Mehr Infos

Einsatz von Mailchimp aus datenschutzrechtlicher Sicht

 
 
 

 

 

 

Die Auslagerung etwaiger E-Marketing Services, die Nutzung transnationaler cloudbasierter Technologien und der Versand von Newslettern im Bereich des Marketings sind nicht mehr wegzudenken.

Dem Bayerischen Ladensamt für Datenschutz lag eine Beschwerde vor, in der ein Kunde eines Unternehmens, welches den amerikanischen Newsletter-Management- Service Mailchimp nutzt, den Transfer seiner personenbezogenen Daten in die USA meldete. Zwar wird Mailchimp von Start-Ups und großen Unternehmen gleichermaßen genutzt und erfreut sich großer Beliebtheit. Allerdings steckt hinter dem praktischen Tool ein US-Unternehmen, welches die Einhaltung der DSGVO-Bestimmungen für deutsche Unternehmen erschwert.

Da viele europäische Unternehmen mit Mailchimp kooperieren, stellt sich die Frage, ob eine Zusammenarbeit überhaupt DSGVO-konform ist.

 

Das Wichtigste in Kürze:

  • Mailchimp ist ein US-Anbieter für E-Mail-Marketing Services und Marketing-Automatisierungsplattformen mit 60% Markanteil.
  • Das Bayerische Landesamt für Datenschutz (BayLADa) ermittelte gegen ein Unternehmen, das Mailchimp für seine Newsletter nutzte und E-Mail-Adressen von Abonnenten in die USA weiterleitete.
  • Der Einsatz von Mailchimp und die damit verbundene Weiterleitung personenbezogener Daten in die USA wurden im konkreten Fall als unzulässig eingestuft.
  • Grund war die fehlende Überprüfung „zusätzlicher datenschutzkonformer Maßnahmen“ nach Vorgabe der EU-Standartvertragsklauseln und des EuGH-Urteils „Schrems-II“ durch das Unternehmen bei der Verwendung von Mailchimp.

Hintergrund datenschutzrechtlicher Bedenken von Mailchimp

Mailchimp ist ein Tool für das Newsletter-Management mit Sitz in Atlanta in den USA. Damit können Unternehmen ihre Mailings erstellen, verwalten und versenden. Trotz vielzähliger Vorteile, wie die Vielfalt zur Verfügung stehender Templates für Newsletter, die intuitive und einfache Handhabe der Plattform, der Reichweite der E-Mails an Empfänger und der Einbettung in dynamischen Content, tauchten vermehrt Ungereimtheiten und Schwachstellen hinsichtlich des Datenschutzniveaus auf.

Unternehmen müssen für die Nutzung von Mailchimp notwendigerweise personenbezogenes Datenmaterial, wie Mail-Adressen ihrer Kunden, aus den Händen geben. Bei Mailchimp handelt es sich um eine Software-as-a-Service-Lösung, sodass die Software nicht auf den Servern des nutzenden Unternehmens installiert wird.

Die E-Mail-Adressen der Empfänger werden stattdessen an US-amerikanischen Servern von Mailchimp übermittelt und dort verarbeitet.

 

Datenübermittlung in die USA als „unsicheres Drittland“

Es stellt sich in diesem Zuge die Frage, in welchem Umfang die Datenübermittlung an sog. Newsletter-Provider, wie Mailchimp, zulässig ist.

Lange Zeit regelte dies, in Bezug auf Übermittlungen in die USA, der sog. „Privacy Shield“. Hierdurch wurde eine Datentransferierung in die USA mit zertifizierten, bei dem US-Handelsministerium gemeldeten Unternehmen rechtlich untermauert.

Der EuGH kippte den Privacy Shield durch das „Schrems-II“ Urteil.

Kernaussage des Urteils ist die Anwendbarkeit der Datenschutz-Grundverordnung auf die Übermittlung personenbezogener Daten in ein Drittland auch in solchen Fällen, in denen es aus Gründen der nationalen Sicherheit oder Verteidigung zu einem Zugriff durch Geheimdienste dieses Landes kommt.

Die Gerichte begründen ihre Entscheidung damit, dass der Privacy-Shield nicht vor Zugriffen der US-Geheimdienste schütze und aufgrund der Rechtslage in den USA kein angemessenes Datenschutzniveau sichergestellt werden könne. Dies bekräftigt u.a Section 702 des FISA, die keine Beschränkung der Überwachungsmaßnahmen der Geheimdienste und keine Garantien für Nicht-US-Bürger vorsieht.

Mailchimp fiel vormalig ebenfalls unter den Privacy Shield. Allerdings erfolgte keine Sicherstellung der Einhaltung von Richtlinien durch eine offizielle Institution, wodurch dessen Wirkungsweise auf Kritik stieß. Konnte der Datenschutz durch Mailchimp bis zu Schrems-II als unzureichend qualifiziert werden, verbesserte sich die Situation durch das Urteil nicht.

 

Anforderungen an die Datenübermittlung in ein Drittland

Für die Datenübermittlung in ein Drittland muss, neben den EU-Standardvertragsklauseln, sichergestellt sein, dass ein Gleichlauf des Schutzniveaus personenbezogener Daten mit demjenigen in der EU besteht.

Dies ist im Lichte der EU-Grundrechte-Charta und im Hinblick auf Art. 46 I DSGVO auszulegen, nämlich geeignete Garantien vom Verantwortlichen, durchsetzbare Rechte und wirksame Rechtsbehelfe für die betroffenen Personen einzuräumen. Hier sind nicht nur vertragliche Beziehungen zwischen Datenexporteur und Importeur relevant, sondern auch die Zugriffsmöglichkeit durch Behörden des Drittlandes.

Ohne „zusätzliche Maßnahmen“ der Vertragspartner würden die Standardklauseln keinen angemessenen Schutz bieten, sind Behörden des Drittlandes, in dem sie nach Recht des Drittlandes befugt sind, in die Rechte der betroffenen Person einzugreifen, nicht an die Standardklauseln gebunden.

Bei der Verwendung von Mailchimp als US-amerikanisches Unternehmen fehlte vorliegend also die notwendige Prüfung, ob zu den EU-Standarddatenschutzklauseln, die Mailchimp anbietet, „zusätzliche Maßnahmen“ im Sinne der Art. 44 ff. DSGVO erfolgt sind, um eine datenschutzkonforme, an einheitlich europäischen Maßstäben orientierte Verarbeitung zu gewährleisten.

Ist ein solches angemessenes Schutzniveau nicht sichergestellt, muss die Aufsichtsbehörde für den Datenschutz die Datenübermittlung aussetzen oder verbieten, sofern der Schutz nicht durch andere Maßnahmen hergestellt ist.

Damit entschied die Aufsichtsbehörde jedenfalls nicht, dass der Einsatz von Mailchimp generell als unzulässig zu bewerten ist.

 

Zulässigkeitsprüfung für Mailchimp

Wie eine Zulässigkeitsprüfung des Einsatzes von Mailchimp als US-Dienst letztlich aussehen könnte, veröffentlichte die Aufsichtsbehörde Baden-Württemberg jüngst in einer Orientierungshilfe:

  • Erwägung einer Alternative

Hier erfolgt eine Prüfung, ob es etwaige Alternativangebote von Dienstleistern gibt, die ihren Sitz nicht in unsicheren Drittländern, wie den USA haben. Überdies findet eine Interessenabwägung statt, die z.B. Risiken und finanzielle Aufwände der Umstellung und die Einarbeitung des Teams etc. berücksichtigt.

  • Bewertung des Gefährdungsgrades für die Abonnenten

Der Gefährdungsgrad wird dadurch bestimmt, welche potentiellen Folgen mit welcher Wahrscheinlichkeit für die Abonnenten drohen im Falle des Eingriffs eines US-Geheimdienstes. Die Brisanz des Newsletters aus US-amerikanischer Perspektive ist hier ein Parameter (Newsletter kontrovers politischer Natur).

  • Sicherung des Datenschutzniveaus

Der Anspruch des Datenschutzniveaus hängt von dem besagten Gefährdungsgrad der Abonnenten ab und den Vorgaben der einheitlich europäischen Datenschutzmaxime.

Schlussendlich ist festzuhalten, dass die zusätzlichen Maßnahmen umso strenger ausfallen müssen, je sensibler die Daten sind.

 

Ausblick

Ein generelles Verbot von Mailchimp steht also nicht im Raume. Lediglich die unterlassene Prüfung in Hinblick auf zusätzliche Maßnahmen zur Absicherung des fehlenden, ebenbürtigen Datenschutzniveaus in der USA sind hingegen in das Zentrum datenschutzrechtlicher Besorgnis gerückt.

Da viele Unternehmungen Mailchimp aktuell nutzen, sollten folgende Fragen geklärt werden: Welche Daten werden an Mailchimp übermittelt? Werden Tracking-Funktionen genutzt? Welche zusätzlichen Maßnahmen stellt Mailchimp zum Datenschutz bereit? Mit welchem Aufwand und welchen Kosten wäre zu rechnen, wenn eine Umstellung der Newsletter auf EU-Dienstleister erforderlich wäre?

Generell ist es geboten, vor der Weitergabe von personenbezogenen Daten, eine Bestandsaufnahme zu machen, in welchen Fällen Ihr Unternehmen personenbezogene Daten in Drittländer exportiert, sich mit dem Vertragspartner im Drittland in Verbindung zu setzen und sich über die Rechtslage im Drittland zu informieren.

Überdies ist zu hinterfragen, ob es für das Drittland einen Angemessenheitsbeschluss (Art. 45 DSGVO) gibt und ob die von der Kommission beschlossenen Standardvertragsklauseln nutzbar sind.

 
 
 

 

 

 

Neben dem Recht auf Auskunft ist das Recht auf Vergessenwerden eines der wesentlichen Betroffenenrechte aus der Datenschutzgrundverordnung. Wann Betroffene dieses Recht geltend machen können und wann eine Löschpflicht des Verantwortlichen vorliegt, wird durch die DSGVO näher geregelt. Neben einer tatsächlichen Löschung sieht der Gesetzgeber die Möglichkeit der Anonymisierung vor.

In welchen Fällen eine Anonymisierung erfolgen kann und wie diese Abläuft, können Sie diesem Beitrag entnehmen.

