemen und den schutzwürdigen Interessen des Arbeitnehmers im Rahmen der jeweiligen Datenverarbeitung. So stellte das Landesarbeitsgericht Berlin-Brandenburg in seinem Urteil vom 04.06.2020 klar, dass ein Arbeitszeiterfassungssystem, das das Persönlichkeitsrecht eines Menschen berührt, nur dann verhältnismäßig ist, wenn ein legitimer Zweck verfolgt wird und zur Erreichung dieses Zwecks kein gleich wirksames und das Persönlichkeitsrecht weniger einschränkendes Mittel zur Verfügung steht (LAG Berlin-Brandenburg, Urteil vom 04.06.2020 – 10 Sa 2130/19). Dies wird insbesondere dann besonders problematisch sein, wenn – wie im durch das LAG Berlin-Brandenburg zu entscheidenden Fall –biometrische Daten (und damit sensible Daten i.S.d. Art. 9 DSGVO) verarbeitet werden.

 

 

Fazit und Ausblick

Durch die Entscheidung des Bundesarbeitsgerichts haben sich für die Arbeitgeber neue Compliance-Anforderungen in Bezug auf die Arbeitszeiterfassung ergeben, die diese nun rasch überprüfen und gegebenenfalls anpassen müssen. Auch Streitigkeiten zwischen Arbeitgeber und Arbeitnehmer – und gegebenenfalls Betriebsrat – über die konkrete Ausgestaltung des Arbeitszeiterfassungssystems könnten so zunehmen.

Perspektivisch ist davon auszugehen, dass der Gesetzgeber die neue Rechtsprechung des Bundesarbeitsgerichts zum Anlass nehmen wird, um die durch das Gericht formulierten Leitlinien zu konkretisieren. Hierbei könnten etwa auch die Anforderungen an die Arbeitszeiterfassung in Bezug auf verschiedene Anwendungsfelder differenziert werden. Der Versuch, konkrete Prognosen über die geplante gesetzliche Ausgestaltung zu treffen, gleicht jedoch einem Blick in die Glaskugel. Bis zu einer gesetzlichen Regelung bleiben als Orientierungspunkt also nur die durch das Bundesarbeitsgericht getroffenen Vorgaben.

Arbeitszeiterfassungssysteme sehen sich derzeit einem intensiven Stresstest durch rechtliche Vorgaben ausgesetzt. Sprechen Sie uns an, wenn Sie Fragen zur rechtssicheren Umsetzung der Arbeitszeiterfassung haben.

 

„>

 
 
 

 

 

 

Auch im datenschutzrechtlichen Bereich zeigt sich die immense wirtschaftliche Bedeutung des Outsourcings. Auftragsverarbeitungen nach Art. 28 DSGVO sind für viele Unternehmen bei einer Vielzahl von Dienstleistungen der Standard. Nur in seltenen Fällen übernehmen Unternehmen die gesamten Prozesse rund um die Verarbeitung personenbezogener Daten, die im Rahmen der Unternehmungsführung anfallen, vollständig alleine. Die DSGVO enthält viele komplexe Regelungen und Verpflichtungen für die Verarbeitung personenbezogener Daten durch externe Dienstleister, sodass es den Beteiligten in der Praxis oftmals schwerfällt, die Vorgaben ordnungsgemäß zu erfüllen. Erfreulicherweise hat der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg noch im letzten Jahr, kurz vor Ende seiner Amtszeit, die nationale Verhaltensregel „Trusted Data Processor“ genehmigt. Diese bietet Unternehmen fortan Unterstützung bei der Anwendung der Datenschutz-Grundverordnung im Rahmen der Auftragsverarbeitung und sorgt für mehr Transparenz.

 

Das Wichtigste in Kürze

  • Der LfDI BW genehmigte die Verhaltensregel „Trusted Data Processor“.
  • Die Verhaltensregel schafft Rechtssicherheit und vereinfacht die Umsetzung der Anforderungen der DSGVO in der Praxis.
  • Unternehmen haben die Möglichkeit, sich durch eine Selbstverpflichtung auf die Verhaltensregel zertifizieren zu lassen.

 

Auftragsverarbeitung für viele Unternehmen unverzichtbar

Unternehmen greifen regelmäßig auf Dienstleister zurück, die in ihrem Auftrag weisungsgebunden personenbezogene Daten verarbeiten – sogenannte Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO. Findet eine solche Auftragsverarbeitung statt, sieht die DSGVO in Art. 28 sowohl für den Auftraggeber als auch für den Auftragnehmer einige Anforderungen vor, die zwingend eingehalten werden müssen (Mehr dazu finden Sie hier.). Hierdurch soll gewährleistet werden, dass die Datenverarbeitung auch unter Einsatz eines Auftragsverarbeiters den Vorgaben der DSGVO genügt. Grundlage einer Auftragsverarbeitung ist grundsätzlich der Abschluss eines Auftragsverarbeitungsvertrages, der den Anforderungen der DSGVO entspricht.

Jedoch ist es für Auftraggeber trotz Abschluss eines entsprechenden Vertrages oftmals nicht immer nachvollziehbar, ob und inwiefern die Auftragsverarbeiter der vertraglichen Vereinbarung Folge leisten und ihren Pflichten aus der DSGVO nachkommen.

 

Neue Verhaltensregel „Trusted Data Professor“

Nun soll die vom Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) genehmigte Verhaltensregel „Anforderungen an die Auftragsverarbeiter nach Artikel 28 DSGVO – Trusted Data Processor“ für mehr Transparenz und Rechtssicherheit sorgen. Dabei liegt der Schwerpunkt insbesondere auf der Ausgestaltung von Geschäftsprozessen. Die eigentlichen Leistungsprozesse der Auftragsverarbeiter bleiben dabei unberührt. Ausgehend von praktischen Erfahrungen beschreibt diese Verhaltensregel, wie die Zusammenarbeit zwischen Auftraggeber und Auftragnehmer konkret organisiert und vor allem vereinfacht werden soll. Die Tatsache, dass die Verhaltensregel auf einer langjährigen fachlichen Vorarbeit des Berufsverbands der Datenschutzbeauftragten Deutschlands e.V. (BvD) und der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) basiert, spiegelt die Komplexität der Anforderungen, die an eine solche Verhaltensregel gestellt werden, wider.

 

Genehmigte Regel bringt viele Vorteile für alle Beteiligten

Bei der neuen Verhaltensregel handelt es sich im Grunde um eine Konkretisierung der Anforderungen aus der DSGVO, die es den Beteiligten leichter machen sollen, die Vorgaben der DSGVO umzusetzen und diese Umsetzung zu überwachen. Durch Standardisierung von Prozessen ermöglicht sie zudem, die Zusammenarbeit zwischen Auftraggeber und Auftragnehmer kosteneffizienter zu gestalten. Darüber hinaus schafft die aufsichtsbehördliche Genehmigung in der Regel mehr Rechtssicherheit.

 

Zertifizierungsmöglichkeit für Auftragsverarbeiter

Auftragsverarbeiter haben fortan die Möglichkeit, einen Antrag auf Selbstverpflichtung zu stellen und sich entsprechend zertifizieren zu lassen. Dies ist über die Internetseite der Datenschutz Zertifizierungsgesellschaft mbH (kurz: DSZ) möglich. Diese wurde im Zuge der Anerkennung der Verhaltensregel als offizielle Überwachungsstelle akkreditiert. Die DSZ übernimmt die Kontrolle der Einhaltung der Verhaltensregel durch die verpflichteten Auftragsverarbeiter sowie die Bearbeitung von Beschwerden. Der Auftragsverarbeiter erhält im Rahmen der Zertifizierung ein entsprechendes Zeichen, mit dem er nach außen hin kommunizieren kann, dass er nach den Vorgaben der Verhaltensregel „Trusted Data Processor“ arbeitet (sog. TDA-Zeichen).

Der vollständige Wortlaut der Verhaltensregel findet sich auf der Webseite des DSZ unter: https://www.verhaltensregel.eu/wp-content/uploads/2022/11/Verhaltensregel_Trusted_Data_Processor_V1.pdf.

 

Mehr Transparenz für Auftraggeber

Vor allem die Bedürfnisse von kleinen und mittleren Unternehmen werden berücksichtigt, indem durch die Verhaltensregel Prozesse und Vertragsinhalte vorgegeben werden. Dies schafft zugleich mehr Transparenz, da für Auftraggeber bereits im Vorfeld auf einen Blick ersichtlich ist, was sie erwartet.

