Mehr Infos

Tracking und Datenschutz – Kein unauflösbarer Widerspruch

 
 
 

 

 

 

Um einen langfristigen Unternehmenserfolg zu erzielen und Kunden an das Unternehmen zu binden, ist es wichtig, die Interessen des bestehenden Kundenstamms, aber auch potenzieller Kunden und ihr Nutzerverhalten zu kennen. Hierzu greifen Betreiber von Webseiten oder Apps auf sogenanntes Web-Tracking zurück. Heutzutage gibt es kaum mehr einen Anbieter von Webdiensten, der keine Tracking- und Analyse-Tools zum Zwecke der Erfassung und Auswertung des Nutzungsverhaltens auf seiner Website oder in seiner App einsetzt. Denn Online-Tracking bietet den Betreibern vielfältige Möglichkeiten, um die eigene Website sowie das Angebot von Ware oder Dienstleistung gewinnbringender anzubieten und zu vermarkten. Das Web-Tracking ist unerlässliches Instrument der Erfolgskontrolle und der Prozessoptimierung im digitalen Bereich. Heutzutage gibt es zahlreiche Möglichkeiten, Nutzer zu tracken. Da dies für die Nutzer wiederum aber häufig nicht bzw. nur sehr schwer nachvollziehbar ist und ihre Daten in großem Umfang verarbeitet werden, besteht ein scheinbar unüberwindbarer Widerspruch zwischen Tracking und Datenschutz. Unternehmen haben ein nachvollziehbares Interesse daran das Nutzerverhalten zu tracken, gleichzeitig müssen dabei aber natürlich die Grenzen des Datenschutzes beachtet werden.

 

Das Wichtigste in Kürze

  • Unter Tracking versteht man die Beobachtung, Nachverfolgung und die Auswertung des Verhaltens von Website- oder App-Nutzern.
  • Web-Tracking-Methoden sind für Unternehmen wichtig, um effektiv und gewinnbringend werben zu können.
  • Grundlage des Web-Trackings ist die Verarbeitung personenbezogenen Daten der Internetnutzer.
  • In der Regel ist dafür eine datenschutzkonforme Nutzereinwilligung erforderlich.

 

Was versteht man unter Tracking?

Unter Tracking versteht man die Beobachtung, Nachverfolgung und die Auswertung des Verhaltens von Website- oder App-Nutzern. Dabei können Analysedaten mithilfe verschiedenster Tracking-Tools sowohl live als auch im Anschluss in aufgezeichneter Form angesehen und ausgewertet werden. Sie treten in unterschiedlichsten Formen auf und enthalten Informationen über das Online-Verhalten von Website- oder App-Nutzern, wie beispielsweise den Standort, die Anzahl der Website- oder App-Aufrufe sowie die Dauer des Besuchs.

 

Welche Tracking-Methoden gibt es im Marketing-Bereich?

Im Bereich des Marketings existieren vielfältige Tracking-Methoden. Dabei ist der Einsatz einer bestimmten Tracking-Methode vom jeweiligen Analyseziel abhängig. Dieses kann beispielsweise in der Verbesserung der Benutzerfreundlichkeit der Internetseite oder der Erzielung einer Umsatzsteigerung bestehen.

 

Mention Tracking.

Mithilfe dem Mention-Tracking kann die Erwähnung einer Marke oder eines Unternehmens im Internet analysiert werden. Dies dient insbesondere dazu, den Erfolg von Marketing Kampagnen zu messen. Spezielle Tools durchsuchen dabei das Internet nach bestimmten Begriffen. Ziel dieser Tracking-Methode ist es, über einen bestimmten Zeitraum konkrete Ergebnisse für eine Werbemaßnahme zu erhalten.

 

Event Tracking.

Durch das Event Tracking werden bestimmte Interaktionen auf einer Website oder einer App analysiert. Darunter fallen beispielsweise Downloadzahlen oder Klicks. Event Tracking dient dazu, dass sich dadurch ein Gesamtbild über das Nutzerverhalten gemacht werden kann.

 

Eye- oder Mouse-Tracking.

Darunter versteht man die Aufzeichnung der Interaktion eines Webseitenbesuchers. Mithilfe des Eye- bzw. Mouse-Tracking können Bewegungen, Klicks und Scrolling auf einer Webseite aufgezeichnet werden. Aus den aufgezeichneten Informationen kann dann abgeleitet werden, welche Bereiche der Webseite besonders aufmerksam betrachtet werden. Diese Methode wird vor allem dann eingesetzt, wenn die Nutzerfreundlichkeit einer Webseite untersucht werden soll.

 

E-Mail-Tracking.

Beim E-Mail-Tracking werden Informationen über den E-Mail-Empfänger gesammelt, indem beim Newsletter-Versand kleine Grafiken im HTML-Format integriert werden. Beim Öffnen der E-Mail wird die Grafik, die in der Regel die Größe eines Pixels hat, vom Server geladen und so das Abrufen der E-Mail-Nachricht dokumentiert.

 

Geo-Targeting.

Mithilfe vom Geo-Targeting können bestimmte Zielgruppen in einer Region angesprochen werden. Personenbezogene Daten wie die IP-Adresse oder GPS-Daten werden dann genutzt, um die jeweiligen Nutzer einer Region zuzuordnen und zu lokalisieren. Anwendung finden solche Tools in der Marktforschung oder auch bei Online-Shops, um die Nachfrage regional einzugrenzen und zu analysieren.

 

WLAN-Tracking.

Beim WLAN-Tracking können wichtige Informationen für das Marketing gewonnen werden.

Wenn sich eine Person in einem Geschäft aufhält und das WLAN des Handys aktiv ist, versucht das Handy ständig eine WLAN-Verbindung zu finden, um sich dann damit zu verbinden. Dies wird dann beim WLAN-Tracking registriert und ausgewertet. So kann man zum Beispiel Informationen darüber erhalten, wie viele Kunden sich im Geschäft aufhalten und wie ihre Bewegungen sind.

 

Welche Web-Tracking-Methoden gib es?

Web-Tracking ist für Unternehmen die wichtigste Methode, um das Nutzerverhalten zu verfolgen, um anhand der gewonnenen Erkenntnisse anschließend interessen- und zielgruppenspezifische Werbung schalten zu können. So können Marketing-Ziele schneller erreicht und der Geschäftserfolg nachhaltig gesichert werden. Die bekannteste aller Web-Tracking-Methoden ist das Cookie-Tracking. Jedoch gehen die aktuellen Möglichkeiten auf dem Gebiet des Web-Tracking weit über Cookies hinaus:

 

CNAME Cloaking.

Durch sog. CNAME Cloaking können Tracking- und Werbetreibende Werbe-Blocker (AdBlocker) umgehen, indem sie ihre Domains „tarnen“, um nicht in den sog. Host-Listen der Werbeblocker gelistet zu werden, sodass sie Nutzern trotz AdBlocker Werbung anzeigen können.