 

Das Wichtigste in Kürze

  • Nach Art. 17 DSGVO hat jeder Betroffene das Recht, vom Verantwortlichen eine Löschung der über ihn gespeicherten personenbezogenen Daten zu verlangen
  • Eine Löschverpflichtung des Verantwortlichen kann unter Umständen entfallen, wenn eine der Ausnahmen des Art. 17 Abs. 3 DSGVO vorliegt
  • Ausschlaggebend für die Umsetzung der Löschpflicht nach Art. 17 DSGVO ist der Löscherfolg. Es muss faktisch unmöglich sein von den personenbezogenen Informationen Kenntnis zu nehmen.
  • Unter Umständen genügt für eine Löschung eine Anonymisierung der personenbezogenen Daten.
  • Eine Anonymisierung kann durch Randomisierung, Generalisierung oder eine Kombination der beiden Varianten erfolgen.

 

Recht auf Vergessenwerden

Im Gegensatz zu den anderen Betroffenenrechten, die sich aus der DSGVO ergeben und regelmäßig einen Antrag des Betroffenen voraussetzten, ergibt sich das Recht auf Vergessenwerden sowie ein unmittelbarer Löschanspruch der betroffenen Person auch unabhängig von einem Antrag aus Art. 17 Abs. 1 DSGVO.

Eine Löschung muss insoweit unverzüglich vorgenommen werden, wenn die betroffene Person eine Löschung verlangt und sobald einer der Löschgründe aus Art. 17 Abs. 1 DSGVO gegeben ist.

 

Pflicht zur Löschung nach Art. 17 Abs. 1 DSGVO

Liegen folgende Voraussetzungen vor, ist der Verantwortliche zur unverzüglichen Löschung verpflichtet:

  • Die personenbezogenen Daten, die für die Verarbeitung zu einem bestimmten Zweck erhoben wurden, werden nicht mehr benötigt
  • Der Betroffene widerruft seine ursprünglich erteilte Einwilligung und es liegt keine anderweitige Rechtsgrundlage ein
  • Der Betroffene widerspricht der Datenverarbeitung im Sinne von Art. 21 DSGVO
  • Die Datenverarbeitung war unrechtmäßig
  • Die Löschung dient der Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen
  • Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste gem. Art. 8 Abs. 1 DSGVO erhoben

Ausnahmen von der Löschpflicht nach Art. 17 Abs. 3 DSGVO

Liegt eine der folgenden Ausnahmen nach Art. 17 Abs. 3 DSGVO vor, entfällt eine Pflicht des Verantwortlichen:

  • Die Verarbeitung ist für die Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich;
  • Die Verarbeitung für die Erfüllung einer Rechtspflicht oder einer öffentlichen Aufgabe erforderlich ist;
  • Der Löschung steht ein öffentliches Interesse im Bereich der öffentlichen Gesundheit entgegen;
  • Die Verarbeitung ist zu Archiv-, Forschungs- und statistischen Zwecken erforderlich;
  • Die Verarbeitung ist für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.

 

Mit der Löschpflicht zusammenhängende Pflichten

Abgesehen von der konkreten Löschung ist der Verantwortliche weiterhin gem. Art. 19 DSGVO verpflichtet, weitere Datenempfänger zu benachrichtigen. Zudem ist der Verantwortliche gem. Art. 17 Abs. 2 DSGVO verpflichtet, sofern die Daten öffentlich gemacht wurden, weitere Verantwortliche davon zu unterrichten, dass der Betroffene eine Löschung sämtlicher Links zu diesen personenbezogenen Daten oder gegebenenfalls Kopien oder Replikationen dieser personenbezogenen Daten verlangt.

Zudem ist im Anschluss an die Löschung die betroffene Person über den Löschvorgang nach Art. 19 DSGVO zu informieren.

 

Umsetzung der Löschpflicht

Nach Art. 4 Nr. 2 DSGVO stellt der Löschvorgang selbst eine Datenverarbeitung i.S.d. DSGVO dar. Da der Begriff des Löschens in der DSGVO nicht weiter definiert wird, können Löschungen auf unterschiedliche Art und Weise durchgeführt werden. Zu beachten ist hierbei, dass von der unverzüglichen und unentgeltlichen Löschpflicht des Verantwortlichen solche Daten ausgenommen sind, die vom Verantwortlichen rechtmäßig offengelegt und infolgedessen von Dritten gespeichert wurden.

Folgende Löschhandlungen kommen grundsätzlich in Betracht:

  • Überschreiben der Datenträger, die die personenbezogenen Daten speichern;
  • Physische Zerstörung der Datenträger und fachmännische Entsorgung;
  • Löschung der Verknüpfungen oder Codierungen, die eine Wahrnehmung der personenbezogenen Daten ermöglichen;
  • Auslistung (insb. bei Suchmaschinen).

Ausschlaggebend für die Umsetzung der Löschpflicht nach Art. 17 DSGVO ist der Löscherfolg. Das heißt, es muss faktisch unmöglich sein von den personenbezogenen Informationen Kenntnis zu nehmen.

Löscherfolg durch Anonymisierung

Es stellt sich mithin die Frage, ob für eine Löschung von personenbezogenen Daten eines Betroffenen nach Art. 17 Abs. 1 DSGVO eine sachgemäße Anonymisierung ausreicht. Schließlich können anonymisierte Daten keiner natürlichen Person mehr zugeordnet werden. Anonymisierte Daten weisen keinerlei Personenbezug auf, sodass sie nicht mehr den datenschutzrechtlichen Vorschriften unterfallen.

Die DSGVO enthält in diesem Zusammenhang keine praktischen Regelungen oder Definitionen im Hinblick auf anonyme Daten. Auf anonymisierte Daten wird lediglich in Erwägungsgrund 26 Bezug genommen. Danach finden datenschutzrechtliche Grundsätze keine Anwendung, wenn Informationen vorliegen, die keinen Bezug zu einer identifizierten oder identifizierbaren natürliche Person haben.

Eine absolute Anonymisierung dahingehend, dass es niemandem mehr möglich ist einen Personenbezug wiederherzustellen, wird in der Regel kaum möglich sein. Im Hinblick darauf ist es aus Sicht des Datenschutzes ausreichend, dass der Personenbezug lediglich so weit aufgehoben ist, dass es faktisch unmöglich ist, eine Re-Identifizierung vorzunehmen. Es darf faktisch auch nicht mehr möglich sein, eine natürliche Person anhand mehrerer Datensätze eines Datenbestandes oder auch unter mehreren voneinander unabhängigen Datenbeständen zu identifizieren. Dies ist regelmäßig dann der Fall, wenn Kosten und Zeitaufwand einer erneuten Identifizierung unverhältnismäßig hoch wären.

Im Hinblick auf eine sachgemäße Anonymisierung ist auf den Zeitpunkt der Durchführung sowie die zu diesem Zeitpunkt vorhandenen Technologien und technologischen Entwicklungen abzustellen. In diesem Zusammenhang obliegt es dem Verantwortlichen in regelmäßigen Abständen sicherzustellen, dass die Anonymisierung dem aktuellen Stand der Technik entspricht und jegliche Re-Identifizierungsmöglichkeit zu beseitigen.

 

Arten der Anonymisierung

Die Art. 29-Datenschutzgruppe werden mögliche Arten der Anonymisierung in folgende drei Gruppen eingeteilt:

  • Randomisierung

Dabei werden Datensätze aus dem Datenbestand zufällig herausgegriffen und isoliert. Dies kann je nach Datenbestand zu einer permanenten De-Identifikation führen. Allerdings muss dies für den konkreten Fall geprüft und sichergestellt werden.

  • Generalisierung

Hierbei werden Quasi-Identifier wie Einzelangaben und Werte so gut wie möglich zusammengefasst, sodass künstlich ein Verlust von Informationen herbeigeführt wird.

  • Kombination der Randomisierung und Generalisierung

Durch eine Kombination der genannten Varianten wird eine Verknüpfung der Datensätze in verschiedenen Datenbanken verhindert, sodass diese nicht mehr in Verbindung gebracht werden können.

 

Rechtsgrundlage der Anonymisierung

Da nach Ansicht des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) auch eine Anonymisierung eine Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 2 DSGVO in Gestalt einer Veränderung bzw. der Löschung darstellt, bedarf es auch für diese einer Rechtsgrundlage.

Grundsätzlich kommen insoweit sämtliche Rechtsgrundlagen des Art. 6 DSGVO in Betracht. In diesem Zusammenhang ist ein Rückgriff auf die Zweckänderung aus Art. 6 Abs. 4 DSGVO von besonderem Interesse. Darauf könnte die Anonymisierung  gestützt werden, sofern sie mit dem ursprünglichen Verarbeitungszweck, für den die Daten erhoben wurden, vereinbar ist.

Weiterhin wird als Rechtsgrundlage für die Anonymisierung Art. 6 Abs. 1 S. 1 lit. c) i.V.m. Art. 17 DSGVO herangezogen, da die Anonymisierung der Erfüllung der Löschpflicht des Verantwortlichen dient.

 

Geeignetheit der Anonymisierung zur Erfüllung der Löschpflicht

Unabhängig von der Frage nach der Rechtsgrundlage, auf welche die Anonymisierung gestützt werden kann, ist die Frage zu klären, ob eine Anonymisierung eine geeignete Löschhandlung zur Erfüllung der Löschpflicht des Verantwortlichen darstellt und dem Löschanspruch des Betroffenen gerecht wird. Insbesondere, da es in der Regel nur schwer feststellbar ist, wann eine sachgerechte Datenanonymisierung vorliegt.

Insoweit hat der Verantwortliche seiner Löschpflicht bereits Genüge getan, wenn es im Zeitpunkt der Vornahme der Anonymisierung faktisch unmöglich ist einen Personenbezug wiederherzustellen. In dem genannten Zeitpunkt darf es nicht möglich sein, ohne unverhältnismäßigen Aufwand eine Person zu identifizieren oder identifizierbar zu machen.

Die Löschpflicht aus Art. 17 DSGVO steht in engem Zusammenhang mit dem Grundsatz der Speicherbegrenzung aus Art. 5 Abs. 1 lit. e) DSGVO. Letzterer besagt, dass die Identifizierung oder Identifizierbarkeit einer Person nur solange möglich sein darf, bis der Verarbeitungszweck, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, erreicht ist.

Daraus folgt, dass eine Löschpflicht nach Art. 17 Abs.1 lit. a) DSGVO immer dann besteht, sobald die personenbezogenen Daten für eine zweckgebundene Datenverarbeitung nicht mehr erforderlich sind.

Daher ist die Löschpflicht immer dann ausreichend erfüllt, wenn durch eine geeignete Löschhandlung im Rahmen einer sachgemäßen Anonymisierung jeglicher Personenbezug, der eine Identifizierung oder Identifizierbarkeit ermöglicht, aufgehoben wird.