 

Reduzierung des Verwaltungsaufwands

Ein weiterer wesentlicher Vorteil aus Sicht eines Auftraggebers ist die Reduzierung des Verwaltungsaufwandes, der mit dem Einsatz eines Auftragsverarbeiters verbunden ist. Denn grundsätzlich ist der Auftraggeber als Verantwortlicher i.S.d. DSGVO verpflichtet zu überprüfen, dass der Auftragsverarbeiter den Pflichten aus der DSGVO vollumfänglich nachkommt. Dies hat er gegebenenfalls durch regelmäßige Kontrollen sicherzustellen. Kommt der Auftraggeber seinen Kontrollpflichten nicht nach, können ihm sowohl behördliche Bußgelder als auch Schadensersatzansprüche seiner eigenen Kunden oder Geschäftspartner drohen, da er den Schutz ihrer personenbezogenen Daten vernachlässigt hat.

 

Entlastungsmöglichkeit im Falle aufsichtsbehördlicher Kontrollen und Überwachung der Auftragsverarbeiter durch unabhängige Überwachungsstelle

Durch die Selbstverpflichtung des Auftragsverarbeiters können Auftraggeber nun zukünftig sicherstellen, dass ihre Auftragnehmer den datenschutzrechtlichen Pflichten vollumfänglich nachkommen und sich im Falle einer aufsichtsbehördlichen Kontrolle entlasten. Die Einhaltung der Selbstverpflichtung wird durch die DSZ als unabhängige Überwachungsstelle sichergestellt. Zwar entbindet eine solche Verhaltensregel den Auftraggeber nicht von seinen Pflichten als Verantwortlicher, jedoch kann er bis zu einem gewissen Grad darauf vertrauen, dass der Auftragsverarbeiter sich auch tatsächlich den Verhaltensregeln unterwirft, auf die er sich verpflichtet hat.

Besonders hervorzuheben ist ferner, dass durch die Selbstverpflichtung des Auftragsverarbeiters auch die Einhaltung der gesetzlichen Vorgaben beim Drittlanddatentransfer durch die Überwachungsstelle überprüft wird.

Kommt es im Rahmen der Auftragsverarbeitung zu einer Datenpanne (bspw. durch einen Hackerangriff), wirkt sich die Selbstverpflichtung zudem positiv auf potenzielle aufsichtsbehördliche Sanktionsmaßnahmen aus.

 

Kostensenkung und Zeitersparnis durch standardisierte Prozesse

Letztlich hat die Selbstverpflichtung ein Kostensenkungspotenzial, da die Beauftragung eines Dienstleisters zum Zwecke der Datenverarbeitung stets den Abschluss eines Auftragsverarbeitungsvertrages erfordert, der im Laufe der Geschäftsbeziehung oft angepasst werden muss und dessen Einhaltung einer regelmäßigen Prüfung bedarf. Werden von einem Unternehmen zeitlich mehrere Auftragsverarbeiter beauftragt, müssen jeweils gesonderte Auftragsverarbeitungsverträge abgeschlossen werden. Dies ist nicht nur zeit-, sondern auch kostenintensiv. Durch den Rückgriff auf Auftragsverarbeiter, die sich auf die Einhaltung der Verhaltensregel verpflichtet haben, kann eine erhebliche Kostensenkung und Zeitersparnis erreicht werden, da sämtliche Prozesse standardisiert vorgegeben sind und eine eigene Überwachungsstelle vorhanden ist.

 

 

Fazit

Nicht wenigen Unternehmen haben Schwierigkeiten mit der praktischen Umsetzung der Vielzahl an Regeln und Verpflichtungen, die die DSGVO an den Umgang mit personenbezogenen Daten stellt. Insoweit bildet die Verhaltensregel „Trusted Data Processor“ eine willkommene Hilfestellung für die Umsetzung der gesetzlichen Vorgaben im Bereich der Auftragsverarbeitung, da mit ihrer Hilfe die teilweise sehr abstrakten Regelungen der DSGVO bereichsspezifisch präzisiert und konkretisiert werden können. Dies erleichtert nicht nur die Anwendbarkeit der DSGVO in der Praxis, sondern sorgt auch für mehr Rechtssicherheit für alle Beteiligten. Zwar ist auch die Umsetzung der neuen Regel komplex und mit einem nicht unerheblichen Zeitaufwand verbunden. Langfristig gesehen können jedoch alle an der Auftragsverarbeitung Beteiligten von einer Selbstverpflichtung des Auftragsverarbeiters profitieren, da sie nicht nur viel Zeit, sondern auch Kosten einsparen. Auftragsverarbeiter ihrerseits können sich durch eine entsprechende Selbstverpflichtung von Wettbewerbern abheben und bei wachsender Sensibilisierung für den Datenschutz neue Kunden gewinnen.

 

„>

 
 
 

 

 

 

Im April letzten Jahres hat der Gerichtshof der Europäischen Union (EuGH) entschieden, dass Verbraucherschutzverbände auch ohne konkreten Auftrag gegen Datenschutzverstöße von Unternehmen klagen können. Die Frage nach der Klagekompetenz von Mitbewerbern hat er allerdings offengelassen. In einer aktuellen Vorlage will der Bundesgerichtshof (BGH) nun unter anderem wissen, ob ein Apotheker befugt ist zivilgerichtlich gegen seine Konkurrenten wegen mutmaßlicher Datenschutzverstöße vorzugehen (BGH, EuGH-Vorlage vom 12.01.2023, Az. I ZR 223/19).

 

Das Wichtigste in Kürze

  • Das Oberlandesgericht entschied in der Vorinstanz, dass die Regelungen der DSGVO marktregulierenden Charakter i.S.v. § 3a UWG haben.
  • Der Apotheker sei daher als Mitbewerber nach Wettbewerbsrecht grundsätzlich berechtigt, einen Beseitigungs- und Unterlassungsanspruch zivilgerichtlich geltend zu machen.
  • Der BGH möchte nun wissen, ob die Datenschutzgrundverordnung einem solchen Klagerecht des Mitbewerbers bei mutmaßlichen Datenschutzverstößen eines Konkurrenten entgegensteht.
  • Ferner soll der EuGH entscheiden, ob es sich bei Arzneimittelbestelldaten, um Gesundheitsdaten handelt.

 

Hintergrund

Hintergrund des Verfahrens sind zwei Klagen eines Apothekers gegen zwei Mitbewerber, die zwar apothekenpflichtige, nicht aber verschreibungspflichtige Medikamente über Amazon Marketplace vertreiben. Nach Auffassung des Klägers verstoßen seine Konkurrenten dabei unter anderem gegen die Datenschutzgrundverordnung. Aus Sicht des Klägers werden im Rahmen des Amazon-Bestellvorgangs Gesundheitsdaten im Sinne der DSGVO erhoben. Gesundheitsdaten sind solche Daten, die Rückschlüsse auf den Gesundheitszustand einer Person zulassen. Die datenschutzrechtlichen Zulässigkeitsvoraussetzungen für die Verarbeitung solcher Gesundheitsdaten liegen nach Auffassung des Klägers in den konkreten Fällen jedoch nicht vor. Problematisch sei vor allem auch, dass neben dem verkaufenden Apotheker auch das nicht pharmazeutische ausgebildete Amazon-Personal Zugriff auf die Gesundheitsdaten habe.

 

LG: Datenschutzrechtliche Vorgaben sind Marktverhaltensregelungen

Vor dem Landgericht Dessau-Roßlau (Urteil vom 28.03.2018 – 3 O 29/17) hatte der Apotheker mit seiner Klage Erfolg. Das Landgericht vertrat die Auffassung, dass es sich bei datenschutzrechtlichen Vorgaben um Marktverhaltensregelungen im Sinne des Wettbewerbsrechts handle, weil sie auch dem Schutz der Interessen des Mitbewerbers dienen. Schließlich werden durch den Vertrieb von Arzneimitteln über eine Handelsplattform wie Amazon Daten kommerziell nutzbar wie eine Ware, sodass nach Auffassung der Klägerseite eine Marktrelevanz zu bejahen sei.

Das Gericht bejahte im konkreten Fall sowohl Verstöße gegen berufsrechtliche Vorschriften als auch Verstöße gegen geltendes Datenschutzrecht.

 

OLG: Arzneimittelbestelldaten sind Gesundheitsdaten i.S.d. Art. 9 DSGVO

Auch in zweiter Instanz hatte der Kläger Erfolg. Bei den vom Beklagten beim Bestellvorgang verarbeiteten Kundendaten handle es sich nach Auffassung des OLG Naumburg (Urt. v. 7.11.2019 – 9 U 39/18) um Gesundheitsdaten. Gesundheitsdaten sind besondere personenbezogene Daten, deren Verarbeitung nur unter den Voraussetzungen des Art. 9 DSGVO, insbesondere dem Vorliegen einer Einwilligung, zulässig ist. Eine Einwilligung lag nach den Feststellungen des OLG in den konkreten Fällen nicht vor, sodass die Verarbeitung der Kundendaten im Rahmen des Bestellvorgangs datenschutzwidrig sei.