 

Cross Device-Tracking.

Cross Device Tracking ermöglicht Unternehmen eine geräteübergreifende Verfolgung ihrer Kunden. Ziel ist es, den Nutzer zu identifizieren, unabhängig davon, welches Gerät er für den Zugriff auf die jeweiligen Webdienste verwendet, um ihm anschließend seinen Interessen entsprechende Werbung anzeigen zu können.

 

Fingerprinting.

Das Fingerprinting erstellt anhand von auf den Endgeräten gespeicherten Informationen einen digitalen Fingerabdruck, sodass Nutzer wiedererkannt werden können. Auch mit diesem Tool wird bezweckt, dem Nutzer zielgerichtete Werbung anzuzeigen.

 

Common-IDs

Bei dieser Tracking-Methode muss der Nutzer einen Nutzeraccount anlegen, um auf bestimmte Webdienste zugreifen zu können. Dabei erhält jeder Nutzer eine eigene Identifizierungsnummer, um bei einem späteren Website-Besuch identifiziert und verfolgt werden zu können. Große Anbieter wie beispielsweise Google eröffnen anderen Website-Betreibern die Möglichkeit, dass sich Nutzer mit ihrem bereits vorhandenen Google-Account auf deren Website einloggen können.

 

App-Tracking.

Im Rahmen der Nutzung einer App kann das sogenannte App-Tracking eingesetzt werden, um sowohl das Nutzerverhalten von der Installation bis hin zu einer Löschung der App als auch die App-Performance zu messen.

 

Welche datenschutzrechtlichen Probleme ergeben sich beim Tracking?

Grundlage des Web-Trackings ist die Verarbeitung personenbezogener Daten von Internetnutzern, sodass Web-Tracking in einem engen – wenn gleich auch einem problematischen – Verhältnis zum Datenschutz steht. Insbesondere fordert die DSGVO hierfür eine Rechtsgrundlage. Als Rechtsgrundlage für die Verarbeitung personenbezogener Daten kommt vor allem die Einwilligung in Betracht.

 

Keine wirksame Nutzereinwilligung.

Der Nutzereinwilligung kommt im Rahmen des Tracking eine wichtige Rolle zu, da ihr Verhalten in der Regel in erheblichem Umfang aufgezeichnet werden soll. Dafür verlangt die DSGVO grundsätzlich eine freiwillige und informierte Einwilligung der betroffenen Nutzer. Wird keine Einwilligung erteilt, wirkt sich dies nachteilig auf den analysierbaren Datenbestand aus. Aus diesem Grund versuchen viele Werbetreibende, Nutzer durch unzureichende Erfüllung der Informationspflichten zur Einwilligung zu bewegen. Doch selbst wenn eine entsprechende Nutzereinwilligung erteilt wird, besteht dennoch die Gefahr, dass die Nutzer diese durch Ausübung ihres Widerrufsrechts zurücknehmen. Zur Vermeidung dieser Situation werden Nutzer oftmals gar nicht erst über ihr Widerrufsrecht informiert oder die Ausübung dieses Rechts in unzulässigerweise erschwert.

 

Unzureichende Anonymisierung.

Um den strengen Anforderungen der DSGVO auszuweichen, haben Website-Betreiber grundsätzlich die Möglichkeit, anonymisierte Nutzerprofile zu erstellen. Für die Erstellung eines anonymisierten Nutzerprofils dürfen nur solche Daten verwendet werden, die weder personenbezogen noch personenbeziehbar sind. Darunter fallen unter anderem Datum und Uhrzeit des Website-Besuchs oder die jeweils aufgerufene Datei. Dasselbe gilt für die IP-Adresse, die grundsätzlich ein personenbezogenes Datum darstellt, durch Kürzung und Abänderung jedoch anonymisiert werden kann. . Inwiefern der Personenbezug durch Verwendung einer ID aufgehoben werden kann ist umstritten. Dies ist insbesondere deswegen zweifelhaft, weil je nach Umfang der gesammelten Daten zum Verhalten einer Person eine Wahrscheinlichkeit dafür besteht, dass die hinter der ID stehende natürliche Person ohne verhältnismäßig großen Aufwand wieder identifiziert werden kann.

 

Berechtigtes Interesse des Werbetreibenden

Letztlich hat die DSK in ihrer „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ (Stand: März 2019) die Möglichkeit, Web-Tracking auf ein berechtigtes Interesse des Website-Betreibers gem. Art. 6 Abs. 1 lit. f) DSGVO zu stützen, nicht von vornherein ausgeschlossen. Mit dem Inkrafttreten des Telekommunikation-Telemedien-Datenschutzgesetztes am 01.12.2021 hat der Gesetzgeber jedoch klargestellt, dass Tracking-Maßnahmen, die mit der Speicherung von Daten oder dem Zugriff auf die Endeinrichtung des Endnutzers einhergehen nur auf Basis einer freiwilligen, informierten und ausdrücklichen Einwilligung des Nutzers durchgeführt werden dürfen.

 

Ausblick

Web-Tracking ist insbesondere im Marketing-Bereich nicht mehr wegzudenken, da die Beobachtung des Nutzerverhaltens eine wichtige Basis dafür bildet, Angebot und Nutzerfreundlichkeit von Diensten verbessern zu können. Wie einige aktuelle Bußgeldverfahren deutlich machen, gibt es im Hinblick auf den Einsatz von Tracking-Tools noch einige rechtlich nicht abschließend geklärte Problemfelder. Doch trotz der großen Bedeutung, die dem Schutz personenbezogener Daten und der Datensicherheit zukommt, muss nicht zwangsweise auf Tracking verzichtet werden. Dabei ist allerdings darauf zu achten, dass die Verarbeitung von Daten mit Personenbezug so gering wie möglich zu halten und vor allem im Vorfeld eine DSGVO-konforme Einwilligung der Nutzer einzuholen ist.

 

 
 
 

 

 

 

In den letzten Jahren traten Videokonferenzdienste immer mehr in den Fokus der Datenschutzbehörden. In Zeiten der Digitalisierung sind diese Tools nicht mehr aus dem beruflichen Alltag wegzudenken. Dabei war insbesondere auch die Corona-Pandemie in den letzten Jahren treibender Faktor für die Nachfrage nach Videokonferenzdiensten. Im Hinblick auf die Verarbeitung personenbezogener Daten warfen diese Dienste jedoch immer wieder datenschutzrechtliche Fragen und Unsicherheiten auf. In ihrem 27. Tätigkeitsbericht vom 29.06.2022 für das Jahr 2021 hat die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Bettina Gayk, hervorgehoben, dass Videokonferenzsysteme durch das Inkrafttreten der Änderungen des Telekommunikationsgesetztes (TKG) nun nicht mehr als Telemediendienste, sondern als Telekommunikationsdienste einzuordnen sind. Dieser Umstand führt unter anderem dazu, dass ein Abschluss von Auftragsverarbeitungsverträgen zwischen den Verwendern und Anbietern solcher Dienste nicht mehr erforderlich ist. Das hat nicht nur Auswirkungen auf die Verantwortlichkeit nach Art. 4 Nr. 7 DSGVO, sondern vielmehr auch auf die aufsichtsbehördliche Zuständigkeit.