 

Ausblick

Liegt eine gesetzliche Löschpflicht vor oder machen Betroffene ihren Anspruch auf Löschung geltend, hat dies nicht unbedingt zur Folge, dass Daten vernichtet werden müssen. Auch Maßnahmen der Anonymisierung können einer Löschung im Sinne der DSGVO genügen. Diese Art der Datenverarbeitung birgt allerdings auch Risiken. Bei der Durchführung einer Anonymisierung gilt es daher unbedingt zu beachten, dass eine Rechtsgrundlage vorliegt und Sie als Verantwortlicher ihren Informationspflichten nachkommen, in dem Sie den Betroffenen umfassend über eine Anonymisierung informieren.

Da die Generierung eines anonymen Datenbestandes eine große Herausforderung für den Verantwortlichen darstellt und einige Fehlerquellen birgt, sollte in der Regel eine Risikoanalyse und gegebenenfalls eine Datenschutz-Folgenabschätzung durchgeführt werden. Findet in Ihrem Unternehmen regelmäßig eine Datenanonymisierung statt, sollten Sie die bestehende Anonymisierungen überprüfen und gegebenenfalls neu bewerten.

 

 
 
 

 

 

 

 

Datenschutz – eines der größten Haftungsrisiken

Die beste Strategie zur Vermeidung von Bußgeldern auf Grund von Datenschutzverstößen ist die umfängliche und kompromisslose Einhaltung aller Regelungen der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetztes (BDSG). Leider sind viele Regelungen der DSGVO unklar gefasst und noch immer sind zahlreiche praktische Fragen ungeklärt.

Die genauen Anforderungen an die rechtskonforme Umsetzung einzelner Datenverarbeitungen oder an das Datenschutzmanagementsystem eines Unternehmens sind ohne besondere Expertise nicht bewertbar. Für Verantwortliche ist es daher umso wichtiger, Vorkehrungen zu treffen, um das Unternehmen und sich selbst vor Haftung zu schützen.

 

Die Haftung für DSGVO-Verstöße

Die DSGVO selbst sieht als Sanktionsmöglichkeiten insbesondere Schadensersatzansprüche (Art. 82 DSGVO) sowie die Verhängung von Geldbußen bis zu 20 Millionen Euro oder 4 % des weltweiten Vorjahresumsatzes des Unternehmens / Konzerns vor.

Adressat dieser Sanktionen ist zunächst die Verantwortliche Stelle (Art. 4 Nr. 7 DSGVO). Im Falle von Unternehmen ist dies regelmäßig die juristische Person selbst und nicht deren Geschäftsführer oder Vorstände.

Allerdings kann sich für Geschäftsführer und Vorstände eine persönliche Haftung ergeben, wenn die Datenschutzverstöße auf einer Verletzung ihrer Aufsichts- und Legalitätspflichten beruhen.

Das mangelnde Hinwirken auf die Einhaltung der Regelungen des Datenschutzes stellt eine Sorgfaltspflichtverletzung im Sinne des § 43 GmbHG sowie § 93 Abs.2 AktG dar und kann zu Regressansprüchen des Unternehmens gegenüber der Leitung führen. Dabei können sich Vorstände und Geschäftsführer nicht auf die Behauptung zurückziehen, über kein ausreichendes Fachwissen zu verfügen oder die Aufgabe delegiert zu haben.

Die Unternehmensleitung ist verpflichtet, sich umfassend über die Regelungen des Datenschutzes zu informieren oder beraten zu lassen und für die ständige Einhaltung der Gesetze in ihrem Unternehmen zu sorgen.

Des Weiteren können Geschäftsführer und Vorstände gemäß § 130 Abs. 1 OWiG auch persönlich Adressaten eines Bußgeldes sein, wenn sie schuldhaft gegen Aufsichts-, Überwachungs- oder andere Sorgfaltspflichten verstoßen und es innerhalb ihres Unternehmens dadurch zur Begehung von Straftaten oder Ordnungswidrigkeiten kommt. Insbesondere der Verstoß gegen Datenschutzvorschriften stellt neben einer möglichen Strafbarkeit auch eine Ordnungswidrigkeit im Sinne der o.g. Norm dar.

 

Wie wir Ihnen helfen, die Haftung zu vermeiden

In einem ersten Schritt verschaffen wir uns in Form eines Kurzaudits einen Überblick über den Ist-Stand des Datenschutzmanagementsystems Ihres Unternehmens. Auf Grundlage dessen identifizieren wir unmittelbar dessen Schwachstellen und entwickeln gemeinsam mit Ihnen eine Roadmap, um die Haftungsrisiken in Ihrem Unternehmen entsprechend ihrer Priorität zu beheben.

Teil dieses Prozesses ist insbesondere eine umfassende Begutachtung aller in Ihrem Unternehmen durchgeführten Datenverarbeitungen, von der Erhebung bis hin zur Archivierung und Löschung. Aus dieser Begutachtung leiten wir klare Handlungsempfehlungen für Sie ab.

Sind diese umgesetzt und die Datenschutzkonformität der Verarbeitung wurde durch uns festgestellt, kann ihrem Unternehmen und Ihnen nicht mehr vorgeworfen werden, wissentlich gegen die DSGVO verstoßen zu haben. Im Rahmen des Auf- bzw. Ausbaus ihres Datenschutzmanagementsystems beraten und unterstützen wir Sie in allen Bereichen.

Von der fachlichen Überprüfung der Einführung technischer und organisatorischer Maßnahmen über die Vorbereitung und Verhandlung von Betriebsvereinbarungen mit Ihrem Betriebsrat bis hin zur Verteidigung gegen Bußgeldbescheide und Rechtsansprüche Dritter.

 
 
 

 

 

 

Die Whistleblower-Schutzrichtlinie kommt!

Mit der europäischen Whistleblower-Richtlinie werden künftig Personen geschützt, die Missstände in ihrem Unternehmen melden. Letztere werden unter anderem verpflichtet, entsprechende Meldekanäle einzurichten.

Die Mitgliedsstaaten haben nun bis zum 17. Dezember 2021 Zeit, die Richtlinie in das nationale Recht umzusetzen. Das Bundesministerium für Justiz und Verbraucherschutz (BMJV) hat zwar bereits einen Entwurf vorgelegt, allerdings fehlt es bislang noch an einer Einigung zwischen den Koalitionsparteien.

Trotzdem sollten Unternehmen sich bereits jetzt schon auf die Umsetzung vorbereiten. Der Whistleblower-Schutz wird kommen – egal ob mit oder ohne rechtzeitige Umsetzung im deutschen Recht. Es ist davon auszugehen, dass sich Betroffene notfalls unmittelbar auf die Richtlinie als Schutzgesetz berufen können. Deshalb sollten Unternehmen frühzeitig die entsprechenden Maßnahmen treffen, um den Anforderungen der Richtlinie gerecht zu werden, zumal die Nachfrage zur Einrichtung der vorgegebenen Meldekanäle bis Ende des Jahres stark ansteigen wird.

 

Was sieht der derzeitige Gesetzesentwurf vor?

Das BMJV hat Ende 2020 das sogenannte Hinweisgeberschutzgesetz entworfen. Der Entwurf setzt die Richtlinie fast 1:1 um und erweitert den Schutz sogar. Er sieht vor, dass der Schutz nicht nur in Bezug auf das Melden von Verstößen gegen das EU-Recht, sondern ebenfalls in Bezug auf Verstöße gegen das nationale Recht gilt. Hierdurch soll ermöglicht werden, dass Betroffene auch Angelegenheiten melden können, die straf- oder bußgeldbewehrt sind, sowie gegen das sonstige Bundesrecht verstoßen. Diese Ausweitungsmöglichkeit wird auch in der Richtlinie angelegt und den Mitgliedsstaaten überlassen.

Hierdurch soll verhindert werden, dass Hinweisgebende davon Abstand nehmen, einen Missstand zu melden aus Angst davor, dass dieser nicht von dem Gesetz erfasst wird, zumal die beiden Regelungssysteme oftmals eng miteinander verwoben sind.

Hinweisgebende könnten hierdurch beispielsweise auch Schmiergeldzahlungen, Steuerhinterziehungen und Verstöße gegen deutsche Umweltschutz- oder Arbeitsschutzbestimmungen melden.

Die externe Meldestelle soll der Datenschutzbeauftrage des Bundes sein. Im Falle von Verstößen gegen das Finanzrecht soll die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zuständig sein. Außerdem soll jedes Bundesland eine eigene externe Meldestelle einrichten können für Meldungen, die Dienststellen des jeweiligen Landes betreffen.

Auch der Entwurf sieht ein Verbot von Repressalien vor, welches im Falle eines Verstoßes Schadensersatzpflichten zugunsten der/des Hinweisgebenden auslöst. Ein Verstoß begründet allerdings keinen Anspruch auf Begründung eines Beschäftigungsverhältnisses, eines Berufsausbildungsverhältnis, eines anderen Vertragsverhältnisses oder eines beruflichen Aufstiegs.

Ebenso trifft Hinweisgebende eine Schadensersatzpflicht, wenn sie vorsätzlich oder grob fahrlässig eine Meldung unrichtiger Informationen veranlassen.

Verstöße gegen das Gesetz sollen als Ordnungswidrigkeit geahndet werden.

 

Wer und was ist vom Schutz der Richtlinie erfasst?

Durch die Whistleblower-Richtlinie sollen Mitarbeitende, die Missstände in ihrem Unternehmen melden, vor negativen Konsequenzen, wie Kündigung, Degradierung, Einschüchterung und sonstiger Diskriminierung, geschützt werden.

Von dem Schutz werden auch ehemalige Mitarbeitende, BewerberInnen sowie UnterstützerInnen der/des Hinweisgebenden und Journalisten erfasst.

Dies gilt sowohl in Unternehmen als auch in öffentlich-rechtlichen Einrichtungen, also in Behörden und Ämtern in Kommunen mit mehr als 10.000 Einwohnern und allen juristischen Personen des öffentlichen Rechts.

Der Schutz gilt allerdings nur für die Meldung von Missständen mit Bezug auf EU-Recht. Hiervon umfasst sind unter anderem die Bereiche der Finanzdienstleistungen, Produktsicherheit, Verkehrssicherheit, Umweltschutz, öffentliche Gesundheit, Verbraucherschutz, Schutz der Privatsphäre und der personenbezogenen Daten.