 

Regelungen der DSGVO dienen auch dem Schutz der Interessen von Mitbewerbern

Ferner käme den Regelungen der DSGVO nach Auffassung des Gerichts im konkreten Fall marktregulierenden Charakter im Sinne von § 3a UWG (Gesetz gegen den unlauteren Wettbewerb) zu, da sie auch dem Schutz der Interessen der Mitbewerber dienen.

Der klagende Apotheker sei daher als Mitbewerber nach § 8 Abs. 3 Nr. 1 UWG grundsätzlich berechtigt, einen Beseitigungs- und Unterlassungsanspruch geltend zu machen. Beide Beklagten seien als Verantwortliche im Sinne der DSGVO gehalten gewesen, die Bestimmungen der DSGVO einzuhalten. Daher können sie gemäß § 8 Abs. 1 und 2 UWG wettbewerbsrechtlich mit Blick auf die bei Amazon und im eigenen Betrieb durchgeführte Verarbeitung der Gesundheitsdaten auf Unterlassung in Anspruch genommen werden.

 

Aussetzung der Verfahren und Vorlage beim EuGH

Nachdem die Beklagten Rechtsmittel gegen die Entscheidung des OLG eingelegt hatten, befasste sich der BGH mit der Sache. Dieser setzte die Verfahren nun bereits zum zweiten Mal aus, um dem EuGH zwei entscheidungserhebliche Fragen vorzulegen.

 

Rechtliche Verfolgung von Datenschutzverstößen als unlautere Geschäftspraktik

Die Richter wollen zum einen geklärt wissen, ob ein Mitbewerber befugt ist, wegen mutmaßlicher Datenschutzverstöße gegen den Verantwortlichen unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken zivilgerichtlich vorzugehen. Dies ist bisher umstritten. Eine solche Klagebefugnis ist von der DSGVO nirgends ausdrücklich vorgesehen. Jedoch ist der DSGVO auch keine Regelung zu entnehmen, nach der die Verfolgung von Datenschutzverstößen als unlautere Geschäftspraktiken ausgeschlossen sein soll.

 

Kategorisierung von Arzneimittelbestelldaten als Gesundheitsdaten i.S.d. Art. 9 DSGVO

Zum anderen soll der EuGH die Frage klären, ob es sich bei den Daten, die im Zuge der Bestellung des Arzneimittels, das zwar apotheken-, aber nicht verschreibungspflichtig ist, angegeben werden, um Gesundheitsdaten handelt. In den konkreten Fällen geht es um Daten wie Namen, Lieferadressen sowie die Art der Arzneimittel.

Bei Gesundheitsdaten handelt es sich gem. Art. 4 Nr. 15 DSGVO um personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen beziehen und die einen Rückschluss auf den Gesundheitszustand einer Person erlauben.

Nach Auffassung des BGH sei unklar, ob Gesundheitsdaten auch dann vorliegen, wenn – wie im Streitfall – nicht eindeutig festgestellt werden kann, ob die bestellten Produkte der Eigenmedikation dienen, sodass aus den Bestelldaten auf Informationen über den Gesundheitszustand des Bestellers geschlossen werden könnte. Schließlich könnte die bestellende Person das Arzneimittel auch für einen anderen erwerben. Die Antwort auf diese Frage ergibt sich weder aus dem Wortlaut der DSGVO noch aus dem entsprechenden Erwägungsgrund 35 der DSGVO.

 

EuGH bejaht Klagebefugnis von Verbänden

Der BGH hatte im Mai 2020 bereits in einer anderen Rechtssache ein Vorabentscheidungsersuchen an den EuGH gerichtet. Darin ging es unter anderem um die Klärung der Frage, ob Bestimmungen der DSGVO nationalen Regelungen entgegenstehen, die Mitbewerber sowie Verbände ermächtigen, zivilgerichtlich gegen Datenschutzverstöße vorzugehen, und zwar unabhängig davon, ob eine Verletzung konkreter Rechte einzelner Betroffener vorliegt und ohne, dass ein Auftrag erteilt wurde.

Der EuGH entschied jedoch lediglich über die Klagebefugnis der nach nationalem Recht berechtigten Verbände, Einrichtungen und Kammern. Die Frage nach der Klagebefugnis von Mitbewerbern hat der EuGH mangels Entscheidungserheblichkeit im Ausgangsverfahren ausdrücklich offengelassen.

 

 

Ausblick

Eine Bestätigung der OLG-Entscheidung durch den EuGH hätte erhebliche Auswirkungen auf den Wettbewerb im unternehmerischen Geschäftsverkehr. Mitbewerber könnten ihre Konkurrenten, insbesondere deren Internetauftritt, im Hinblick auf die Einhaltung des Datenschutzrechts näher unter die Lupe nehmen und anschließend zivilgerichtlich gegen mutmaßliche Verstöße vorgehen. Allerdings würde die Bejahung eines solchen „allgemeinen“ Klagerechts langfristig betrachtet höchstwahrscheinlich die Einhaltung des Datenschutzes und die Sensibilität für das Thema vorantreiben.

Auch die Frage hinsichtlich der datenschutzrechtlichen Kategorisierung der zu verarbeitenden Daten im Rahmen des Bestellvorgangs ist nicht uninteressant. Schließlich greift im digitalen Zeitalter ein Großteil der Kunden auf die Online-Version einer Apotheke zurück. Die Beurteilung der Reichweite von Gesundheitsdaten ist damit insgesamt relevant. Eine ähnliche Problematik besteht auch bei anderen besonderen Kategorien von Daten, bei denen indirekte Rückschlüsse häufig für Unklarheiten sorgen. Der EuGH ist in der Vergangenheit tendenziell von einem weiten Verständnis des Anwendungsbereichs von Art. 9 DSGVO ausgegangen (Urteil vom 01.08.2022, Rs. C-184/20).

 

„>

 
 
 

 

 

 

Nach fast eineinhalb Jahren Verhandlung hat die EU-Kommission am 13. Dezember 2022 den Entwurf eines Angemessenheitsbeschlusses für den EU-US-Datenschutzrahmen veröffentlicht. Dieser zielt darauf ab, einen sicheren Datenverkehr zwischen der EU und den USA zu fördern und die datenschutzrechtlichen Bedenken auszuräumen, die seit dem Schrems II-Urteil des EuGH bestehen. Wenn der Beschluss in den kommenden Monaten in dieser Form verabschiedet werden sollte, könnten Unternehmen auf Grundlage dieses EU-US-Privacy Framework einfacher und rechtssicher personenbezogene Daten aus der EU in den USA verarbeiten.

 

Das Wichtigste in Kürze

  • Die EU-Kommission kommt zu dem Ergebnis, dass in den USA ein angemessenes Datenschutzniveau nach Art. 45 DSGVO gewährleistet ist.
  • US-Unternehmen, die personenbezogene Daten aus der EU verarbeiten wollen, müssen sich künftig bei der US-Handelsaufsicht registrieren lassen und sich detaillierten Datenschutzpflichten unterwerfen.
  • EU-Bürgern werden verschiedene Rechtsbehelfsmöglichkeiten zur Verfügung gestellt.
  • Nach Abschluss des Annahmeverfahrens kann die EU-Kommission den Angemessenheitsbeschluss endgültig annehmen. Mit einer Verabschiedung dürfte jedoch frühestens im ersten Quartal 2023 zu rechnen sein.

 

Hintergrund

Jede Verarbeitung personenbezogener Daten in der EU unterliegt der Datenschutzgrundverordnung (DSGVO). Sollen personenbezogene Daten aus der EU anschließend im EU-Ausland verarbeitet werden, müssen dort zunächst geeignete Garantien zum Schutz personenbezogener Daten vorhanden sein. Stellt die EU-Kommission im Rahmen einer Prüfung fest, dass im Zielland ein der EU vergleichbares Datenschutzniveau herrscht, kann sie einen Angemessenheitsbeschluss erlassen, auf den sich Unternehmen und andere Organisationen beim Datentransfer stützen können. Im Hinblick auf den EU-US Datentransfer herrschte bisher Rechtsunsicherheit, da es umstritten war, ob in den USA ein der EU-vergleichbares Datenschutzniveau eingehalten werden kann. So erklärte der EuGH bereits die beiden Vorgänger des neuen Angemessenheitsbeschlusses „Safe Harbor“ und „EU-US Privacy Shield“ für ungültig.