 

Das Wichtigste in Kürze

  • Der Begriff des Telekommunikationsdienstes wird im TKG nun deutlich weiter gefasst, sodass Videokonferenzsysteme nicht mehr als Telemediendienst, sondern als Telekommunikationsdienst gelten.
  • Nach Einordnung der LDI sind die öffentliche Stellen und Unternehmen, die Videokonferenzsysteme von Drittanbietern nutzen, nicht mehr „Verantwortliche“ im Sinne von Art. 4 Nr. 7 DSGVO.
  • Zwischen dem Videokonferenzdienstanbieter und dem Anwender bestehet daher kein Auftragsverarbeitungsverhältnis mehr.
  • Das Erfordernis eines Auftragsverarbeitungsvertrag im Sinne von Art. 28 Abs. 3 DSGVO zwischen den Parteien entfällt insoweit.
  • Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit ist dann anstatt der jeweiligen Landesdatenschutzbehörde zuständige Stelle.

 

Inkrafttreten des TTDSG und Änderungen des TKG

Das TTDSG ist zur Umsetzung der E-Privacy-Richtlinie erlassen worden und am 01.12.2021 in Kraft getreten. In diesem Gesetz wurden die datenschutzrechtlichen Vorschriften des Telemediengesetzes (TMG) und des Telekommunikationsgesetzes (TKG) zusammengeführt. Ziel des Gesetzes ist es, die im TKG und TMG enthaltenen spezialgesetzlichen Regelungen zum Datenschutz in ein für sich eigenständiges Gesetz, welches mit den europäischen Vorgaben in Einklang steht, zu überführen.

Gleichzeitig wurden aber auch, wenig beachtet, Änderungen im TKG vorgenommen und der Anwendungsbereich des Telekommunikationsrechts deutlich ausgeweitet. In den Anwendungsbereich fallen nun nicht mehr nur Telekommunikationsdienste, die nummerngebunden sind (klassische Telelefonie), sondern auch nummernunabhängige Dienste (sog. OTT-Dienste/interpersonelle Kommunikation). Telekommunikationsdienste sind demnach Dienste, wie sie etwa die Betreiber von Messengern, Videokonferenzen und webbasierte E-Mail-Diensten anbieten. Im Gegensatz dazu sind Anbieter von Telemedien solche, die Inhalte im Internet bereitstellen..

 

Bisherige datenschutzrechtliche Lage

Datenschützer beschäftigten sich bereits in den letzten Jahren sehr intensiv mit den datenschutzrechtlichen Fragestellungen hinsichtlich der Verwendung von Videokonferenzdiensten. Insbesondere in Zeiten von Corona haben Videokonferenzdienste eine zentrale Bedeutung für die Kommunikation untereinander erlangt. Unternehmen oder andere Stellen mussten schnell auf diese Situation reagieren und hatten oft keine eigenen Konferenzplattformen zur Verfügung. Daher wurde häufig auf Dienste Dritter zurückgegriffen, wie beispielsweise Zoom oder Microsoft Teams. In einem solchen Fall lag nach Auffassung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) dann zwischen dem Unternehmen/ einer öffentlichen Stelle (Nutzer) und dem Videokonferenzdienst als Anbieter (z.B. Zoom) ein Auftragsverarbeitungsverhältnis im Sinne von Art. 28 DSGVO vor. Dabei trat das Unternehmen oder die öffentliche Stelle als „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO auf und der Videokonferenzdienst als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO.

Grundlage des Auftragsverarbeitungsverhältnisses ist ein Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter im Sinne von Art. 28 Abs. 3 DSGVO, der den Auftragsverarbeiter in Bezug auf die Weisungen des Verantwortlichen bindet. Inhaltlich soll dieser den Gegenstand und die Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen beinhalten. Die DSK wies auch darauf hin, dass bei der Auswahl des Auftragsverarbeiters durch den Verantwortlichen darauf zu achten sei, dass dieser hinreichende Garantien zu den erforderlichen technischen und organisatorischen Maßnahmen bietet.

Auch im Hinblick auf die Haftung bei Datenschutzverstößen gibt es in einem Auftragsverarbeitungsverhältnis einige Besonderheiten. Denn Art. 82 DSGVO normiert eine gemeinsame Haftung des Auftragsverarbeiters und des Verantwortlichen gegenüber dem Betroffenen für materielle und auch immaterielle Schäden.

 

Datenschutzrechtliche Auswirkungen der Änderungen

Der Einschätzung der Landesbeauftragten für Datenschutz und Informationsfreiheit und der Definition „interpersoneller Telekommunikationsdienste“ in § 3 Nr. 24 TKG zufolge, stellen Videokonferenzdienste nun keine Telemediendienste mehr dar, sondern werden als Telekommunikationsdienste eingeordnet. Denn der Begriff der Telekommunikationsdienste ist im TKG nun weiter gefasst. Dies zieht auch datenschutzrechtliche Konsequenzen nach sich.

Zum einen seien die Nutzer von Videokonferenzsystemen, die diese in ihren Unternehmen oder öffentlichen Stellen einsetzen, regelmäßig nicht mehr als datenschutzrechtlich Verantwortliche anzusehen. Dieser Umstand bedeutet wiederum, dass keine Auftragsverarbeitung gegeben ist und der Diensteanbieter in eigener Verantwortung handelt. Dementsprechend ist insoweit auch der Abschluss eines Auftragsverarbeitungsvertrages nicht mehr erforderlich. Ein solcher sei nach Ansicht der LDI nur noch dann erforderlich, wenn weitere Dienste angeboten oder verwendet werden, die über die bloße Kommunikation hinausgehen. Jedoch wird im Bericht auch betont, dass Unternehmen und öffentliche Stellen trotzdem nach wie vor dazu verpflichtet seien, technische und organisatorische Maßnahmen zu treffen. Insbesondere wird dabei auf die Pflicht der Nutzer zur Vornahme datenschutzrechtlicher Grundeinstellungen hingewiesen.

Außerdem kommt es zu einer Verlagerung der aufsichtsbehördlichen Zuständigkeiten. Nunmehr ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hinsichtlich der als Telekommunikationsdienst zu verstehenden Videokonferenzsysteme wie beispielsweise Google Meet, Microsoft Teams oder Zoom zuständig und nicht mehr die zuständigen Landesdatenschutzbehörden.