 

Welche Pflichten sieht die Richtlinie vor?

Unternehmen ab 50 Mitarbeitenden sind verpflichtet interne Meldekanäle bereitzustellen. Unternehmen mit 50-249 Mitarbeitenden wird eine Übergangsfrist von zwei Jahren eingeräumt.

Die Meldung soll mündlich, schriftlich und auf Wunsch auch persönlich möglich sein. Eine Pflicht zur Entgegennahme von anonymen Meldungen besteht nicht. Allerdings muss die Identität der/des Hinweisgebenden vertraulich behandelt werden.

Der Eingang der Meldung soll dann binnen 7 Tagen bestätigt werden und binnen 3 Monaten muss die Meldestelle dem/der Hinweisgebenden mitteilen, welche Maßnahmen ergriffen wurden.

Die Mitgliedsstaaten sind außerdem verpflichtet externe, unabhängige Meldekanäle einzurichten.

 

Welche Möglichkeiten haben Betroffene?

Der/die Betroffene hat die Wahl, ob er/sie eine Angelegenheit intern im Unternehmen oder extern bei der zuständigen Aufsichtsbehörde meldet. In beiden Fällen genießt er/sie den Schutz der Richtlinie.

Sollte daraufhin nichts geschehen, kann der/die Betroffene sodann an die Öffentlichkeit gehen. Besteht Grund zur Annahme, dass der „Verstoß eine unmittelbare oder offenkundige Gefährdung des öffentlichen Interesses darstellen kann“ oder „im Fall einer externen Meldung Repressalien zu befürchten sind oder aufgrund der besonderen Umstände des Falls geringe Aussichten bestehen, dass wirksam gegen den Verstoß vorgegangen wird“ besteht auch die Möglichkeit sich direkt an die Öffentlichkeit zu wenden, ohne den Schutz einzubüßen.

 

Wie sieht der Schutz der Richtlinie genau aus?                                      

Die Richtlinie sieht vor, dass jede Form von Repressalien gegen Hinweisgebende, einschließlich deren Versuch und deren Androhung, verboten ist.

Außerdem dürfen Hinweisgebende nicht für die Offenlegung der Meldung haftbar gemacht werden, wenn sie hinreichenden Grund zu der Annahme hatten, dass die Meldung notwendig war, um einen Verstoß gemäß der Richtlinie aufzudecken. Dies gilt auch für die Beschaffung und den Zugriff auf die Information, die gemeldet wurde, es sei denn, dass diese eine eigenständige Straftat darstellt.

Kommt es aufgrund einer Repressalie zu einem Gerichtsverfahren soll eine Beweislastumkehr zugunsten der/des Betroffenen stattfinden. Dies bedeutet, dass beispielsweise im Falle einer Kündigung im Nachgang zu einer Meldung grundsätzlich die Vermutung besteht, dass die Kündigung gerade wegen dieser Meldung erfolgt ist. Der Arbeitgeber muss dann das Gegenteil beweisen.

 

Sanktionen

Sollte ein Unternehmen das Melden von Missständen behindern oder dies versuchen, hat es mit Sanktionen zu rechnen. Dies gilt auch für den Fall, dass die Identität der/des Betroffenen nicht vertraulich behandelt wurde.

 

 

Mit freundlichen Grüßen
Team Kolb, Blickhan & Partner

 

 
 
 

 

 

 

Das Betriebsrätemodernisierungsgesetz ist vom  Bundeskabinett verabschiedet und soll zeitnah auch vom Bundestag und -rat bestätigt werden. Die wesentlichen Änderungen lassen sich wie folgt zusammenfassen:

 

  1. Zunächst wird das vereinfachte Wahlverfahren erweitert; zukünftig können Betrieben mit bis zu 100 Mitarbeitern ein vereinfachtes Wahlverfahren durchführen. Überdies wird der Kündigungsschutz für Mitarbeiter, die die Durchführung einer Wahl vorbereiten und zu einer Betriebsversammlung einladen, gestärkt werden.

  2. Darüber hinaus sollen die Vorschriften zu den Betriebsratssitzungen und Beschlussfassungen (vgl. §§ 30, 33 und 34 BetrVG) insoweit angepasst werden, als dass alle oder einzelne Betriebsratsmitglieder mittels Video- und Telefonkonferenz teilnehmen können, wobei die Durchführung einer Präsenzsitzung weiterhin vorranging bleibt; der Betriebsrat kann in seiner Geschäftsordnung die Rahmenbedingungen festlegen.

  3. Ein weiterer wesentlicher Punkt ist die Einführung des § 79a BetrVG; dieser befasst sich mit den betriebsverfassungsrechtlichen Aspekten des Datenschutzes. Hiernach wird zunächst festgehalten, dass der Betriebsrat kein Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO; dies ist insoweit wichtig, als dass der Betriebsrat für etwaige Datenschutzverstöße nicht haftet. Zugleich sieht § 79a BetrVG vor, dass der Betriebsrat selbst (d.h. im Innenverhältnis) hinreichend Strukturen schaffen muss, um den Datenschutz zu wahren. Eine Inanspruchnahme wegen Datenverstößen oder arbeitsrechtliche Maßnahmen sind somit nicht grundsätzlich ausgeschlossen.

Letztendlich sieht § 79a BetrVG vor, dass sich der Arbeitgeber und der Betriebsrat bei der Einhaltung der datenschutzrechtlichen Vorschriften gegenseitig unterstützen müssen.

  1. Des Weiteren wird § 87 Abs. 1 BetrVG um die Nummer 14 ergänzt; hiernach hat der Betriebsrat bei der Ausgestaltung von mobiler Arbeit ein zwingendes Mitbestimmungsrecht.

 

Mit freundlichen Grüßen

Team Kolb, Blickhan & Partner

 

 
 
 

 

 

 

Der Versand von E-Mails gehört heute sowohl in der privaten Kommunikation als auch im unternehmerischen Geschäftsverkehr zum Alltag. Doch gerade beim Versenden von E-Mails kann es recht schnell zu einer Datenpanne kommen. Bereits ein Tippfehler im Adressfeld kann dazu führen, dass die Nachricht an eine falsche Person zugestellt wird. Aber auch beim Versenden vom Massen-E-Mails kann das Eintragen der Empfänger-Adressen in das falsche Feld einen Datenschutzverstoß begründen. In diesem Zusammenhang führte erst kürzlich die Versendung einer solchen Massen-E-Mail an einen größeren Personenkreis durch ein Impfzentrum zu einer schwerwiegenden Datenschutzpanne.

 

Das Wichtigste in Kürze

  • Impfzentrum veröffentlichte in einer Massen-E-Mail versehentlich knapp 1.500 Mailadressen
  • Nutzung offener E-Mail-Verteiler für das Versenden von Rundmails kann einen Verstoß gegen die DSGVO begründen
  • Eine Ausnahme offener E-Mail-Verteiler ist nur für den privaten Bereich vorgesehen
  • Für den datenschutzkonformen Versand von Rundmails sollte das Feld für die Blindkopie „Bcc“ verwendet werden

 

 

Personenbezogene Daten nach Impfterminabsage einsehbar

Nachdem im Kampf gegen das Corona-Virus das Impfen mit dem Vakzin AstraZeneca in Deutschland vorübergehend ausgesetzt wurde, verursachte eine Mitarbeiterin des Impfzentrums im Ennepe-Ruhr-Kreis bei der kurzfristigen Absage der Impftermine eine schwerwiegende Datenpanne.

Im Rahmen der Terminabsagen wurde eine Rundmail an alle knapp 1500 Impfkandidaten versendet. In der E-Mail waren für alle Empfänger neben dem Kommunikationsinhalt die Mailadressen sämtlicher Impfkandidaten, die bereits einen Impftermin vereinbart hatten, sichtbar.  Die Mitarbeiterin hatte sämtliche Adressen in das falsche Feld des Mailprogramms kopiert.

Auch bei E-Mail-Adressen handelt es sich regelmäßig um personenbezogene Daten. Somit stellt dieser Sachverhalt einen klaren Datenschutzverstoß dar, auch wenn keinerlei Gesundheitsdaten offengelegt wurden.

 

Nutzung offener E-Mail-Verteiler

Immer wieder kommt es auch im geschäftlichen Alltag vor, dass Rundmails, beispielsweise im Rahmen vom Newslettern versandt werden und zahlreiche E-Mail-Adressen offengelegt werden, weil der Absender die Adressen in das An- oder Cc-Feld des E-Mail-Programms einfügt. In einem solchen Fall ist für Empfänger erkennbar, welche E-Mail-Adressen dieselbe Nachricht erhalten haben.

Die Nutzung offener E-Mail-Verteiler für das Versenden von Massen-E-Mails kann grundsätzlich immer einen Verstoß gegen die DSGVO begründen.

Gemäß der Datenschutzgrundverordnung handelt es sich bei Vernichtung, Verlust oder, wie im vorliegenden Fall, der unbefugten Offenlegung von Daten um eine Verletzung des Schutzes personenbezogener Daten.

Sofern die Mail-Adressen mit dem Namen personalisiert sind, kann unter Umständen mit geringem Aufwand die Identität der dazugehörigen Person ermittelt werden. Enthalten demnach die im Verteiler aufgelisteten E-Mail-Adressen den eindeutigen Namen einer Person, liegen personenbezogene Daten vor. Wird die E-Mail-Adresse, die einen Namen enthält und somit einer natürlichen Person zuordenbar ist an Dritte weitergegeben, liegt darin ein meldepflichtiger Verstoß gegen die DSGVO vor. Denn personenbezogene Daten dürfen nur dann an Dritte übermittelt werden, wenn eine Einwilligung des Betroffenen vorliegt oder aber eine gesetzliche Grundlage gegeben ist.

Da im vorliegenden Fall keine Einwilligung der Betroffenen für die Offenlegung ihrer E-Mail-Adresse vorlag, wäre eine andere gesetzliche Grundlage erforderlich gewesen, die ebenso wenig vorhanden war.

Eine Ausnahme offener E-Mail-Verteiler ist nur für den privaten Bereich vorgesehen.

 

Datenschutzkonformer Versand von Rundmails

Grundsätzlich dürfen personenbezogene E-Mail-Adressen bei mehreren E-Mail-Empfängern nicht ohne deren Einwilligung in die Felder „An“ oder „Cc“ der E-Mail-Programme eingegeben werden. Insoweit sollte das Feld für die Blindkopie „Bcc“ verwendet werde. Adressen die in „Bcc“ aufgeführt sind, sind für andere Empfänger nicht sichtbar.