 

Langer Weg bis zum aktuellen Entwurf

Nachdem EU und USA seit dem Schrems II-Urteil des EuGH an einer Nachfolgelösung gearbeitet haben, kündigte die EU-Kommission im Frühjahr 2022 den Erlass eines neuen Angemessenheitsbeschlusses bis Ende des Jahres an (Wir berichteten hier.). Schließlich erließ der US-Präsident im Oktober eine Executive Order und ebnete damit der EU-Kommission den Weg für die Verabschiedung eines neuen Angemessenheitsbeschlusses für den EU-US-Datenaustausch.

 

US-Unternehmen müssen sich zur Einhaltung des Schutzniveaus der EU verpflichten

Nun hat die EU-Kommission endlich den Entwurf eines Angemessenheitsbeschlusses veröffentlicht. In seinem Entwurf, der insgesamt 134 Seiten umfasst, berücksichtigt die Kommission die durchgeführte Bewertung des US-Rechtsrahmens und kommt letztlich zu dem Ergebnis, dass dieser ein angemessenes Datenschutzniveau nach Art. 45 DSGVO biete. Im neuen Entwurf ist vorgesehen, dass US-Unternehmen, die personenbezogene Daten aus der EU auf Grundlage des EU-US Privacy Frameworks verarbeiten wollen, sich bei der Handelsaufsicht FTC (Federal Trade Commission) registrieren lassen und detaillierten Datenschutzpflichten unterwerfen müssen. Dazu gehört etwa die Pflicht zur Löschung personenbezogener Daten, nach Wegfall des relevanten Zwecks, für den sie erhoben wurden. Im Falle von Verstößen gegen die Selbstverpflichtung wäre die FTC als Aufsichtsbehörde berechtigt, diese zu sanktionieren. Die Kommission stellte im Entwurf insbesondere fest, dass die neuen Beschränkungen der Executive Order für US-Überwachungsprogramme den EU-Standards entsprechen, indem bei der Datenverarbeitung darauf geachtet wird, dass sie notwendig und verhältnismäßig sein muss. Darüber hinaus verweist die EU-Kommission auf zahlreiche Schreiben von diversen US-Stellen, wie unter anderem der Chefin der US-Handelsaufsicht, des Justizministeriums und des Nachrichtendienstes, aus denen die Zusicherung zur Einhaltung des europäischen Datenschutzniveaus hervorgeht. Weiterhin sollen EU-Bürgern im Falle der Verletzung ihrer Datenschutzrechte verschiedene Rechtsbehelfsmöglichkeiten (u. a. ein unentgeltliches Streitbeilegungsverfahren und eine unabhängige Schiedsstelle) offen stehen.

 

Das Annahmeverfahren – der weitere Weg bis zum Angemessenheitsbeschluss

Der Entwurf befindet sich nun im ersten Schritt des Annahmeverfahrens. Zunächst hat der Europäische Datenschutzausschuss die Möglichkeit zur Abgabe einer Stellungnahme. Zudem müssen die Mitgliedstaaten und die europäischen Datenschutzaufsichtsbehörden zum Entwurf Stellung nehmen. Ein Einspruchsrecht steht den europäischen Datenschutzbehörden jedoch nicht zu. Anders sieht es beim Europaparlament aus. Dieses hat ein Mitberatungsrecht und kann im Rahmen eines Einspruchsverfahren gegen den Entwurf vorgehen. Dies ist allerdings nicht zu erwarten. Nach Abschluss des Verfahrens kann die EU-Kommission den Angemessenheitsbeschluss endgültig annehmen. Mit einer Verabschiedung dürfte frühestens in einigen Monaten zu rechnen sein.

 

 

Ausblick

Insbesondere im Hinblick auf die aktuell vorherrschende Problematik bei der Inanspruchnahme von US-amerikanischen Dienstleistern durch deutsche Unternehmen könnte der neue Angemessenheitsbeschluss Rechtssicherheit schaffen. Aus diesem Grund sind europäische Unternehmen über die Entwicklungen sehr erfreut und hoffen auf eine zeitnahe Verabschiedung des Angemessenheitsbeschlusses. Doch auch US-Unternehmen, die ihre Dienste in der EU anbieten, haben Grund zur Freude. Würde der Angemessenheitsbeschluss nach diesem Entwurf verabschiedet, würde er diesen den Markt in der EU eröffnen. Datenschützer betrachten jedoch auch diesen Entwurf teilweise eher kritisch. Allen voran Datenschutzaktivist Max Schrems und seine NGO „noyb“, die bereits die Vorgängervereinbarungen (Safe Harbor und Privacy Shield) vor dem Europäischen Gerichtshof zu Fall brachten und noch vor Veröffentlichung angekündigt haben, den neuen Entwurf des Angemessenheitsbeschlusses zu prüfen und gegebenenfalls auch gegen diesen vorgehen zu wollen. Schrems vertritt die Ansicht, dass der Entwurf einer Anfechtung vor Gericht nicht standhalten wird, wenn er sich auf die Executive Order stützt. Wie lange ein neuer Angemessenheitsbeschluss folglich in Kraft bleiben wird und ob die Gerichte ihn stützen, bleibt abzuwarten. Zunächst werden Unternehmen ihre EU-US-Datentransfers jedenfalls auf den neuen Angemessenheitsbeschluss stützen können, sofern er tatsächlich verabschiedet wird. Bis zur endgültigen Verabschiedung gilt jedoch auch weiterhin, dass im Falle des transatlantischen Datentransfers geeignete alternative Maßnahmen getroffen werden müssen, wie zum Beispiel der Abschluss von Verträgen unter Berücksichtigung der neuen Standardvertragsklauseln (Wir berichteten hier.).

 

„>

 
 
 

 

 

 

Der Einsatz von Smartphones und Messengerdiensten, wie beispielsweise Whatsapp, ist im beruflichen Umfeld häufig nicht mehr wegzudenken. In einigen Branchen wird ein internetfähiges Mobiltelefon als Teil der Grundausstattung angesehen, das Arbeitnehmern oftmals vom Unternehmen zur Verfügung gestellt wird. Unter Umständen kann dieses auch privat genutzt werden. Doch auch wenn ein Diensthandy mit der Option einer privaten Nutzung sowohl für Unternehmen als auch für die Beschäftigten einige Vorteile bietet, müssen zuvor die rechtlichen Rahmenbedingungen dafür geschaffen werden. Dabei sind insbesondere verschiedene Aspekte des Datenschutzes und der Datensicherheit zu berücksichtigen. Dies wird jedoch häufig vernachlässigt oder nur unzureichend umgesetzt. Erst im vergangenen Jahr hat das Mannheimer Arbeitsgericht einen Arbeitgeber zur Zahlung eines DSGVO-Schadensersatzes in Höhe von 7.500 EUR verurteilt, weil der Arbeitgeber die Whatsapp-Kommunikation eines Beschäftigten auf einem sowohl dienstlich als auch privat genutzten Geschäftshandy ausgewertet hat (ArbG Mannheim Urt. v. 20.5.2021 – 14 Ca 135/20).

 

Das Wichtigste in Kürze

  • Die Auswertung von Whatsapp-Nachrichten auf einem Diensthandy durch den Arbeitgeber kann einen Verstoß gegen § 26 BDSG darstellen.
  • Gemäß § 26 BDSG dürfen personenbezogene Daten Beschäftigter nur verarbeitet werden, wenn dies zum Zwecke des Beschäftigungsverhältnisses erforderlich ist.
  • Fehlt es an einer organisatorischen Anordnung des Arbeitgebers hinsichtlich einer Trennung von privater und beruflicher Kommunikation, darf der Arbeitnehmer berechtigterweise ein Mindestmaß an Privatsphäre erwarten.
  • Im Hinblick auf die Auswertung und Verwertung von (auch) privaten Whatsapp-Nachrichten steht dem Arbeitnehmer ein Anspruch auf Schadensersatz nach Art. 82 DSGVO zu.

 

Hintergrund

In dem zu entscheidenden Rechtsstreit ging es um eine außerordentliche und vorsorgliche ordentliche Arbeitgeberkündigung eines Arbeitnehmers, der unternehmensinterne Informationen und Betriebsgeheimnisse über E-Mail und Whatsapp-Nachrichten an Dritte weitergab. Der Arbeitgeber trug vor, dass der Beschäftigte sich dadurch pflicht- und vertragswidrig verhalten habe und zog zur Untermauerung der ausgesprochenen Kündigung die sich auf dem Diensthandy befindliche private Whatsapp-Korrespondenz des Beschäftigten heran.