 

European Data Protection Board (EDPB): Telekommunikationsdienstleister sind Verantwortliche nach Art. 4 Nr. 7 DSGVO

Die Verantwortlichkeit von Telekommunikationsdienstanbietern hat auch bereits der Europäische Datenschutzausschuss bestätigt. Dieser stuft in seinen Guidelines (07/2020 on the concepts of controller and processor in the GDPR) Telekommunikationsdienstanbieter bei der Erbringung ihrer elektronischen Kommunikationsdienste als Verantwortliche im Sinne der DSGVO ein. Nach Ansicht des EDPB gelte der Anbieter solcher Dienste in der Regel als Verantwortlicher für die Verarbeitung personenbezogener Daten, die für den Betrieb des Dienstes als solchen erforderlich seien. Die von diesen zu beachtenden datenschutzrechtlichen Bestimmungen werden sich dann nun maßgeblich nach dem neuen TTDSG richten.

 

Weiterhin besteht Unsicherheit

Der Bericht der Landesbeauftragen bestätigt nochmals die Bedeutung der TKG-Änderungen für den Umgang mit Videokonferenzsystemen, lässt aber dennoch einige Fragen unbeantwortet und konkretisiert einige wichtige Begrifflichkeiten nicht weiter. Unklar bleibt insbesondere, welche konkreten Daten „aufgrund der Übertragung des Videochats“ nach Auffassung der LDI verarbeitet werden, für die der Nutzer dann nicht mehr verantwortlich ist. Auch bleibt weiterhin offen, was eigentlich genau unter einem „Videochat“ zu verstehen ist. Für die Praxis am relevantesten dürfte jedoch die offene Frage nach dem Umgang mit Funktionen der Videokonferenzsysteme, die über die reine Kommunikationsübertragung an sich hinaus gehen, werden. Fraglich bleibt, ob diese als Teil des Telekommunikationsdienstes angesehen werden oder doch der DSGVO unterliegen. Solange diese Fragen nicht geklärt sind, kann es im Einzelfall sinnvoll sein weiterhin Auftragsverarbeitungsverträge zu schließen, um sich nicht am Ende dem Vorwurf einer DSGVO-widrigen Verarbeitung ausgesetzt sehen zu müssen. Für einen rechtssicheren Umgang bedarf es daher auf jeden Fall einer intensiven Prüfung und Bewertung im Einzelfall.

 

Fazit

Im Rahmen der TKG-Novelle, die am 01.12.2021 in Kraft getreten ist, fallen nunmehr auch sogenannte OTT-Dienste oder interpersonelle Kommunikation wie Videokonferenzdienste unter den Begriff des Telekommunikationsdienstes und stellen keine Telemedien mehr dar. Dies bringt auch datenschutzrechtliche Konsequenzen mit sich. Es ist jedoch zweifelhaft, ob so pauschal empfohlen werden kann, dass im Hinblick auf Videokonferenzdienste keine Auftragsverarbeitungsverträge mehr erforderlich sind. Denn es ist umstritten, inwieweit auch weiterhin Auftragsverarbeitungsverträge geschlossen werden müssen, wenn die Dienste über die bloße Kommunikation hinausgehen. Insoweit zeigt der Bericht der LDI NRW eine Richtung auf, bei der viele Fragen unbeantwortet bleiben. Wo werden die Grenzen gezogen? Welche konkreten Daten werden „aufgrund der Übertragung des Videochats“ verarbeitet und was genau sind „Videochats“ überhaupt? Sind die über den Kommunikationsvorgang hinausgehenden Funktionen eines solchen Dienstes Teil des Telekommunikationsdienstes oder unterliegen sie den Vorgaben der DSGVO? Aus rechtlicher Sicht ist diese Zuordnung von großer Bedeutung. Aus diesem Grund sollten Verwender mit besonderen Tools oder Funktionen der Videokonferenzanbieter vorsichtig sein und sofern sie diese verwenden den datenschutzrechtlichen Umgang besser zweimal überprüfen. Unternehmen und öffentlichen Stellen, die solche Videokonferenzdienste nutzen, ist vor diesem Hintergrund zu raten, individuell zu prüfen, ob nicht doch ggf. weiterhin Auftragsverarbeitungsverträge abgeschlossen werden sollten, bis alle offenen Fragen geklärt sind. Es bleibt abzuwarten, wie diese Fragestellungen in Zukunft beantwortet werden. Dies wäre vor allem im Hinblick auf die große Unsicherheit, die insgesamt um die Verwendung von Videokonferenzdiensten besteht, von besonderer Dringlichkeit.

 

 
 
 

 

 

 

Aufgrund von Datenschutzverstößen sehen sich Unternehmen immer häufiger hohen Bußgeldern ausgesetzt. Darum ist es lohnenswert sich einmal genauer mit den Ursachen von Datenschutzverstößen und präventiven Maßnahmen zur Verhinderung von Verstößen auseinanderzusetzen. Im Falle einer Verletzung des Schutzes personenbezogener Daten müssen Verantwortliche, wie etwa Unternehmen oder Behörden, diese Verletzung nach Art. 33 DSGVO unverzüglich der zuständigen Aufsichtsbehörde melden. Den Aufsichtsbehörden gehen so jährlich unzählige Meldungen zu. Nun hat der Landesbeauftragte für den Datenschutz Sachsen-Anhalt häufige Ursachen von Datenschutzverletzungen sowie Maßnahmen, mit denen diese Maßnahmen präventiv verhindert werden können, in einer Übersicht zusammengestellt. Diese Übersicht stellt wichtige Handlungsempfehlungen für Unternehmen kompakt zusammen. dar. Die vorgeschlagenen Maßnahmen sind natürlich nicht abschließend und es muss im Einzelfall überprüft werden, ob weitergehende Maßnahmen erforderlich sein könnten.

 

Das Wichtigste in Kürze

  • Eine der häufigsten Ursachen für Datenschutzverletzungen ist der Fehlversand von E-Mails und offene Mailverteiler.
  • Häufige Ursache für Datenschutzverletzungen in Zeiten der Digitalisierung sind Hackerangriffe, die durch Sicherheitslücken ermöglicht werden.
  • Unternehmen sollten geeignete technische und organisatorische Maßnahmen implementieren, um Datenschutzverletzungen präventiv zu verhinder.
  • Datenschutzverletzungen müssen durch den Verantwortlichen unverzüglich an die zuständige Aufsichtsbehörde nach Art. 33 DSGVO gemeldet werden.

 

Meldung einer Verletzung des Schutzes personenbezogener Daten

Art. 33 DSGVO erlegt dem Verantwortlichen eine Meldepflicht eines Datenschutzvorfalls auf. Demnach hat der Verantwortliche eine Verletzung unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde zu melden,. Eine Ausnahme hiervon gilt nur dann, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Das hierfür relevante Risiko ergibt sich dabei aus dem Zusammenspiel der Schwere der Verletzung und der Eintrittswahrscheinlichkeit des drohenden Schadensereignisses.