 

Sanktionen

Da es sich bei dem Impfzentrum um eine behördliche Einrichtung handelt, gegen die gem. § 43 Abs. 3 BDSG grundsätzliche kein Bußgeld verhängt werden kann, werden die Verantwortlichen lediglich auf den vorliegenden Datenschutzverstoß hingewiesen.

Demgegenüber kann der Versand von E-Mails mit offenen Verteilerlisten durch Privatpersonen oder Unternehmen schwerwiegende Folgen haben und mit empfindlichen Bußgeldern sanktioniert werden.

Grundsätzlich werden Bußgelder der Behörden lediglich gegenüber Unternehmen als für die Datenverarbeitung Verantwortliche ergehen. Kommt es trotz Schulungsmaßnahmen, Richtlinien und klarerer Vorgaben der Unternehmensleitung dennoch durch Verhalten eines Mitarbeiters zu einer Datenpanne, kann ausnahmsweise auch dieser mit einem Bußgeld belegt werden.

 

Ausblick

Derartige Fehler beim Versand von E-Mails, wie sie dem Impfzentrum unterlaufen sind, sind unbedingt zu vermeiden. Aus diesem Grund sollten Unternehmen ihre Mitarbeiter auch in diesem Bereich für den Datenschutz sensibilisieren. Dies gilt vor allem für Angestellte, die häufig per E-Mail nach außen kommunizieren, um beispielsweise Angebote oder Newsletter an Kunden zu versenden. Insoweit bedarf es der Schaffung klar definierter Prozesse sowie der Anweisung und Schulung sämtlicher Mitarbeiter, die im geschäftlichen Verkehr E-Mails versenden.

 
 
 

 

Bußgeld i.H.v. 475.000 € wegen verspäteter Meldung einer Datenschutzpanne

Spätestens seit der Einführung der Datenschutzgrundverordnung im Mai 2018 sollten Unternehmen die DSGVO und die dort benannten Pflichten ernst nehmen. Immer wieder verhängen die Datenschutzbehörden hohe Bußgelder wegen Missachtung datenschutzrechtlicher Grundsätze. So wurde das niederländische Portal für die Buchung von Unterkünften Booking.com mit einem Bußgeld in Höhe von 475.000 € für die verspätete Meldung einer Datenschutzpanne sanktioniert.

 

Das Wichtigste in Kürze

  • Eine Datenpanne liegt dann vor, wenn es zum Verlust, zur Vernichtung oder zur Veränderung personenbezogener Daten kommt oder unbefugte Dritte Kenntnis von den personenbezogenen Daten erlangen.

  • Art. 33 Abs. 1 DSGVO besteht die Pflicht des Verantwortlichen eine Datenpanne unverzüglich, möglichst binnen 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde zu melden.

  • Eine Ausnahme der Meldepflicht gegenüber der Aufsichtsbehörde kommt dann in Betracht, wenn die Datenschutzverletzung kein oder nur ein geringes Risiko für die Rechte und Freiheiten einer natürlichen Person darstellt.

  • Die Verletzung der Meldepflicht kann mit einer Geldbuße in Höhe von bis zu 10.000.00 Euro oder im Falle eines Unternehmens von bis zu 2 % seines weltweit erzielten Jahresumsatzes sanktioniert werden.

 

Die Datenpanne

Der Bußgeldbescheid der niederländischen Datenschutzbehörde erging infolge einer schweren Datenpanne, die sich bei dem internationalen Online-Portal für die Buchung von Übernachtungsmöglichkeiten Booking.com abgespielt hat. Im Dezember 2018 verschafften sich Cyber-Kriminelle Zugang zu personenbezogenen Daten von über 4.000 Kunden.

Dafür sollen sie sich Zugangsdaten für die Booking.com-Konten von ca. 40 Hotel-Mitarbeitern in den Vereinigten Arabischen Emiraten beschafft haben.

Über die anschließende Nutzung der Plattform, konnten die Hacker auf die personenbezogenen Daten der Kunden zugreifen.

Gestohlen wurden komplette Datensätze mit Namen, Adressen sowie Zahlungsmitteln. Laut Booking.com soll es jedoch zu keiner Kompromittierung  des Codes sowie der Datenbanken gekommen sein.

Darüber hinaus konnten die Hacker telefonisch und per E-Mail, indem sie sich als Mitarbeiter der Plattform ausgaben, Kreditkartendaten abgreifen, wobei teilweise die Sicherheitsnummern einsehbar waren.

 

DSGVO-Verstoß: Verspätete Meldung der Datenpanne

Das Unternehmen mit Sitz in den Niederlanden stellte die Sicherheitsverletzung am 13. Januar 2019 fest. Eine Meldung an die Datenschutzbehörde erfolgte demgegenüber erst 25 Tage später am 7. Februar 2019, nachdem das Unternehmen drei Tage zuvor seine Kunden benachrichtigt hatte. Dieses Vorgehen stellt einen schweren Verstoß gegen die Meldepflicht aus der DSGVO dar.

 

Wann besteht eine Meldepflicht?

Gem. Art. 33 Abs. 1 DSGVO besteht die Pflicht des Verantwortlichen eine Datenpanne unverzüglich, möglichst binnen 72 Stunden nach Bekanntwerden, der zuständigen Aufsichtsbehörde zu melden.

Eine Datenpanne liegt gem. Art. 4 Nr. 12 DSGVO dann vor, wenn es zu einer Verletzung des Schutzes von personenbezogenen Daten kommt, die zum Verlust, zur Vernichtung oder zur Veränderung personenbezogener Daten führt oder zur Kenntnisnahme durch unbekannte Dritte.

Unter den Begriff der Datenschutzverletzung sind folgende Situationen zu fassen:

  • Vernichtung

Erfasst sind alle Formen der Datenlöschung, die eine unwiderrufliche Zerstörung von Daten zur Folge hat, ganz gleich, ob dies vorsätzlich oder unbeabsichtigt erfolgt.

  • Verlust

Auch Daten, die unvorhergesehen verloren gehen, ganz gleich, ob nur vorübergehend oder dauerhaft können einen Datenschutzverstoß darstellen.

  • Veränderung

Darunter ist die inhaltliche Umgestaltung von Daten zu verstehen, durch die personenbezogene Daten einen neuen Informationsgehalt aufweisen.

  • Offenlegung/Weitergabe

Insbesondere die Weitergabe von Daten an Dritte oder die Offenlegung gegenüber Dritten kann einen Datenschutzverstoß bedeuten, wenn keine Einwilligung des Betroffenen vorliegt oder eine andere Rechtsgrundlage einschlägig ist.

  • Unbefugter Zugriff

Können sich Dritte aufgrund unzureichender Sicherheitsmaßnahmen unbefugt Zugang zu personenbezogenen Daten verschaffen und von diesen Kenntnis nehmen, stellt auch dies eine Datenschutzverletzung dar.

Tritt eine dieser Situationen ein, liegt in der Regel eine meldepflichtige Datenschutzverletzung im Sinne des Art. 33 Abs. 1 DSGVO vor.

 

Frist zur Meldung einer Datenpanne

Gem. Art. 33 Abs. 1 DSGVO muss eine Datenpanne unverzüglich, möglichst binnen 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde gemeldet werden.

Die Vorgabe der 72 Stunden-Frist soll eine schnelle Meldung sowie damit einhergehende Maßnahmen zur Eindämmung des Risikos für die Rechte und Freiheiten natürlicher Personen gewährleisten.

Eine Überschreitung der Frist des Art. 33 Abs. 1 DSGVO ist nur dann zulässig, wenn für eine Meldung zu diesem Zeitpunkt nicht genügend Informationen vorliegen. Ist dies der Fall, muss bei Vornahme der Meldung eine überzeugende Begründung der Verzögerung beigefügt werden.

Sofern die inhaltlichen Mindestanforderungen nicht sofort, sondern nur schrittweise erfüllt werden können, besteht nach Art. 33 Abs. 4 DSGVO die Option, die erforderlichen Informationen nach und nach an die zuständige Behörde herauszugeben.

Für die Einhaltung der verhältnismäßig kurzen Frist ist es von großer Wichtigkeit, Datenschutzverletzungen im eigenen Unternehmen schnellstmöglich feststellen zu können. Aus diesem Grund ist es empfehlenswert, Prozesse für die Meldung von Datenpannen zu etablieren.

 

Meldepflicht des Verantwortlichen

Die Meldepflicht trifft grundsätzlich den für die Datenverarbeitung Verantwortlichen.

Sofern eine gemeinsame Verantwortlichkeit vorliegt, ist eine vorherige Festlegung der Verantwortung für eine Meldung erforderlich. Regelmäßig wird die Person, in deren Zuständigkeit die Datenschutzverletzungen dieser Art fallen, verantwortlich sein.

Kommt es im Rahmen einer Auftragsverarbeitung zu einer Datenschutzpanne, hat der Beauftragte gemäß Art. 33 Abs. 2 DSGVO unverzüglich Meldung an den Verantwortlichen zu machen, sodass dieser sich an die zuständige Aufsichtsbehörde wenden kann. Der Auftragsverarbeiter muss die Datenpanne hingegen nicht an die zuständige Aufsichtsbehörde melden.

 

Ausnahme der Meldepflicht

Eine Ausnahme der Meldepflicht gegenüber der Aufsichtsbehörde kommt dann in Betracht, wenn die Datenschutzverletzung kein oder nur ein geringes Risiko für die Rechte und Freiheiten einer natürlichen Person darstellt.

Zentraler Anknüpfungspunkt ist demnach eine zuvor vorgenommene Risikoprognose. Der Verantwortliche muss eine Bewertung des Risikos vornehmen, bei der das Verhältnis von Schwere und Eintrittswahrscheinlichkeit der Verletzung sowie der Schadenshöhe berücksichtigt wird. Dabei müssen für das Nichtvorliegen des Risikos keine Beweise vorliegen. Eine schlüssige Prognose ist ausreichend.

 

Inhaltliche Anforderungen an die Meldepflicht

Inhaltliche Mindestanforderungen einer Meldung an die Aufsichtsbehörde regelt Art. 33 Abs. 3 DSGVO.

Danach muss die Meldung eine umfassende Beschreibung der Art der Datenschutzverletzung (z.B. Zugriff unbefugter Dritter) haben. Darin muss soweit es möglich ist, eine Angabe der Kategorien (z.B. Kundendaten) und der ungefähren Zahl der Betroffenen sowie die ungefähre Zahl der betroffenen personenbezogenen Datensätze enthalten sein.