 

Verstoß gegen § 26 BDSG mangels Regelung der privaten Nutzung des Diensthandys

Das Gericht stellte fest, dass der Arbeitgeber in die Whatsapp-Kommunikation des Arbeitnehmers auf einem sowohl dienstlich als auch privat genutzten Smartphone unter Verstoß gegen geltendes Datenschutzrecht Einsicht genommen und die Kommunikation ausgewertet hat. Dieses Vorgehen ist nicht durch Art. 6 DSGVO i.V.m. § 26 BDSG zu rechtfertigen.

Gemäß § 26 BDSG dürfen personenbezogene Daten Beschäftigter verarbeitet werden, wenn dies zum Zwecke des Beschäftigungsverhältnisses erforderlich ist. Dies gilt auch für die Beendigung des Beschäftigungsverhältnisses. Jedoch stellt die Auswertung der Whatsapp-Kommunikation eines Arbeitnehmers durch den Arbeitgeber auf einem sowohl dienstlich als auch privat genutzten Dienstgerät einen Verstoß gegen § 26 BDSG dar, wenn sie nicht zur Wahrung legitimer Interessen des Arbeitgebers, insbesondere zur Aufklärung des Verdachts einer schwerwiegenden Pflichtverletzung, erforderlich und verhältnismäßig ist.

Das Gericht führte im vorliegenden Fall aus, dass es im konkreten Fall andere Möglichkeiten gab, die geringer in das Persönlichkeitsrecht des Arbeitnehmers eingegriffen hätten, sodass der Eingriff in die Privatsphäre des Arbeitnehmers durch den Arbeitgeber in Ergebnis unverhältnismäßig war. Alternativ und als milderes Mittel hätte dem Arbeitnehmer etwa die Auswertung des Handys vorab bekannt gegeben werden können, sodass er die Möglichkeit gehabt hätte, zuvor einen Rechtsanwalt zur Vertretung seiner Interessen heranzuziehen.

 

Verwertungsverbot bezüglich der gesamten Auswertung sowohl dienstlicher als auch privater Nachrichten

Ein solcher Eingriff in die Privatsphäre des Arbeitnehmers zieht nach Auffassung des Gerichts ein Sachvortragsverwertungsverbot bezüglich sämtlicher im Prozess vorgetragener Ergebnisse der Auswertung sowohl dienstlicher als auch privater Nachrichten nach sich. Trotz dienstlichen Bezugs der Kommunikation handelte es sich bei den Äußerungen im Großen und Ganzen um einen Gedankenaustausch im privaten Rahmen. Da es an einer organisatorischen Anordnung des Arbeitgebers hinsichtlich einer Trennung von privater und beruflicher Kommunikation fehlte, durfte der Arbeitnehmer berechtigterweise ein Mindestmaß an Privatsphäre erwarten. Daher wäre auch eine Auswertung der Kommunikation mithilfe von Schlüsselbegriffen unzulässig gewesen.

 

Ungutes Gefühl des Arbeitnehmers als immaterieller Schaden i.S.d. Art. 82 DSGVO

Im Hinblick auf die Auswertung der Whatsapp-Kommunikation des Arbeitnehmers und der Verwertung der (unter anderem auch) privaten Whatsapp-Nachrichten im Verfahren steht dem Arbeitnehmer ein Anspruch auf Ersatz des immateriellen Schadens nach Art. 82 DSGVO zu. Den Schaden begründet das Gericht im Wesentlichen mit einem unguten Gefühl des Arbeitnehmers, das aus dem Vertrauensverlust zu seinem Arbeitgeber resultiere.

Für einen Anspruch nach Art. 82 DSGVO sei es gerade nicht erforderlich, dass es sich um eine schwerwiegende Persönlichkeitsrechtsverletzung handelt, so das Gericht. Aus diesem Grund könne ein immaterieller Schaden bereits in dem unguten Gefühl liegen, dass Unbefugte Kenntnis von den personenbezogenen Daten erlangt haben und nicht ausgeschlossen werden kann, dass die Daten unerlaubt weiterverwendet werden.

 

Schadensersatz in Höhe eines Bruttomonatsentgelts

Bei der Berechnung der Höhe des Schadensersatzes hat das Gericht einerseits die Persönlichkeitsrechtsverletzung zulasten des Arbeitnehmers durch die Auswertung und Verwertung der (auch) privaten Nachrichten berücksichtigt. Andererseits, dass der Arbeitgeber nur solche Whatsapp-Korrespondenz in den Prozess eingeführt hat, die einen Bezug zum Arbeitsverhältnis aufweist. Jedoch wurde auch die Tatsache, dass der Arbeitnehmer Informationen über seinen Arbeitgeber in nicht berechtigterweise an Dritte weitergegeben hat, nicht außer Acht gelassen. Angesichts dessen erschien dem Gericht ein Schadensersatz in Höhe eines Bruttomonatsgehalts als angemessen.

 

Reichweite des DSGVO-Schadensersatzes ist umstritten

Ob ein „ungutes Gefühl“ bzw. ein Kontrollverlust zur Begründung eines immateriellen Schadensersatzes ausreichend ist, bleibt insgesamt abzuwarten. Die Rechtsprechung zum immateriellen Schadensersatz nach Art. 82 DSGVO ist bislang noch uneinheitlich und unklar. In dem derzeit beim EuGH anhängigen Vorabentscheidungsverfahren wegen Schadensersatzansprüchen aus DSGVO-Verstößen der österreichischen Post AG ist die Frage, ob bereits der bloß abstrakte Verstoß gegen die DSGVO einen immateriellen Schaden des Betroffenen darstellt, wesentliches Thema. Der EuGH-Generalanwalt vertritt dabei in seinem Schlussantrag die Auffassung, dass ein Anspruch auf Schadensersatz nach Art. 82 DSGVO einen tatsächlich erlittenen materiellen oder immateriellen Schaden voraussetzt. Die bloße Verärgerung über eine Pflichtverletzung des Verantwortlichen oder der Kontrollverlust des Betroffenen über seine Daten wäre demnach nicht ausreichend, um einen Schadensersatzanspruch zu begründen.

Der hier geschilderte Fall dürfte aufgrund der Bedeutung von privater Kommunikation und der Tatsache, dass die Kenntnis des Arbeitgebers einen direkten Bezug zum Arbeitnehmer darstellt zwar möglicherweise anders liegen, als in dem beim EuGH liegenden Fall. Nichtsdestotrotz stellt auch hier das Arbeitsgericht primär auf ein ungutes Gefühl des Arbeitnehmers und der DSGVO-widrigen Verarbeitung an sich ab. Aufgrund der grundsätzlichen Bedeutung dieser Frage wurde die Berufung zum Landesarbeitsgericht im Hinblick auf den Schadensersatzanspruch auch gesondert zugelassen.

 

 

Ausblick

Das Urteil macht deutlich, dass die Option einer privaten Nutzung von Smartphones, die vom Unternehmen zur Verfügung gestellt werden, nicht nur Vorteile mit sich bringt und klare Regeln und technische Vorkehrungen erfordert. Sofern man den eigenen Arbeitnehmern dennoch die Möglichkeit eröffnen möchte, dienstliche Geräte auch privat zu nutzen, sollte man hierfür zunächst besonders unter Beachtung datenschutzrechtlicher Aspekte die Rahmenbedingungen schaffen. In Betracht kommt etwa eine technische Trennung der privaten Daten mittels einer Containerlösung. Der Organisationsaufwand, der in diesem Zusammenhang zur Gewährleistung von Datenschutz und Datensicherheit erforderlich ist, sollte nicht unterschätzt werden und reduziert die vermeintlichen Vorteile gegebenenfalls wieder deutlich. Im Zweifel sollte daher auf eine gemischte Nutzung von Dienstgeräten verzichtet werden.

 

 
 
 

 

 

 

Die Datenschutz-Grundverordnung (DSGVO) regelt das Datenschutzrecht in der gesamten EU mit dem Ziel dieses zu vereinheitlichen. Daneben kommt den Mitgliedstaaten nur sehr begrenzt eigener gesetzlicher Gestaltungsspielraum zu. Das nationale Recht ist nicht anwendbar, soweit das höherrangige Europarecht bereits einen Sachverhalt regelt. In diesem Zusammenhang gilt für das nationale Recht ein Normwiederholungsverbot: Eine bloße Wiederholung einer Vorschrift ist in der Regel unzulässig, da sie Verwirrung stiftet.

Die DSGVO enthält zwar sogenannte Öffnungsklauseln, die den Mitgliedstaaten erlauben, eigene Vorschriften zu erlassen. Allerdings bedeutet dies nicht, dass die Mitgliedstaaten den Datenschutz vollständig autonom regeln dürfen.