 

Benachrichtigung der betroffenen Person bei hohem Risiko

Sobald die Verletzung des Schutzes personenbezogener Daten voraussichtlich sogar ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat, muss der Verantwortliche nach Art. 34 DSGVO als Teil der Betroffenenrechte auch die betroffene Person unverzüglich über die Verletzung benachrichtigen. Ein hohes Risiko liegt in der Regel immer dann nahe, wenn besondere oder sensible Kategorien personenbezogener Daten, wie beispielsweise Gesundheitsdaten, Unberechtigten zur Kenntnis gelangen könnten.

 

Fehlversand durch E-Mail, Post oder Fax

Eine der häufigsten Ursachen für Datenschutzverletzungen ist der Fehlversand von E-Mails, Post oder Fax. Eine E-Mail oder ein Fax ist schnell an den falschen Empfänger versandt und auch bei der Postadressierung kann es leicht zu Zahlendrehern oder Schreibfehlern kommen, sodass der Brief falsch zugestellt wird und in fremde Hände gelangt.

In erster Linie muss dann umgehend der falsche Empfänger zur Löschung oder Vernichtung aufgefordert werden und sich die erfolgte Löschung durch den Fehladressaten bestätigen lassen. Als Präventionsmaßnahme wird empfohlen die Adressinformationen oder Faxnummern sorgfältig zu übernehmen und auf ihre Aktualität zu überprüfen sowie vor dem Versand nach dem Vier-Augen-Prinzip vorzugehen. Weiterhin sollten Anlagen in E-Mails verschlüsselt und ein elektronisches Adressbuch genutzt werden.

 

Offener E-Mail Verteiler

E-Mails sind heutzutage ein beliebtes Mittel, um Daten zu übermitteln. Jedoch birgt so ein Mailverteiler auch ein entsprechend großes Risiko für Datenschutzverletzungen. Dies ist vor allem dann gegeben, wenn eine Mail an mehrere Empfänger versendet werden soll. Denn es werden häufig sogenannte offene Mailverteiler genutzt. Davon spricht man, wenn für jeden Empfängerdie E-Mail-Adressen der anderen Empfänger offen einsehbar sind. Um zu verhindern, dass die Adressaten der E-Mail offengelegt werden, sollte die Funktion „BCC“ verwendet werden. Wenn jedoch die üblichen Felder wie „An“ und „CC“ verwendet werden, liegt eine Datenschutzverletzung vor, wenn die Bekanntgabe der Tatsache wer Adressat ist bzw. die Weitergabe der E-Mailadressen nicht gerechtfertigt werden kann.

Um die Datenschutzverletzung zu beheben beziehungsweise die nachteiligen Auswirkungen wenigstens abzumildern, sollten auch hier die Empfänger zur Löschung und Bestätigung der Löschung aufgefordert werden. Die E-Mail kann dann erneut verdeckt versendet werden. Um dieser Verletzung präventiv entgegenzuwirken, ist es wichtig, eine regelmäßige Sensibilisierung der Mitarbeiter durchzuführen und den Versand per Blindkopie schon vorher einzustellen.

 

Abhandenkommen von elektronischen und papierbasierten Datenträgern

Eine weitere Ursache ist das Abhandenkommen von elektronischen oder papierbasierten Datenträgern durch Verlust oder Diebstahl. Der physische Diebstahl von Datenträgern, wie Akten, USB-Sticks oder auch Festplatten ist vielleicht nicht so häufig, kommt aber immer noch ab und zu vor. Häufiger dürfte jedoch der Verlust der Datenträger sein. In einem solchen Fall sollte, wenn möglich, bei elektronischen Datenträgern eine Fernlöschung der Daten veranlasst werden. Natürlich ist bei einem Straftatverdacht eine Anzeige bei der Polizei zu erstatten. Als präventive Maßnahme wird in der Übersicht des Landesdatenschutzbeauftragten angeführt, dass eine Verschlusssicherheit hergestellt und insbesondere Regelungen für den Umgang mit Datenträgern und Akten getroffen werden sollten.

 

Entsorgung von Unterlagen im (Papier-)Müll

Immer wieder kommt es vor, dass Unterlagen mit personenbezogenen Daten im normalen Papiermüll und nicht im Schredder oder einer Datentonne landen. Sofern noch möglich, sind die Unterlagen sofort sicherzustellenund ordnungsgemäß zu entsorgen. Dafür müssen natürlich auch datenschutzkonforme Entsorgungsvorrichtungen implementiert sein. Unter anderem sollte durch die Beschäftigten bereits im Vorfeld geprüft werden, ob Papiere oder andere Datenträger vernichtet werden müssen.

 

Verschlüsselung von Dateien durch Angreifer

Große Probleme und Unsicherheiten für Unternehmen bringen vor allem externe Angriffe mit sich, die ganze Systeme lahm legen können. Häufig werden Unternehmen davon überrascht und wissen nicht wie sie damit umgehen sollen. Wichtig ist dabei insbesondere, dass eine sofortige Trennung der Systeme vom Netz erfolgt, in der Folge die Schwachstellen identifiziert und daraus dann die notwendigen Konsequenzen gezogen werden. Wichtig ist jedoch, dass bei der Netztrennung dieses nicht abgeschaltet wird, damit mögliche Spuren nicht verwischt werden. Denn diese können helfen die Schwachstellen aufzudecken. Weiterhin sollten befallene Rechner und Systeme neu installiert und Daten aus dem Backup wiederhergestellt werden.

Um Angriff von außen zu verhindern, wird unter anderem empfohlen, Anhänge oder Links in E-Mails nur zu öffnen oder anzuklicken, wenn diese seriös und plausibel erscheinen. Weiterhin ist in der Übersicht aufgeführt, dass vorher detaillierte Regelungen geschaffen werden sollten, wie mit eingehenden Dateien und E-Mailanlagen umgegangen werden muss. Zudem sollte immer darauf geachtet werden, dass ein aktueller Virenschutz besteht und Systeme und Anwendungen regelmäßig aktualisiert werden und auf dem neuesten Stand sind. Weiterhin wird geraten, ein Rechte- und Rollenmanagement zu implementieren, um Zugriffsrechte in der Art zu gestalten, dass lediglich ein möglichst beschränkter Datenumfang betroffen sein kann.