Weiterhin muss aus der Meldung der Name und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle, eine Beschreibung der wahrscheinlichen Konsequenzen der Datenschutzverletzung sowie eine Beschreibung der vom Verantwortlichen ergriffenen oder geplanten Maßnahmen zur Beseitigung der Datenschutzverletzung und gegebenenfalls zur Abmilderung der nachteiligen Auswirkungen hervorgehen.

 

Benachrichtigung Betroffener über eine Datenpanne

Weiterhin enthält die Verordnung eine abgestufte Melde- und Benachrichtigungspflicht.

So müssen Betroffene im Gegensatz zur Aufsichtsbehörde nach Art. 34 Abs. 1 DSGVO immer erst dann benachrichtigt werden, wenn die Datenschutzverletzung voraussichtlich ein hohes Risiko für ihre Rechte und Freiheiten birgt.

Anders als gegenüber der Aufsichtsbehörde muss der Verantwortliche dem Betroffenen kein umfassendes Bild der Datenschutzverletzung geben. Aus der Benachrichtigung muss lediglich die Art der Datenschutzverletzung hervorgehen, etwaige Kontaktdaten des Datenschutzbeauftragten und eine Beschreibung der wahrscheinlichen Folgen sowie der bereits ergriffenen und empfohlenen Maßnahmen.

Trifft der Verantwortliche im Vorfeld geeignete Sicherheitsvorkehrungen, die einen Zugriff Dritter auf die schützenswerten Daten effektiv verhindern (bspw. durch Verschlüsselung), muss der Betroffene entsprechend Art. 34 Abs. 3 DSGVO nicht benachrichtigt werden. Dasselbe gilt für den Fall, dass der Verantwortliche als Reaktion auf die Datenpanne Maßnahmen ergreift, die mit hoher Wahrscheinlichkeit sicherstellen, dass das hohe Risiko für die Daten des Betroffenen nicht mehr besteht.

 

Form der Meldung einer Datenpanne

Auch wenn Art. 33 DSGVO keine Vorgaben hinsichtlich der Form einer Meldung enthält, empfiehlt es sich aus Gründen des Nachweises einen schriftlichen Meldenachweis zu führen.

Denn in diesem Zusammenhang besteht eine allgemeine Dokumentationspflicht des Verantwortlichen aus der DSGVO, die zum einen der aufsichtsbehördlichen Prüfung und zum anderen dem Verantwortlichen als Nachweis dienen soll.

Entsprechende Meldeformulare sind regelmäßig auf den Webseiten der Landesdatenschutzbehörden zu finden.

 

Bußgeld wegen verspäteter Meldung der Datenpanne

Im Fall von Booking.com hat die niederländische Datenschutzbehörde zur Sanktion der zu spät eingegangenen Meldung ein Bußgeld in Höhe von 475.000 Euro verhängt.

Gem. Art. 83 Abs. 4 lit. a) DSGVO kann bei der Verletzung der Pflicht aus Art. 33 DSGVO eine Geldbuße in Höhe von bis zu 10.000.00 Euro oder im Falle eines Unternehmens von bis zu 2 % seines weltweit erzielten Jahresumsatzes gegen den Verantwortlichen verhängt werden.

 

Ausblick

Bußgelder wie im Fall von Booking.com führen deutlich vor Augen, welche Konsequenzen die mangelhafte Umsetzung der DSGVO und der aus ihr resultierenden Pflichten haben kann. Die Aufsichtsbehörden nehmen die DSGVO ernst und prüfen nicht nur, ob Unternehmen ausreichende Maßnahmen zur Prävention von Datenschutzpannen treffen, sondern sanktionieren vielmehr auch den fehlerhaften Umgang mit Datenpannen, insbesondere verspätete Meldung an die zuständige Behörde. Bereiten Sie Ihr Unternehmen jetzt auf den richtigen Umgang mit Datenschutzpannen vor, indem sie interne Richtlinien zum Vorgehen bei Datenschutzverletzungen aufstellen sowie technische Maßnahmen implementieren, um solchen vorzubeugen.

 
 
 

 

 

 

Sehr geehrte Mandantinnen und Mandanten,

sehr geehrte Webseitenbesucher,

 

leider ist uns zur Kenntnis gelangt, dass eine uns bisher noch unbekannte Person falsche Abmahnungen im Namen eines Herrn Lao Saiha versendet, welche den Vorwurf einer Urheberrechtsverletzung zum Inhalt haben das Logo sowie die Anschrift unserer Kanzlei enthalten.

 

Der angebliche Sachbearbeiter dieser falschen Abmahnung ist ein Herr Santiano Maimone Baronello.

 

Im Rahmen dieser falschen Abmahnung wird die Abgabe einer strafbewährten Unterlassungserklärung gefordert sowie die Zahlung eines Betrages i.H.v. insgesamt 1.985,79 €, bestehend aus einer Schadensersatzforderung von 1.200,00 € und Rechtsverfolgungskosten i.H.v. 785,79 €.

 

Die Unterlassungserklärung soll an die Adresse des Herrn Baronello, Kirchgasse 334, 67454 Haßloch versandt werden, die Zahlung auf ein Konto mit der IBAN DE 5310 0110 0126 2773 5262 erfolgen.

 

Weder die Anschrift noch das angegebene Konto stehen in irgend einem Zusammenhang mit unserer Kanzlei oder deren Mitarbeitern.

 

Tatsächlich war und ist kein Herr Santiano Maimone Baronello in unserer Kanzlei beschäftigt. Es besteht auch kein Mandat des Herrn Lao Saiha in unserer Kanzlei. Diese Personen sind uns gänzlich unbekannt.

 

Wir müssen davon ausgehen, dass eine Vielzahl dieser Schreiben an potentielle Betroffene versandt wurden und diese in betrügerischer Absicht und unter Ausnutzung unseres Geschäftszeichens und unseres guten Rufs zur Zahlung der unberchtigten Forderungen veranlasst werden sollen. Wir haben Strafanzeige bei der zuständigen Staatsanwaltschaft Frankenthal erstattet, um die Schädigung weiterer Betroffener schnellstmöglich zu verhindern.

 

Sollten Sie ein derartiges Schreiben erhalten, welches Herr Santiano Maimone Baronello als Absender und als Empfänger der Unterlassungserklärung ausweist, sollten Sie weder eine Unterlassungserklärung abgeben noch die geforderten Beträge zahlen, sondern sich direkt an die nächste Polizeidienststelle oder die zuständige Staatsanwaltschaft wenden.

 

Die offiziellen Schreiben unserer Kanzlei erkennen Sie daran, dass sie neben dem Logo einen umfassenden Briefkopf mit Angaben über die beschäftigten Anwälte sowie Kontakt- und Kontodaten enthalten.

 

Sollten Sie sich nicht sicher sein, ob Sie ein Schreiben unserer Kanzlei erhalten haben oder ob es sich um einen Betrugsversuch handelt, können Sie gerne mit uns Kontakt aufnehmen. Die entsprechenden Angaben finden Sie auf unserer Webseite unter https://kolb-blickhan-partner.de/impressum/.

 
 
 
 

 

Corona-Tests durch den Arbeitgeber: Datenschutzrechtliche und arbeitsrechtliche Perspektive

 

Auch bei der derzeitigen Entwicklung der Corona-Pandemie bleiben Arbeitgeber nach den Ergebnissen des Bund-Länder-Gipfels vom 22.03.2021 von einer Pflicht zum Anbieten von Corona-Tests in ihren Unternehmen verschont. Zuvor wurde darüber diskutiert, ob die Betriebe verpflichtet werden sollten, ihren Beschäftigten, die nach wie vor in Präsenz statt vom Homeoffice aus tätig werden, regelmäßige Testangebote zu machen. Stattdessen wird nun weiter auf die Selbstverpflichtung der Spitzenverbände der Wirtschaft gesetzt: Diese appellieren an die Unternehmen, ihren Beschäftigten Selbsttests und, wenn möglich, PoC-Antigen-Schnelltests anzubieten. Während die Schnelltests von den Mitarbeitern selbst angewendet werden, müssen PoC-Antigen-Schnelltests von medizinisch oder geeignet geschultem Personal durchgeführt werden. Die Kosten der Tests tragen jeweils die Arbeitgeber. Ob die aufgrund der Selbstverpflichtung freiwillig durchgeführten Maßnahmen ausreichen, soll Anfang April überprüft werden und sodann gegebenenfalls die Arbeitsschutzverordnung angepasst werden.

Einzelne Bundesländer sehen in diesem Rahmen schon weitergehende Verpflichtungen vor: In Sachsen sind Arbeitgeber bspw. bereits aufgrund der dort geltenden Corona-Schutz-Verordnung angewiesen, ihren Beschäftigten einmal pro Woche einen kostenfreien Selbsttest anzubieten, unter dem Vorbehalt hinreichender Verfügbarkeit der Tests.

Gleich, ob der Arbeitgeber verpflichtet ist oder freiwillig handelt – in Hinblick auf Corona-Tests am Arbeitsplatz stellt sich zunächst die Frage, ob der Arbeitgeber seinerseits den Arbeitnehmer verpflichten kann, sich testen zu lassen bzw. selbst einen Test durchzuführen. Bei Durchführung der Tests resultieren hieraus weitere datenschutzrechtliche Fragestellungen, die ebenfalls im Folgenden näher beleuchtet werden sollen.

 

Darf der Arbeitgeber verpflichtende Corona-Tests anordnen?

Die grundsätzliche Möglichkeit des Arbeitsgebers, die Durchführung eines Corona-Tests für seine Arbeitnehmer anzuordnen, ergibt sich aus seinem Weisungsrecht nach § 106 GewO. Nach dieser Vorschrift darf der Arbeitgeber die Art der Arbeitsleistung nach „billigem Ermessen“ näher bestimmen, was eine Interessenabwägung voraussetzt. Der Arbeitgeber kann sich als Grundlage für die Weisung hierbei zunächst auf seine Pflicht berufen, während der Corona-Pandemie die erforderlichen Maßnahmen zum Gesundheitsschutz in seinem Betrieb zu treffen, § 618 I BGB, §§ 3, 9 II, III ArbSchG. Auch insoweit müsste eine Verpflichtung der Arbeitnehmer zu einem Selbst- oder Schnell-Test aber verhältnismäßig sein. Voranzustellen ist insofern, dass Selbst- und Schnelltests jedenfalls einen geeigneten Weg darstellen, um eine Corona-Infektion aufzudecken. Anders zu beurteilen kann die Geeignetheit der Maßnahme bspw. bei Temperaturmessungen am Betriebseingang sein, denn es ist nicht nachgewiesen, dass Fieber ein sicherer Indikator für eine Corona-Infektion ist.