Bisher wurde der „spezifischere“ § 26 Abs. 1 Satz 1 BDSG auf Grundlage der Öffnungsklausel des Art. 88 Abs. 1 DSGVO herangezogen, wenn es darum ging, dass personenbezogene Daten des Beschäftigten durch den Arbeitgeber verarbeitet werden. Ein Urteil des Europäischen Gerichtshofs (EuGH) vom 30.02.2023 (Az. C-34/21) dürfte das Ende für diese Praxis bedeuten.

 

Das Wichtigste in Kürze

  • Der EuGH stellt die deutschen Vorschriften zur Datenverarbeitung im Beschäftigungskontext grundsätzlich in Frage, indem er Generalklauseln im nationalen Beschäftigtendatenschutz für unanwendbar erklärt, wenn sie gegen die vorrangig anwendbare DSGVO verstoßen.
  • Nach der Kritik des EuGH haben das Bundesinnenministerium (BMI) und das Bundesarbeitsministerium (BMAS) ein gemeinsames Papier mit ersten Eckpunkten eines neuen Beschäftigtendatenschutzgesetzes vorgelegt.

 

Hintergrund und Entscheidung des EuGH

Vor etwas mehr als zwei Jahren hatte das Verwaltungsgericht Wiesbaden die Sache dem dem EuGH zur Klärung vorgelegt.

Es handelte sich um einen Livestream-Unterricht per Videokonferenz, welcher im Zuge der Corona-Pandemie in öffentlichen Schulen eingeführt wurde.

Während die Eltern der Kinder bzw. die volljährigen Schüler und Schülerinnen ihre Einwilligung in diese Datenverarbeitung erteilen mussten, war dies für die betroffenen Lehrkräfte nicht vorgesehen. Der Hauptpersonalrat der Lehrer und Lehrerinnen erhob daraufhin Klage beim Verwaltungsgericht (VG) Wiesbaden und rügte, dass der Livestream-Unterricht ohne Einwilligung der betroffenen Lehrkräfte erfolgt sei.

Das Hessische Kultusministerium vertrat demgegenüber die Ansicht, dass die Datenverarbeitung durch § 23 Abs. 1 S. 1 des Hessischen Datenschutz- und Informationsfreiheitsgesetzes (HDSIG) zur Datenverarbeitung im Beschäftigungsverhältnis gedeckt sei. Das Verwaltungsgericht wandte sich daraufhin an den EuGH und wollte wissen, ob sich die Vorschriften mit der Europäischen Datenschutz-Grundverordnung vereinbaren lassen, da die EU-Verordnung den Mitgliedstaaten nur einen begrenzten Spielraum für spezifischere nationale Datenschutzvorschriften durch sogenannte Öffnungsklauseln lässt.

Nun hat der EuGH im Vorabentscheidungsverfahren am 30. März 2023 ein Urteil gefällt, das für Aufregung sorgt und womöglich weitreichende Konsequenzen hat (Az. C-34/21). Nach Einschätzung des EuGH fällt die Verarbeitung von personenbezogenen Daten von Lehrkräften – und somit Beschäftigten – bei der Durchführung von Unterricht per Livestream in den Regelungsbereich der DSGVO.

Der Gerichtshof entschied, dass eine nationale Regelung zur Datenverarbeitung im Beschäftigungskontext nicht von der Öffnungsklausel in Art. 88 Abs. 1 DSGVO gedeckt ist, wenn die Regelung nicht die strengen Anforderungen an spezifischere nationale Datenschutzvorschriften in Art. 88 Abs. 2 DSGVO erfüllt. Dafür muss sich der nationale Regelungsgehalt von den allgemeinen Regeln der DSGVO unterscheiden und geeignete und besondere Datenschutzmaßnahmen umfassen. Die Regelungen in § 26 Abs. 1 Bundesdatenschutzgesetz (BDSG) und dem wortgleichen § 23 Abs. 1 S. 1 HDSIG zur Datenverarbeitung in Beschäftigungsverhältnissen sind womöglich nicht mit der Datenschutzgrundverordnung vereinbar.

 

Folgen für den Beschäftigtendatenschutz in Deutschland

Es bleibt abzuwarten, wie das Verwaltungsgericht nun auf das Urteil aus Luxemburg reagiert. Der Europäische Gerichtshof hatte dem VG mitgeteilt, dass nationale Normen nicht anwendbar sind, wenn sie gegen die Voraussetzungen von Art. 88 DSGVO verstoßen. In diesem Fall müsste das VG jedoch noch prüfen, ob die Normen eine Rechtsgrundlage im Sinne von Art. 6 Abs. 3 DSGVO darstellen. Eine solche Rechtsgrundlage wäre gegeben, wenn sie den Zweck der Datenverarbeitung festlegt und für die Erfüllung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt.

Die Entscheidung des EuGH wird aber in jedem Fall die Forderungen nach einem eigenständigen Gesetz zum Schutz von Beschäftigtendaten stärken. Bereits im April 2022 hatte die Datenschutzkonferenz die Einführung eines solchen Gesetzes gefordert, um die Beschäftigten besser vor den gestiegenen Risiken im Zusammenhang mit der Verarbeitung ihrer Daten zu schützen. Auch im Koalitionsvertrag der Bundesregierung wird die Schaffung neuer Regelungen zum Schutz von Beschäftigtendaten angekündigt.

 

Neuer Gesetzesentwurf der Bundesregierung zum Beschäftigtendatenschutz

Aktuellen Berichten zufolge (SZ und Die Zeit) hat die Bundesregierung die Kritik des EuGH an der Umsetzung des Beschäftigtendatenschutzes im BDSG zum Anlass genommen, einen erneuten Gesetzesentwurf zum Beschäftigtendatenschutz auf den Weg zu bringen.

Derartige Vorhaben gab es schon im Jahr 2021, jedoch haben sie bislang noch kein Ergebnis hervorgebracht. Ziel des neuen Gesetzes ist es, die Überwachung von Beschäftigten und die Verarbeitung ihrer persönlichen Daten stärker gesetzlich zu reglementieren. Der Gesetzesentwurf soll bis zum Herbst 2023 vorliegen. In einem gemeinsamen Papier des Bundesinnenministeriums (BMI) und des Bundesarbeitsministeriums (BMAS) wurden die ersten Eckpunkte eines neuen Beschäftigtendatenschutzgesetzes vorgelegt.

Ausgehend von der Rechtsprechung des Bundesarbeitsgerichts zur Vollüberwachung (BAG, Beschluss vom 29.06.2003, 1 ABR 21/03) soll eine Vollüberwachung von Beschäftigten nur in Ausnahmefällen und unter engen Voraussetzungen möglich sein. Dabei soll eine dauerhafte Überwachung nur bei bestimmten Zwecken erlaubt sein, wie zum Beispiel zur Sicherheit der Beschäftigten und des Arbeitsschutzes oder zur Erfassung von Lenk- und Ruhezeiten. Auch die Koordinierung von Arbeitseinsätzen an verschiedenen Orten und die Disposition von Einsatzkräften können als Gründe für eine Vollüberwachung genannt werden. Allerdings sollen Arbeitgeber entsprechend dem Eckpunktepapier „keine lückenlosen Bewegungs- und Leistungsprofile zur Bewertung von Beschäftigten erstellen dürfen“.

Unter vielen anderen Punkten soll auch die Einwilligung im Beschäftigtenverhältnis geregelt werden und dabei sollen beispielhafte Auflistungen konkreter Anwendungsfälle unter Berücksichtigung der Rechtsprechung die Rechtsanwendung erleichtern. In der Regel bedarf die Kameraüberwachung der Einwilligung der Mitarbeiter. Jedoch fällt es neuen Mitarbeitern oft schwer, den Wunsch des Arbeitgebers nach Überwachung oder der Verarbeitung von Daten abzulehnen, wie beispielsweise die Einwilligung zur Nutzung von Fotos für die Website der Firma. Daher wird in Erwägung gezogen, die Anforderungen an die Freiwilligkeit der Einwilligung genauer zu definieren als bisher.

 

 

Fazit

Mit seinem Urteil hat der Europäische Gerichtshof klargestellt, dass die bisherigen, sehr allgemein formulierte Vorschrift des § 26 BDSG und vergleichbarer landesrechtlicher Regelungen nicht mit den Anforderungen des Art. 88 der DSGVO vereinbar ist. Aus diesem Grund wird der deutsche Gesetzgeber wohl die Gelegenheit nutzen, um den Beschäftigtendatenschutz umfassender zu regeln und spezifische Regelungen für einzelne Verarbeitungssituationen im Arbeitskontext zu schaffen. Neben einer erhöhten Rechtssicherheit für Arbeitgeber würde dies auch den Schutz der Beschäftigten verbessern, was aus datenschutzrechtlicher Sicht begrüßenswert wäre. Abzuwarten bleibt jedoch, ob das geplante Beschäftigtendatenschutzgesetz diesen Anforderungen auch gerecht werden kann und eine in der Praxis funktionierende Grundlage geschaffen wird. Denn die Gefahr, dass ausbuchstabierte Detailregelungen im Gesetzestext zu neuen Widersprüchen und Unklarheiten führen kann, ist bei einem solchen Unterfangen nicht zu unterschätzen..