 

Hackerangriffe

Hackerangriffe treten insbesondere in der heutigen digitalen Welt immer häufiger auf und stellen eine große Gefahr für Unternehmen dar. Zwar erfolgt hier die Datenschutzverletzung nur passiv, jedoch haften die Unternehmen trotzdem dafür, wenn sie durch mangelnde technische und organisatorische Maßnahmen diese Angriffe begünstigen. Denn es liegt im Verantwortungsbereich des Unternehmens, alle ihr möglichen Maßnahmen und Vorkehrungen zu treffen, um solche Angriffe zu verhindern. Die Angriffe erfolgen meist von außen mittels einer Schadsoftware, Trojanern oder Malware. Durch diese Angriffe wird versucht an relevante Firmendaten zu gelangen, um diese zum Beispiel zu verkaufen oder um davon selbst zu profitieren. Hierbei ist es wichtig, dass das Unternehmen versucht, solche Sicherheitslücken oder Fehlkonfigurationen im Firmennetzwerk zu identifizieren, um dann das Risiko einer solchen Datenschutzverletzung zu minimieren.

 

Unberechtigte Zugriffe durch Beschäftigte zu privaten Zwecken

Häufig kommt es auch zu unberechtigten Zugriffen auf personenbezogene Daten durch Beschäftigte, die diese für private Zwecke nutzen wollen. Wenn ein solcher Verdacht besteht, sollte eine Auswertung der elektronisch gespeicherten Datenzugriffe erfolgen und im Anschluss arbeitsrechtliche Maßnahmen geprüft werden. Präventiv könnte solchen Datenschutzverletzungen vorgebeugt werden, indem Datenzugriffe protokolliert werden und Beschäftigte auf das Datengeheimnis verpflichtet werden.

 

Veröffentlichung personenbezogener Daten ohne Rechtsgrundlage

Als weitere häufige Ursache für Datenschutzverletzungen wird ganz allgemein die Veröffentlichung personenbezogener Daten ohne Rechtsgrundlage in der Übersicht aufgeführt. In einem solchen Fall sollte, wenn möglich, sofort die Löschung veranlasst werden und versucht werden die Verbreitung weitestgehend einzudämmen. Als Vorsichtsmaßnahme zur Verhinderung einer rechtswidrigen Datenverarbeitung wird empfohlen, Regelungen zur Prüfung der Rechtmäßigkeit vor der Veröffentlichung der Daten zu treffen und dem Vier-Augen-Prinzip zu folgen. Ebenso kann eine Schwärzung von personenbezogenen Daten aus zu veröffentlichenden Dokumenten erfolgen, um eine Datenschutzverletzung zu vermeiden.

 

Fazit

Die Übersicht des Landesbeauftragten für den Datenschutz Sachsen-Anhalt ist hilfreich, da sie zum einen häufige Ursachen von Datenschutzverletzungen auflistet und zum anderen Maßnahmen zur Behebung der Datenschutzverletzung beziehungsweise zur Abmilderung der nachteiligen Auswirkungen der Verletzung sowie technisch und organisatorische Maßnahmen zur präventiven Vermeidung der Datenschutzverletzungen aufführt. Neben den hier erläuterten Ursachen und Abwehrmaßnahmen enthält die Übersicht noch einige weitere. Sie kann einem Unternehmen oder einer Behörde als Anhaltspunkt für das Vorgehen dienen, wenn sich ein Datenschutzvorfall ereignet. Unternehmen können diese Übersicht auch dazu heranziehen, um sich zu orientieren und zu prüfen, in welchen Bereichen noch Handlungsbedarf für präventive Maßnahmen besteht und ob gegebenenfalls noch Sicherheitslücken bestehen.

Unternehmen sollten jedoch beachten, dass im Einzelfall auch weitergehende Maßnahmen erforderlich sind. Es ist von großer Bedeutung interne Prozesse zu implementieren, die eine datenschutzkonforme Verarbeitung von personenbezogenen Daten gewährleisten und das Risiko einer Datenschutzverletzung verringern. Für einen reibungslosen Ablauf ist weiterhin wichtig, dass auch Beschäftigte und insbesondere die IT-Abteilung für den Datenschutz sensibilisiert werden und im gesamten Unternehmen einheitliche Rahmenbedingungen und Regelungen getroffen werden. Für Unternehmen und andere Verantwortliche ist die Übersicht des Landesbeauftragten für den Datenschutz Sachsen-Anhalt daher ein sehr guter Ansatzpunkt um daraus Handlungsempfehlungen zur Vermeidung der grundlegen datenschutzrechtlichen Gefahrstellen ableiten zu können.

 

 
 
 

 

 

 

In der jüngsten Vergangenheit häufen sich Fragen hinsichtlich der Beurteilung von datenschutzrechtlichen Schadensersatzansprüchen immer stärker, was auch dazu führt, dass sich Gerichte vermehrt damit auseinandersetzen müssen. Dabei sind auch in der gerichtlichen Urteilspraxis Unterschiede festzustellen, wann und in welcher Höhe den Geschädigten ein Schadensersatzanspruch aus Art. 82 DSGVO zugesprochen wird. Dies ruft weiterhin große Unsicherheit sowohl bei Betroffenen als auch den für die Datenverarbeitung Verantwortlichen hervor. Das OLG Köln hat sich mit dieser Frage beschäftigt und nun in seinem Urteil vom 13.07.2022 (AZ. 15 O 356/20) entschieden, dass der Klägerin ein Schadensersatzanspruch aus Art. 82 DSGVO in Höhe von 500 € aufgrund der verspäteten datenschutzrechtlichen Auskunft zusteht. Das LG Bonn hatte in der Vorinstanz noch anders entschieden und einen Schadensersatzanspruch abgelehnt.

 

Das Wichtigste in Kürze

  • Art. 82 Abs. 1 DSGVO eröffnet jeder Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Schadensersatzanspruch.

  • Schadensersatz von 500 € ist laut OLG der Höhe nach angemessen und ausreichend.

  • Der von der Klägerin vorgetragene immateriellen Schaden überschreitet die Erheblichkeitsschwelle im vorliegenden Fall und begründet daher einen Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO.

 

Ausgangsfall

Im erstinstanzlichen Urteil des LG Bonn vom 01.07.2021 (AZ. 15 O 356/20) ging es um den datenschutzrechtlichen Schadensersatzanspruch aufgrund einer Verletzung von DSGVO- Vorgaben gemäß Art. 82 DSGVO. Vorliegend wurde die Geltendmachung eines Schadensersatzanspruchs aufgrund einer verspäteten und unvollständigen Datenauskunft verhandelt. Ein konkreter ersatzfähiger Schaden lag nach Ansicht des LG Bonns allerdings nicht vor. Gegen dieses Urteil hat die Betroffene nun Berufung eingelegt. Das OLG Köln hat in seinem Urteil vom 13.07.2022, anders als das LG Bonn, der Klägerin Schadensersatz in Höhe von 500 € zugesprochen.

Dem vorinstanzlichen Urteil lag folgender Sachverhalt zugrunde.