Auf Seiten des Arbeitgebers besteht sodann ein allgemeines Interesse am betrieblichen Gesundheitsschutz sowie ein Interesse an der Verhinderung von infektionsbedingten Betriebsschließungen und einem störungsfreien Arbeitsablauf. Auf Seiten der Arbeitnehmer sind das Recht auf körperliche Unversehrtheit sowie sein Persönlichkeitsrecht in die Abwägung einzustellen. Jedoch wird man wohl nur einen leichten Eingriff in die körperliche Unversehrtheit des Arbeitnehmers annehmen können, denn dieser erschöpft sich in einem unangenehmen Gefühl bei Durchführung des Tests ohne weitere Folgen und ist zudem zeitlich stark begrenzt. Vor diesem Hintergrund werden vor allem bei vermehrten Infektionsfällen im Betrieb die vorgenannten Arbeitgeberinteressen überwiegen. Auch ohne auffälliges Infektionsgeschehen im Betrieb kann dies in Hinblick auf die Testung einzelner Arbeitnehmer der Fall sein, wenn diese Krankheitssymptome aufweisen, denn dann haben sie aufgrund Nr. 4.2.11 der SARS-CoV-Arbeitsschutzregel dem Arbeitsplatz fernzubleiben. Im Übrigen kann auch regelmäßig dann von einem Überwiegen der Arbeitgeberinteressen ausgegangen werden, wenn es sich um Arbeitsplätze mit engem Personenkontakt handelt, etwa bei pflegerischen oder anderen körpernahen Dienstleistungen. Zur Anordnung völlig verdachtsunabhängiger, anlassloser Tests ist der Arbeitgeber hingegen nicht berechtigt.

Ein weiterer Gesichtspunkt, der in diesem Kontext insbesondere mit einer zunehmenden Impfquote auch in jüngeren Gesellschaftsgruppen relevant werden kann, ist, dass der Impfschutz dem Verlangen des Arbeitgebers nach einem Schnelltest nicht entgegengehalten werden kann, da noch keine fundierten Erkenntnisse darüber bestehen, inwieweit geimpfte Personen weiter infektiös bleiben.

Hat der Arbeitgeber nach den vorstehend dargestellten Grundsätzen rechtmäßig einen Corona-Test angeordnet, so bietet ein Arbeitnehmer, der den Test verweigert und somit auch kein negatives Testergebnis vorweisen kann, seine Arbeitsleistung nicht ordnungsgemäß an. Der Arbeitgeber muss dieses Arbeitsangebot folglich nicht annehmen und kann dem Arbeitnehmer stattdessen auch den Zutritt zum Betrieb verwehren. Der Arbeitgeber gerät hierdurch nicht in Annahmeverzug i.S.v. § 615 S. 1 BGB, sondern es entfällt vielmehr der Vergütungsanspruch des Arbeitnehmers.

 

Beschäftigtendatenschutz bei Durchführung von Corona-Tests durch den Arbeitgeber

Rechtsgrundlagen der Datenverarbeitung

 

Werden in einem Unternehmen nun arbeitgeberseitig angeordnete Corona-Tests durchgeführt, so müssen hierbei die datenschutzrechtlichen Anforderungen eingehalten werden.

Generell erfolgt die Verarbeitung von Beschäftigtendaten auf Grundlage der § 26 I BDSG sowie Art. 6 I f) DS-GVO. Da es sich bei den im Zusammenhang mit dem Test erhobenen Daten – insbesondere den Testergebnissen – jedoch um Gesundheitsdaten handelt, ist Art. 9 I DS-GVO heranzuziehen. Gesundheitsdaten stellen eine besondere Kategorie personenbezogener Daten dar, die vom Gesetzgeber als besonders schützenswert erachtet wird. Aus diesem Grund ist die Verarbeitung dieser Daten grundsätzlich untersagt. Ausnahmsweise ist die Verarbeitung in den engen Grenzen des Art. 9 II DS-GVO möglich.

Im Rahmen von Beschäftigungsverhältnissen kommt als Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten Art. 9 II b) DS-GVO i.V.m. § 26 III BDSG in Betracht: Die Verarbeitung von Gesundheitsdaten ist hiernach zulässig, wenn sie zur Erfüllung rechtlicher Pflichten des Arbeitsgebers aus dem Arbeitsrecht erforderlich ist und kein Grund zur Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Die „rechtliche Pflicht des Arbeitgebers“ aus dem Arbeitsrecht stellt hier die Fürsorgepflicht des Arbeitgebers gegenüber seinen Arbeitnehmern aus § 618 I BGB dar. Daneben greift die Verpflichtung des Arbeitgebers nach §§ 3, 9 II, III ArbSchG, Gesundheitsrisiken am Arbeitsplatz so weit wie möglich auszuschließen. Diese Pflichten wurden bereits in Hinblick auf die Frage, ob der Arbeitgeber Corona-Tests überhaupt anordnen darf, bedeutsam, und spielen nun auch hier als Teil des Rechtsgrunds der Datenverarbeitung eine Rolle.

Neben § 26 III BDSG ist auch nach §§ 24 II, 22 I Nr. 1 b) BDSG die Verarbeitung der vorgenannten Daten zum Zweck der Gesundheitsvorsorge und für die Beurteilung der Arbeitsfähigkeit von Beschäftigten zulässig. Dies gilt jedoch nur, wenn die Daten durch ärztliches Personal oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen, verarbeitet werden. Bei einem von einem Betriebsarzt durchgeführten Corona-Test wäre diese Voraussetzung erfüllt.

Die Verarbeitung personenbezogener Daten im Zusammenhang mit Corona-Tests kann des Weiteren auf der Rechtsgrundlage des Art. 9 II i) DS-GVO i.V.m. § 22 I Nr. 1 c) BDSG erfolgen, der die Verarbeitung besonderer Kategorien personenbezogener Daten aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren erlaubt. Hiervon wird auch der Schutz vor sich weltweit verbreitenden Pandemien umfasst, denn durch diese wird der Bereich der öffentlichen Gesundheit zweifelsohne betroffen.

Auch im Rahmen besonderer personenbezogener Daten kann die Datenverarbeitung grundsätzlich aufgrund einer Einwilligung der betroffenen Person rechtmäßig sein, die hier jedoch – anders als im Rahmen von Art. 6 I S. 1 a) DS-GVO – nicht konkludent abgegeben werden kann. Ausschließlich auf eine Einwilligung sollte die Verarbeitung von Daten bei der Durchführung von Corona-Tests jedoch besser nicht gestützt werden. Denn zu beachten ist stets, dass eine solche Einwilligung frei und informiert zu erfolgen hat. Insbesondere die Freiwilligkeit einer Einwilligung des Arbeitnehmers könnte aber aufgrund des bestehenden Abhängigkeitsverhältnisses zum Arbeitgeber zweifelhaft sein. Beim Verweigern der Einwilligung müsste der Arbeitnehmer hier befürchten, dass er den Zugang zu seinem Arbeitsplatz verwehrt bekommt und infolgedessen finanzielle Nachteile erleidet.

An möglichen Rechtsgrundlagen für die Datenverarbeitung anlässlich der Durchführung von Corona-Tests fehlt es also grundsätzlich nicht.

 

Weiterer Umgang mit den Daten

 

Führt ein Betriebsarzt oder ein anderer Angehöriger einer Gruppe der Heilberufe einen PoC-Antigen-Schnelltest durch, so hat er ein positives Testergebnis nach § 8 I i.V.m. § 9 IfSG an das jeweils zuständige Gesundheitsamt zu melden. Auch wenn grundsätzlich eine Schweigepflicht des Betriebsarztes besteht, tritt aufgrund der Gefährdungslage für die Gesundheit der anderen Arbeitnehmer und Kunden durch einen mit Corona infizierten Arbeitnehmer dessen Recht auf Vertraulichkeit der Informationen zurück. Ein Betriebsarzt ist daher berechtigt, (neben dem Gesundheitsamt) auch dem Arbeitgeber ein positives Testergebnis mitzuteilen.

Bei einem Selbsttest bestehen hingegen keine Meldepflichten gegenüber dem Gesundheitsamt. Der Arbeitnehmer, der den Test selbst vornimmt, ist jedoch aufgrund seiner nebenvertraglichen Rücksichtnahmepflichten und der Treuepflicht aus § 242 BGB verpflichtet, dem Arbeitgeber ein positives Testergebnis zu melden.

Den Arbeitgeber trifft indes keine Meldepflicht gegenüber dem Gesundheitsamt; im Umkehrschluss ist eine unaufgeforderte Weitergabe der erhobenen Daten an dieses nicht vorzunehmen.

Anders stellt sich die Situation lediglich dar, wenn das Gesundheitsamt eine Offenlegung nach § 16 I, II S. 3 IfSG anordnet.

Die betroffenen Beschäftigten sind spätestens zum Zeitpunkt der Datenerhebung über die Verarbeitung ihrer Daten zu informieren, Art. 13 DS-GVO. Die Information muss sich hierbei unter anderem auf die Rechtsgrundlagen der Verarbeitung, die Verarbeitungszwecke, die Speicherdauer, die für die Datenverarbeitung Verantwortlichen sowie etwaige Empfänger bei Weitergabe der Daten beziehen.

Darüber hinaus muss der Arbeitgeber sorgsam überlegen, wie er betriebsintern mit den gewonnenen Informationen über den positiv getesteten Arbeitnehmer umgeht – er darf diese sensiblen Daten bspw. nicht ohne weiteres an die Belegschaft weitergeben, denn dies würde nach der Erhebung der Gesundheitsdaten eine weitere Datenverarbeitung darstellen, die nicht mehr durch die vorgenannten Rechtsgrundlagen gedeckt ist. Im Einzelfall kann sich eine andere Beurteilung ergeben, wenn der positiv getestete Arbeitnehmer die Tage zuvor am Arbeitsplatz zugegen und war und dort gegebenenfalls andere Personen angesteckt haben könnte. Eine Informationspflicht des Arbeitgebers ergibt sich dann aus seiner bereits angesprochenen Fürsorgepflicht gegenüber den Beschäftigten. Um die in Betracht kommenden Personen zu warnen, kann eine Offenlegung des positiven Testergebnisses und unter Umständen – zu Identifizierungszwecken, jedoch nur, wenn dies ausnahmsweise erforderlich ist, um entsprechende Vorsorgemaßnahmen ergreifen zu können – auch des Namens des betreffenden Arbeitnehmers ihnen gegenüber notwendig sein. Der Schutz der Kontaktpersonen kann insoweit das Geheimhaltungsinteresse des betreffenden Arbeitnehmers überwiegen.