 

„>

 
 
 

 

 

 

Seit seiner Markteinführung im Jahr 2016 hat sich der Kurzvideodienst TikTok zu einer gerade beim jüngeren Publikum weltweit beliebten App entwickelt. Dabei handelt es sich um eine zu dem chinesischen Technologiekonzern ByteDance gehörende Social-Media-Plattform. Zentrales Element sind kurze, mit dem Smartphone gedrehte Videos, die von den Nutzern mit Musik und verschiedenen Filtern unterlegt werden können. Die App hat Schätzungen zufolge rund 1,8 Milliarden Nutzer (Ende 2022), davon mittlerweile über 150 Millionen Nutzer in Europa. Doch auch wenn sich die Social-Media-Plattform größter Beliebtheit erfreut, hat sie viele Kritiker und ist aus mehreren Gründen in der Diskussion. Insbesondere wird den App-Betreibern seit Längerem mangelnder Jugendschutz und unzureichende Datensicherheit vorgeworfen. Aus Sicherheitsgründen ergreifen daher immer mehr Staaten und Institutionen Maßnahmen, um die Nutzung der Kurzvideo-Plattform zu unterbinden. So dürfen nun beispielsweise Beschäftigte der EU-Kommission und des EU-Parlaments seit Mitte März 2023 die TikTok-App auf ihrem Diensthandy weder installieren noch nutzen.

 

Das Wichtigste in Kürze

  • Beschäftigte der EU-Kommission dürfen die App TikTok nicht mehr auf Dienst- oder dienstlich genutzten Smartphones verwenden.
  • Neben unzureichender Datensicherheit befürchtet die EU-Kommission umfassende Zugriffsmöglichkeiten seitens der chinesischen Regierung.
  • Der BfDI äußerte ebenfalls Bedenken und empfahl allen Bundesbehörden und Bundesministerien, ein entsprechendes TikTok-Verbot für dienstlich genutzte Geräte zu veranlassen.

 

Bedenken im Hinblick auf die Datensicherheit seitens der EU-Kommission

Grund für die Untersagung der Installation und Nutzung der App ist neben der unzureichenden Datensicherheit die Befürchtung, dass die chinesische Regierung die App einsetzt bzw. missbraucht, um an sensible Daten von Millionen von Nutzern zu gelangen und Desinformationen im Ausland verbreiten zu können. Konkret sollen Millionen von Nutzern nur bestimmte Inhalte angezeigt werden, mit dem Ziel, die öffentliche Meinungsbildung oder Wahlergebnisse zu beeinflussen. Angesichts der Tatsache, dass Nachrichten unverschlüsselt übertragen werden und leicht mitgelesen werden können, scheint die Befürchtung nicht völlig abwegig zu sein.

Ferner sehen die chinesischen Gesetze vor, dass die landeseigenen Unternehmen und Organisationen zur Offenlegung der ihnen vorliegenden Informationen gegenüber den Geheimdiensten verpflichtet sind. Kritisch sei auch, dass die regierende Partei – die Kommunistische Partei Chinas – eine Beteiligung an dem Unternehmen ByteDance hat und somit unmittelbar auf konzerninterne Daten zugreifen kann. ByteDance beteuert allerdings regelmäßig, dass es eine solche Zugriffsmöglichkeit nicht gebe, da die chinesische Version der App von der internationalen getrennt betrieben werde.

Darüber hinaus hatten laut dem Unternehmen sowohl Beschäftigte in China als auch in den USA Zugriff auf Nutzerinformationen, ohne dass hierfür eine entsprechende Berechtigung vorlag. So konnten in der Vergangenheit beispielsweise amerikanische Journalisten ausspioniert werden. Konkret seien die IP-Adressen von Journalisten, die die TikTok-App nutzten, verarbeitet worden, um herauszufinden, ob sie sich am selben Ort aufhielten wie Mitarbeiter, die im Verdacht standen, interne Informationen weiterzugeben. Aus diesen Gründen hat die EU-Kommission für ihre Mitarbeiter ein TikTok-Verbot verhängt, das sowohl für dienstliche als auch dienstlich genutzte private Smartphones gilt. Wer der Aufforderung nicht nachgekommen ist, sollte seit Mitte März von sämtlichen Angeboten wie dem internen E-Mail-Dienst der EU-Kommission ausgeschlossen werden.

 

Schutz vor IT-Sicherheitsbedrohungen

Ziel der Untersagung sei es, die EU-Kommission vor Cybersicherheitsbedrohungen und Cybermaßnahmen zu schützen. Dabei betonte die Kommission in der Pressemitteilung vom 23. Februar 2023, dass nur solche Geräte vom Verbot betroffen seien, die eine Verbindung zum internen Netzwerk der Kommission aufbauen müssen. Das EU-Parlament folgte dem Beispiel und sprach ebenfalls ein solches Verbot aus. In Anbetracht der Tatsache, dass für die Beschäftigten der Kommission bereits entsprechende Empfehlungen existieren, aus denen hervorgeht, dass bei der Nutzung von Social-Media-Plattformen interne Richtlinien einzuhalten sind, stellt das Verbot keine große Überraschung dar.

 

BfDI: Deutsche Behörden sollten nachziehen

Moritz Körner, der innenpolitische Sprecher der FDP im EU-Parlament, unterstützte die Maßnahmen der EU-Kommission und sprach sich ebenfalls dafür aus, dass deutsche Behörden diesem Beispiel folgen und die chinesische App ebenfalls schnellstmöglich von allen Diensthandys verbannen sollten. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber äußerte ebenfalls Bedenken gegenüber TikTok. Bereits im Juni 2021 empfahl er allen Bundesbehörden und Bundesministerien – mit Ausnahme des Bundesgesundheitsministeriums -, die Video-App des chinesischen Anbieters nicht auf dienstlichen Geräten zu nutzen. Das Bundesgesundheitsministerium stellte bisher eine Ausnahme dar, da es seit März 2020 seinen TikTok-Kanal nutzte, um über den aktuellen Stand der Pandemie zu informieren. Dafür wurde das Konto von mehreren Smartphones betrieben, die nicht mit den Servern des Ministeriums verknüpft gewesen waren. Diese Ausnahme dürfte jedoch in Anbetracht der aktuellen Entwicklung der Pandemie mittlerweile nicht mehr gelten. Das Bundesamt für Verfassungsschutz hat kürzlich ebenfalls auf die Risiken bei der Verwendung der App hingewiesen, die sich zum einen aus dem Umfang der gesammelten Daten und zum anderen aus der Einflussmöglichkeit staatlicher Stellen ergeben. Welche Gefahr tatsächlich von der Plattform ausgeht, wurde bereits vom Bundesamt für Sicherheit in der Informationstechnik untersucht. Das Ergebnis wurde bisher allerdings noch nicht veröffentlicht.

 

 

Ausblick

Insbesondere während der Corona-Pandemie hat sich TikTok zu einer der weltweit beliebtesten Apps entwickelt. Allerdings besteht erhebliches Verbesserungspotenzial in mehrerlei Hinsicht. Vor allem, wenn es um die Sicherheit und den Datenschutz ihrer Nutzer geht. Trotz der erheblichen Defizite im Hinblick auf die Datensicherheit und den Datenschutz ist die Einführung eines deutschlandweiten Verbots vorerst unwahrscheinlich. Ein Verbot für Behörden und öffentliche Stellen ist allerdings nicht auszuschließen. Insbesondere, da ein solches Verbot für Regierungsbeschäftigte bereits von mehreren Mitgliedstaaten, darunter auch Belgien und Dänemark, bereits ausgesprochen wurde. Die USA arbeiten aktuell sogar an einem Gesetzesentwurf für ein landesweites TikTok-Verbot. Auch wenn in Deutschland noch kein Verbot ausgesprochen wurde, sollten Nutzer sich darüber im Klaren sein, dass die Verwendung der App nicht unbedenklich ist, vor allem da ausweislich der Datenschutzerklärung des Unternehmens personenbezogene Daten der Nutzer an solche Drittanbieter weitergeleitet werden, die TikTok bei der Bereitstellung ihrer Dienste unterstützen. Dabei handelt es sich um rund 4500 verschiedene Unternehmen, die Zugriff auf die Nutzerdaten erhalten.