Im August 2016 erlitt die Klägerin einen schweren Verkehrsunfall, woraufhin sie am 08.09.2016 den Beklagten als Rechtsanwalt zur Regulierung der Unfallschäden beauftragte.

Am 07.01.2020 kündigte die Klägerin das Mandatsverhältnis und verlangte vom Beklagten eine vollständige Datenauskunft gemäß Art. 15 DSGVO sowie Herausgabe einer Kopie der Handakte. Diese Akte ist eine Zusammenstellung aller gesammelten und zu einem bestimmten Rechtsfall gehörenden Schriftstücke.

Der Beklagte ließ sich mit Erteilung der Datenauskunft neun Monate Zeit und erfüllte den Anspruch auch anschließend nicht vollständig. Es fehlten Angaben zum Mandatskonto, sowie Berichte über die Kommunikation zwischen der Klägerin und dem Beklagten via E-Mail und WhatsApp. Außerdem ist unklar, ob Daten an einen weiteren Rechtsanwalt weitergegeben worden sind, der sich mit dem Beklagten in einer Bürogemeinschaft befand und die gleiche Telefaxnummer nutzte.

Die Klägerin sah sich aufgrund dessen gezwungen, einen anderen Rechtsanwalt zu beauftragen, woraus weitere Kosten entstanden, die sie ersetzt haben wollte. Sie bezeichnete das Verhalten des Beklagten als mutwillig, da dieser nicht nur eine erheblich verspätete, sondern vor allem unvollständige Datenauskunft erteilt habe.

Aufgrund der verspäteten Datenauskunft war die Klägerin nicht in der Lage, Ansprüche gegenüber der Versicherung geltend zu machen.

In diesem Zusammenhang forderte die Klägerin zusätzlich Schmerzensgeld aus Art. 82 DSGVO, das € 1.000 nicht unterschreiten sollte. Die verspätete Erteilung sowie der unterstellte Vorsatz wurden zur Begründung eines immateriellen Schadens angeführt.

 

 

Schadensersatzanspruch des Betroffenen nach Art. 82 DSGVO

Nach Art. 82 Abs. 1 und 2 DSGVO hat jede natürliche Person, der wegen eines Verstoßes gegen die DSGVO ein immaterieller Schaden entstanden ist, einen Anspruch auf Schadenersatz gegen den Verantwortlichen. Im vorliegenden Fall sei ein solcher Verstoß durch den Beklagten als „Verantwortlicher“ nach Art. 4 Nr. 7 DSGVO gegeben. Denn nach Art. 15 Abs. 1, Abs. 3, Art. 12 Abs. 3 S. 1 DSGVO habe der Verantwortliche innerhalb eines Monats nach Eingang des Antrags auf Datenauskunft die entsprechenden Auskünfte zu erteilen. Dies erfolgte durch den Beklagten jedoch erst im Laufe des Verfahrens, also verspätet.

Das OLG Köln vertrat hier eine andere Auffassung als das LG Bonn. Dieses vertrat nämlich den Standpunkt, dass von Art. 82 DSGVO ausschließlich solche Schäden erfasst seien, die durch eine DSGVO-widrige Verarbeitung entstanden sind und dass daher bloße Verstöße gegen Auskunftspflichten aus Art. 12 Abs. 3 beziehungsweise Art. 15 DSGVO nicht als Rechtsgrundlage für einen Ersatzanspruch dienen könnten. Das LG Bonn führte aus, dass Art. 82 Abs. 1 DSGVO durch dessen Abs. 2 DSGVO dahingehend konkretisiert werden würde. Anders sieht dies jedoch das OLG.

Denn diese Annahme sei weder dem Gesamtkontext noch dem Sinn und Zweck oder auch der Entstehungsgeschichte der Norm zu entnehmen. Erwägungsgrund 146 spreche zwar auch von dem Gedanken, dass Schäden ersetzt werden sollen, die „einer Person aufgrund der Verarbeitung entstehen, die mit der Verordnung nicht im Einklang steht“. Jedoch sei der Begriff der Verarbeitung in Art. 4 Nr. 2 DSGVO weit gefasst. Darunter sei auch die gegenständliche Auskunft, also „Offenlegung durch Übermittlung“, zu subsumieren. Weiter führt das OLG aus, dass sich ebenso aus Erwägungsgrund 60 ergebe, dass es die Grundsätze einer fairen und transparenten Verarbeitung erforderlich machen würden, dass der Betroffene über die Existenz des Verarbeitungsvorgangs und seine Zwecke informiert werde. Vor dem Hintergrund, dass solche Auskunfts- und Informationsrechte dem Schutz des Betroffenen dienen und der Verarbeitungsprozess für den Betroffenen fair und transparent gestaltet werden soll, ist es nur überzeugend die Ersatzpflicht nach Art. 82 Abs. 1 DSGVO weit zu verstehen und auf jeden Verstoß gegen Regelungen der DSGVO anzuwenden.

 

 

OLG Köln: Nachgewiesener Schaden durch die Klägerin  

Dadurch, dass der Beklagte die angeforderte Auskunft verspätet erteilte, ist der Betroffenen ein immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO entstanden.
Dazu führte das Gericht wie folgt aus:

„Dabei kommt es vorliegend nicht auf die umstrittene Frage an, ob allein die Verletzung einer Vorschrift der DSGVO fu¨r einen Anspruch aus Art. 82 Abs. 1 DSGVO ausreicht oder ob es daru¨ber hinaus der Darlegung und des Nachweises eines konkreten Schadens bedarf.“

Die Klägerin hat vorliegend vorgetragen, dass die verspätete Datenauskunft ihr die weitere Schadensregulierung aufgrund fehlender Informationen aus der Handakte des Beklagten erschwert wurde und die dadurch entstandene Wartezeit für sie eine psychische Belastung dargestellt habe. Das OLG sah diese vorgetragenen Umstände als ausreichend an, einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO zu begründen. Das LG Bonn sah dies in seiner Entscheidung noch anders und verneinte einen immateriellen Schaden.. Das „Warten“ auf die Datenauskunft, sei nicht ausreichend um einen ersatzfähigen Schaden nach der DSGVO zu begründen, da die erforderliche Erheblichkeitsschwelle nicht überschritten würde.

 

Überschreitung etwaiger Bagatellgrenze

Nach Ansicht des OLG Köln gehen die von der Klägerin geltend gemachten Beeinträchtigungen durch die verzögerte Datenauskunft des Beklagten über eine reine Bagatelle hinaus, sodass deshalb kein Ausschluss des Schadensersatzanspruchs in Betracht komme. Das Gericht führte dazu wie folgt aus:

„Die Kla¨gerin ist fu¨r eine nicht unerhebliche Dauer vom Beklagten u¨ber das weitere Schicksal des Mandates im Unklaren gelassen worden und war u¨ber Monate nicht in der Lage, auf die Handakte zuzugreifen, Kenntnis u¨ber den Inhalt der dort gespeicherten Daten zu erlangen und das sie betreffende Verfahren mit dem neuen Prozessbevollma¨chtigten voran zu treiben.“

Insofern kam es hier gerade nicht auf die teilweise noch umstrittene Frage an, ob für einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO eine Erheblichkeitsschwelle erforderlich sein soll.