Zuletzt ist einem testenden Arbeitgeber dringend zu empfehlen, den allgemein bei der Datenverarbeitung zu beachtenden Grundprinzipen Rechnung zu tragen; besonders hervorgehoben seien hier der Zweckbindungsgrundsatz aus Art. 5 I b) DS-GVO, der Grundsatz der Datensparsamkeit bzw. Datenminimierung aus Art. 5 I c) DS-GVO sowie der Grundsatz der Speicherbegrenzung aus Art. 5 I e) DS-GVO. Daraus ergibt sich, dass grundsätzlich nur so viele Daten wie nötig erhoben werden dürfen und diese auch nur so lange gespeichert werden sollten, wie sie zur Zweckerreichung erforderlich sind. Dies dürfte in Hinblick auf die Testergebnisse selbst bereits unmittelbar nach Weiterleitung durch das testende Personal an die zuständigen Stellen der Fall sein.

 

 
 
 

 

 

 

Kommt es zu Verstößen gegen die Vorgaben der Datenschutzgrundverordnung, sind die Datenschutzbehörden und damit auch die Sanktionen durch Bußgelder nicht weit. In diesem Zusammenhang wird oftmals vernachlässigt, dass DSGVO-Verstöße auch Ansprüche Betroffener, gerichtet auf immateriellen Schadensersatz aus Art. 82 DSGVO nach sich ziehen können. Tatsächlich machen immer mehr Betroffene ihre Rechte geltend, sodass die deutschen Gerichte sich zunehmend mit immateriellen Schadenersatzansprüchen aus der DSGVO befassen müssen.

Auch das AG Pforzheim musste sich im vergangenen Jahr mit einer solchen Klage auf Schadenersatz auseinandersetzten.  In seinem Urteil vom 25.3.2020 (Az. 13 C 160/19) sprach das Gericht dem Betroffenen einen immateriellen Schadensersatzanspruch in Höhe von 4.000 € nach Art. 82 Abs. 1 DSGVO, wegen unrechtmäßiger Weitergabe sensibler Daten zu. Das AG stellte insbesondere fest, dass eine Datenübermittlung an Prozessbevollmächtigte zur Einbringung in gerichtliche Verfahren nicht ohne Weiteres erfolgen darf.

 

1. Hintergrund

Im streitgegenständlichen Verfahren verklagte der Betroffene einen Psychotherapeuten auf immateriellen Schadensersatz in Höhe von 5.000 €.

Die Frau des Klägers berichtete im Rahmen ihrer Behandlung beim Beklagten über Eheprobleme mit dem Kläger. Unter anderem erzählte sie von dessen Drogen- und Alkoholkonsum sowie von ungewöhnlichen Verhaltensauffälligkeiten. Infolgedessen bat der Beklagte den Betroffenen, sich in der Praxis vorzustellen. Der Betroffene kam der bitte nach, sodass ein Gespräch zwischen den beiden Parteien stattfand.

Sämtliche Informationen die der Beklagte von der Ehefrau sowie vom Kläger selbst im Rahmen des Gesprächs zu dessen Person erhielt sowie die daraus gestellte Diagnose wurden im Praxissystem dokumentiert. Nachdem es zur Trennung des Ehepaares gekommen war, wandte sich der Prozessbevollmächtigte der Ehefrau im Rahmen eines Umgangsverfahrens bezüglich der gemeinsamen Kinder an den Beklagten.

In diesem Zusammenhang übermittelte der Beklagte ein Schreiben an den Bevollmächtigten der Frau, das eine ausführliche Anamnese des Betroffenen samt Diagnose einer narzisstischen Persönlichkeitsstörung enthielt.

Diese Stellungnahme wurde in das Umgangsverfahren eingeführt, wodurch sämtliche am Prozess Beteiligte vom Inhalt des Schreibens Kenntnis erlangten.  Infolgedessen, erhob der Betroffene Klage gegen den Therapeuten auf immateriellen Schadensersatz in Höhe von 5.000 € auf Grund unbefugter Übermittlung von Gesundheitsdaten an Dritte.

 

2. Verstoß gegen die DSGVO

Gesundheitsdaten sind besonders sensible Daten, deren Verarbeitung grundsätzlich nach Art. 9 Abs. 1 DSGVO untersagt ist, es sei denn, es liegt einer der gesetzlichen Ausnahmetatbestände des Art. 9 Abs. 2 DSGVO vor. Dies ist dann der Fall, wenn der Betroffene beispielsweise in die Verarbeitung einwilligt oder diese – zum Beispiel im Rahmen eines medizinischen Behandlungsvertrages – für die Behandlung des Betroffenen als Patienten erforderlich ist.

Im vorliegenden Fall hatte der Betroffene weder eine Einwilligung zur Datenübermittlung an Dritte erteilt, noch lag einer der anderen Erlaubnistatbestände vor.

Die Datenübermittlung an den Prozessbevollmächtigten der Ehefrau diente allein der Einführung in das familienrechtliche Umgangsverfahren.

Obgleich die Beweggründe des Beklagten, aufgrund der psychischen Probleme des Ehemannes seiner Patientin auf den ersten Blick menschlich nachvollziehbar erscheinen, ist dennoch zu berücksichtigen, dass der Betroffene sich nicht in Behandlung des Psychotherapeuten befand und der Prozessbevollmächtigte der Ehefrau einen im Sinne der DSGVO außenstehenden Dritten darstellt.

Eine Datenübermittlung darf jedoch auch an Prozessbevollmächtigte nicht ohne Weiteres erfolgen. Das gilt umso mehr, wenn die Daten in einer den Betroffenen belastenden Weise in einen Prozess eingeführt werden sollen und dies zusätzlich die Offenlegung der Daten gegenüber weiteren Personen zur Folge hat

 

3. Berechnung der Höhe des Schadensersatzes

Grundsätzlich stellt nicht bereits der jeweilige Verstoß als solcher einen immateriellen Schaden dar. Vielmehr muss vom Betroffenen ein konkret eingetretener Nachteil als Folge des Datenschutzverstoßes vorgetragen werden. Maßgeblich für die Berechnung der Höhe des Schadensersatzanspruchs war im vorliegenden Fall, dass es sich bei den betroffenen Daten um Gesundheitsdaten handelt. Diese sind gem. Art. 9 Abs. 1 DSGVO besonders sensible Daten.

Da die Anmerkungen des Beklagten zur Person des Betroffenen Rückschlüsse auf die Psyche des Betroffenen zulassen und daher geeignet seien das Bild des Betroffenen gegenüber Dritten in negativer Hinsicht zu beeinträchtigen und dessen Selbstbild zu schädigen, ist dem Betroffenen durch die Offenlegung bereits ein konkreter Schaden eingetreten. Darin liege ein erheblicher Eingriff in die höchstpersönliche Sphäre des Betroffenen vor.

Obgleich die Daten nur einem abgrenzbaren Publikum – den Verfahrensbeteiligten und dem unmittelbaren Umfeld des Betroffenen – offengelegt wurden, vermag dies an der Entscheidung des Gerichts nichts zu ändern.

Demgegenüber dürfe nicht vernachlässigt werden, dass die offengelegten Informationen gerade im Rahmen eines familienrechtlichen Umgangsverfahrens als besonders sensibel einzustufen sind, da sie in erheblichem Maße geeignet sind, Einfluss auf die Entscheidung des Gerichts und die Entscheidung der Ehefrau über die Einräumung eines Umgangsrechts des Betroffenen mit den gemeinsamen Kindern zu nehmen.

Unter Abwägung dieser Gesichtspunkte bezifferte das Gericht in diesem Fall den Schadensersatzanspruch des Betroffenen auf 4.000 €. Da die Datenweitergabe in die höchstpersönliche Sphäre des Betroffenen eingriff und der Rechtsverletzung durch die Einführung im Umgangsprozess eine gewisse Außenwirkung zukommt, kann von einer bloßen Bagatelle nicht mehr die Rede sein. Die Höhe sei sowohl ausreichend als auch erforderlich, um die von der DSGVO geforderte Abschreckungswirkung zu erzielen und zugleich die Genugtuungsfunktion, die der Entschädigung des Betroffenen dient, zu gewährleisten.

 

4. Ausblick

Die bisher ergangenen Entscheidungen zeigen, dass deutsche Gerichte Art. 82 Abs. 1 DSGVO beim Zuspruch immateriellen Schadensersatzes tendenziell restriktiv Anwenden und sich an den bisher bewährten Grundsätzen des Schadensrechts orientieren. Zwar sieht Art. 82 Abs. 1 DSGVO eine Entschädigung des Betroffenen für immaterielle Schäden vor. Eine Verletzung der DSGVO – Vorschriften begründet allerdings nicht automatisch einen Anspruch auf Schadensersatz.

Insoweit muss der Betroffene einen konkreten, in seiner Person unmittelbar aufgetretenen Schaden darlegen. Ein solcher Nachteil ist stets anzunehmen, wenn dem Betroffenen aus der Datenschutzverletzung spürbare Nachteile entstehen und diese objektiv nachvollziehbar persönliche Belange des Betroffenen in erheblichem Maß beeinträchtigen und diese Beeinträchtigung nicht in anderer Weise befriedigend aufgefangen werden kann.

Davon abzugrenzen sind bloße Bagatellverstöße, die lediglich eine individuell empfundene Unannehmlichkeit des Anspruchsstellers darstellen. Sofern dem Betroffenen allerdings die Darlegung einer konkreten Beeinträchtigung gelingt, sind Beträge in Höhe mehrerer tausend Euro durchaus denkbar, wie das Urteil des AG Pforzheim erneut zeigt. Ob es bei einer restriktiven Anwendung des Art. 82 Abs. 1 DSGVO verbleibt, bleibt abzuwarten. Was dieser Fall allerdings wieder einmal bestätigt ist, dass Datenschutz heutzutage nicht nur elementarer Bestandteil der Compliance eines Großunternehmens darstellt, sondern auch vom selbstständigen Kleinunternehmer und Freiberufler ernst genommen werden sollte.

Call Now ButtonKontakt aufnehmen