 

„>

 
 
 

 

 

 

Mit dem Wachstum der Abhängigkeit von digitalen Daten steigt zunehmend das Risiko von Cyberangriffen, die für Unternehmen ein Existenzrisiko darstellen. Laut einer Studie des Digitalverbandes Bitkom aus dem vergangenen Jahr entstehen der deutschen Wirtschaft jährlich über 220 Milliarden Euro Schaden durch Datendiebstahl, Spionage oder Sabotage. Dabei trifft es nicht nur die großen und bekannten Unternehmen. Denn auch unabhängig von der Größe verfügt jedes Unternehmen und jede Organisation über Daten, sodass grundsätzlich jedes Unternehmen ein potenzielles Ziel für Cyberkriminelle darstellt. Erst vergangene Woche ist bekanntgeworden, dass der IT-Dienstleister Adesso, zu dessen Kundschaft namenhafte Unternehmen und Bundesbehörden zählen, einen Hackerangriff erlitten, über den der Dienstleister weder die zuständige Behörde noch die Betroffenen informiert haben soll. Welche Folgen dies haben kann, lesen Sie im nachfolgenden Beitrag.

 

Das Wichtigste in Kürze

  • Cyberangriffe erfolgen häufig mittels Schadsoftware, Ransomware sowie Spam- und Pishing-Mails
  • Sie können im Ernstfall zu hohen Risiken für die betroffenen Personen führen
  • Unternehmen können hohe Bußgelder, Aufsichtsmaßnahmen, Umsatzeinbuße und Reputationsschäden drohen.
  • Aus diesem Grund ist es notwendig, präventiv tätig zu werden, um die erforderliche IT-Sicherheit und Datenschutzkonformität herzustellen.

 

Beeinträchtigung von IT-Systemen

Bei einem Cyberangriff handelt es sich um einen ziel- und zweckgerichteten Versuch, die IT-Systeme eines Unternehmens oder einer Organisation zu beeinträchtigen, um sich dadurch einen Vorteil – oftmals finanzieller Art – zu verschaffen. Dies erfolgt in der Regel durch Diebstahl vertraulicher Daten, Störungen von Geschäftsprozessen oder auch die Drohung mit einer nachhaltigen Schädigung der Reputation des betroffenen Unternehmens. Ist es den Kriminellen gelungen, in Ihre IT-Systeme einzudringen, können sie Betriebsstörungen verursachen, die zu empfindlichen Umsatzeinbußen, hohen Kosten für die Schadensbeseitigung sowie den Aufbau einer neuen IT-Infrastruktur und eines Datenschutzmanagements führen.

 

Weiterentwicklung von Cyberangriffsmethoden

In den vergangenen Jahren haben Cyberkriminelle immer mehr neue Angriffsmöglichkeiten entwickelt und ihre Angriffstaktiken zunehmend fortlaufend verfeinert. Zu den häufigsten Angriffsarten zählen Angriffe mittels Schadsoftware, Ransomware-Angriffe sowie Spam- und Pishing-Mails.

 

Schnelle Reaktion erforderlich

Haben sich unbefugte Dritte Zugang zu personenbezogenen Daten verschafft, sind Sie als Verantwortlicher in den allermeisten Fällen verpflichtet, eine solche Datenpanne der zuständigen Datenschutzbehörde zu melden. Denn Cyberangriffe führen in der Regel zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung bzw. zum Zugang zu personenbezogenen Daten durch unbefugte Dritte, sodass eine Verletzung des Schutzes personenbezogener Daten im Sinne der DSGVO vorliegt.

Ist anzunehmen, dass diese Verletzung zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, ist das verantwortliche Unternehmen grundsätzlich dazu verpflichtet, den Verstoß unverzüglich, möglichst innerhalb von 72 h, an die zuständige Aufsichtsbehörde zu melden.

Dies ist beispielsweise der Fall, wenn Daten entwendet, woanders im Internet veröffentlicht oder unbefugten Dritten zugänglich gemacht werden. In einem solchen Fall bleibt Ihnen keine andere Wahl, als den zuständigen Landesdatenschutzbeauftragten zu verständigen.

Sobald der Landesdatenschutzbeauftragte von dem Vorfall erfährt, werden Sie unmittelbar aufgefordert, alle relevanten Datenschutzunterlagen vorzulegen und Auskunft über Ihr Datenschutzmanagement zu geben.

Stellt der Datenschutzbeauftragte einen Datenschutzverstoß fest, da Sie Ihren Pflichten aus der DSGVO nicht ordnungsgemäß nachgekommen sind, können je nach Größe Ihres Unternehmens Bußgelder in Millionenhöhe drohen. Aber auch Schadenersatzansprüche betroffener Kunden, Geschäftspartner oder Arbeitnehmer oder gar eine Strafbarkeit wegen der Verletzung von Strafvorschriften sind nicht ausgeschlossen.

Ein solcher bußgeldbewehrter Datenschutzverstoß liegt beispielsweise vor, wenn die Behörde im Laufe der Prüfung feststellt, dass unter anderem Daten, die aus Gründen des Datenschutzes schon längst hätten gelöscht sein müssen, gestohlen werden konnten, weil kein oder nur ein mangelhaftes Löschkonzept vorlag bzw. dies nicht ordnungsgemäß umgesetzt wurde.

 

 

Präventive Maßnahmen und richtige Begegnung im Angriffsfall

Abgesehen davon, dass Cyberangriffe im Ernstfall zu hohen Risiken für die betroffenen Personen führen können, können Unternehmen hohe Bußgelder, Aufsichtsmaßnahmen, Umsatzeinbußen und Reputationsschäden drohen. Aus diesem Grund ist es nicht nur empfehlenswert, sondern vielmehr notwendig präventiv tätig zu werden, um die erforderliche IT-Sicherheit und Datenschutzkonformität herzustellen.

In der Vergangenheit verhängte die Berliner Datenschutzbehörde gegen die Wohnungsgesellschaft Deutsche Wohnen ein Bußgeld in Höhe von 14,5 Millionen Euro. Die Behörde hat im Rahmen der Untersuchung des Unternehmens im Anschluss an einen Hackerangriff festgestellt, dass das Unternehmen personenbezogene Daten seiner Mieter unzureichend geschützt hatte, sodass es einem Hacker möglich war, auf eine ungesicherte Datenbank zuzugreifen und Millionen von Datensätzen zu stehlen.

Auch der Landesdatenschutzbeauftragte Baden-Württemberg hat bereits ein Bußgeld in Höhe von 20.000 Euro gegen eine Social-Media-Plattform verhängt, nachdem Hacker Passwörter und E-Mail-Adressen von über 300.000 Euro Plattformnutzern im Internet veröffentlicht haben. Wie sich herausgestellt hat, wurden die Passwörter unverschlüsselt gespeichert. Da das Unternehmen sich besonders kooperativ gezeigt hat und seinen Melde- und Informationspflichten ordnungsgemäß nachgekommen ist, hat die Behörde das Bußgeld im Verhältnis zu den Verstößen eher niedrig bemessen.

Kommt es hingegen zu einer Datenschutzpanne und stellt die Behörde im Rahmen einer Untersuchung fest, dass Sie als Verantwortlicher sämtlichen Pflichten, die Ihnen durch die DSGVO auferlegt wurden, nachgekommen sind (wie z. B. der Implementierung geeigneter TOM, der Führung eines Verarbeitungsverzeichnisses und eines effektiven Löschkonzepts), kann sich dies positiv auf ein Bußgeld auswirken. Im besten Fall kann dieses gänzlich abgewendet werden.

Da die konkrete Ausgestaltung von Maßnahmen der Prävention im Wesentlichen von den Einzelumständen eines jeden Unternehmens abhängt, empfiehlt es sich stets, Experten zurate zu ziehen, die eine auf Ihr Unternehmen zugeschnittene Lösung erarbeiten.

Auch die Bewältigung von Datenschutzvorfällen infolge von Cyberangriffen ist stets von den konkreten Umständen des Einzelfalls abhängig. Insbesondere der IT-Infrastruktur Ihres Unternehmens, der IT-Sicherheitsstruktur, des internen Datenschutzmanagements sowie der Art des Angriffs und der Zielsetzung. Die Aufarbeitung dieser Bereiche im Anschluss an einen Cyberangriff ist für Ihr Unternehmen von existenzieller Bedeutung (Mehr dazu erfahren Sie hier.)

Als ein Team aus Datenschutz-Anwälten sowie IT- und Cyber Security-Spezialisten stehen wir Ihnen gern zur Seite, um Datenschutzvorfälle von vornherein zu verhindern und unterstützen Sie auch im Ernstfall mit unserer Expertise.

 

„>

Kontakt aufnehmen