 

Schadensersatz in Höhe von 500 € angemessen und ausreichend

Das OLG hielt die Höhe des Schadensersatzes von 500 € für angemessen und ausreichend, um die von der Klägerin geltend gemachten immateriellen Schäden nach Art. 82 Abs. 1 DSGVO auszugleichen. Dabei wurde bei der Festsetzung der Höhe des zu ersetzenden Schadens zugunsten des Beklagten der Umstand herangezogen, dass die Daten keinem Dritten zugänglich gemacht worden sind. Jedoch falle dem Beklagten sein vorsätzliches Verhalten hinsichtlich der verspätet erteilten Auskunft negativ zur Last.

 

 

Ausblick

Das OLG Köln hat der Klägerin einen immateriellen Schadensersatz in Höhe von 500 € wegen verspäteter Datenauskunft zugesprochen. In seinem Urteil beleuchte es überzeugend, dass eine Ersatzpflicht nach Art. 82 Abs. 1 DSGVO weit zu verstehen ist und hinsichtlich der Verletzung aller Vorschriften der DSGVO Anwendung findet.

Unternehmen sollten sich bewusst sein, dass es bei Verstößen gegen die Vorgaben der DSGVO nicht nur zur Verhängung von Bußgeldern durch zuständige Aufsichtsbehörden kommen kann, sondern sie sich auch einem etwaigen Schadensersatzanspruch der Betroffenen ausgesetzt sehen könnten. Daher sollten sie insbesondere auf die Fristen bei Auskunftsbegehren seitens des Betroffenen achten und diese rechtzeitig bearbeiten. Um dies im Ernstfall rechtssicher realisieren zu können bedarf es daher etablierter Prozesse und dem Überblick welche Daten wann wo verarbeitet werden.

Es bleibt abzuwarten, wie die Gerichte in Zukunft im Hinblick auf geltend gemachte Schadensersatzansprüche entscheiden werden und wie mit Bagatellschäden umgegangen wird. Die Handhabung mit immateriellen Schäden stellt immer noch eine große Unsicherheit sowohl bei Betroffenen als auch Verantwortlichen dar und bedarf noch einer größeren Rechtssicherheit.

 

 
 
 

 

 

 

Wer haftet bei Datenschutzverstößen durch Arbeitnehmer? Der Arbeitgeber oder möglicherweise doch der Arbeitnehmer selbst? Das ist eine zentrale Frage, die sowohl Arbeitnehmer als auch Arbeitgeber im Kontext der datenschutzrechtlichen Vorschriften beschäftigt. Denn bei einem Verstoß können hohe Summen an Bußgeldern durch Aufsichtsbehörden verhängt werden oder Schadensersatzansprüche durch Betroffene geltend gemacht werden. Diese Sanktionen sind zentrales Mittel, um die Durchsetzung des Datenschutzes zu verbessern. Adressat ist dabei der „Verantwortliche“ oder der Auftragsverarbeiter. Dies ist in der Regel der Arbeitgeber. Doch wie sieht es mit der persönlichen Haftung des Arbeitnehmers in Fällen eines Verstoßes aus?.

 

Haftung bei Datenschutzverstoß nach der DSGVO

Grundsätzlich sieht die DSGVO zwei Möglichkeiten bei Verstößen gegen die DSGVO vor. Zum einen die Verhängung eines Bußgeldes durch die Aufsichtsbehörden nach Art. 83 DSGVO und zum anderen einen Schadensersatzanspruch des Betroffenen nach Art. 82 DSGVO. Ausgangspunkt dafür ist der „Verantwortliche“ im Sinne von Art. 4 Nr. 7 DSGVO. Danach ist „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Nur nach der Definition zu urteilen, könnten darunter sowohl Arbeitgeber als auch der einzelne Arbeitnehmer fallen. Jedoch kann im Ergebnis in der Regel nur der Arbeitgeber als „Verantwortlicher“ angesehen werden, da dieser im Normalfall darüber entscheidet, welche Daten erhoben werden, welchem unternehmerischen Zweck sie dienen und welche dafür notwendigen technischen und organisatorischen Maßnahmen erforderlich sind. Dies ergibt sich auch schon aus den rechtlichen Besonderheiten eines Arbeitsverhältnisses, in dem der Arbeitnehmer grundsätzlich den Weisungen des Arbeitgebers unterliegt und für diesen tätig wird.

Daraus kann geschlossen werden, dass in der Praxis der Arbeitgeber als „Verantwortlicher“ der Haftende ist, auch wenn vielleicht der Arbeitnehmer gegen datenschutzrechtliche Vorschriften verstoßen hat.

Das sieht auch die Datenschutzkonferenz (DSK) so. Nach Meinung der DSK sollen Unternehmen für schuldhafte Datenschutzverstöße ihrer Beschäftigten haften, sofern kein Mitarbeiterexzess vorliegt. Diese Haftung für Mitarbeiterverschulden ergebe sich aus der Anwendung des sogenannten funktionalen Unternehmensbegriffs. Danach sollen Unternehmen für das Fehlverhalten sämtlicher Mitarbeiter haften. Ausgenommen seien solche Handlungen von Beschäftigten, die nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zugerechnet werden können, sogenannte „Exzesse“.

 

Ausnahme: Haftung des Arbeitnehmers beim sogenannten Mitarbeiterexzess

In bestimmten Fällen kann also auch der Arbeitnehmer der Haftende sein. Begeht der Arbeitnehmer nämlich einen datenschutzrechtlichen Verstoß in einem „Mitarbeiterexzess“, ist der Arbeitgeber von der Haftung ausgenommen und nicht mehr Adressat des Bußgeldes oder des Schadensersatzanspruchs, sondern alleine der jeweilige Arbeitnehmer. Der sogenannte „Mitarbeiterexzess“ betrifft die Fälle, in denen sich der Arbeitnehmer nicht mehr innerhalb seines arbeitsvertraglich vorgesehenen Aufgabenbereichs bewegt. In solchen Fällen kann eine Zurechnung des Verschuldens auf den Arbeitgeber als nicht sachgerecht empfunden werden, sodass dieser auch nicht mehr „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO ist. Dadurch wird der Mitarbeiter im Rahmen des „Mitarbeiterexzesses“ zum „Verantwortlichen“.

Klassische Anwendungsfälle des „Mitarbeiterexzesses“ sind Konstellationen, in denen beispielsweise auf berufliche Dateien zugegriffen wird, um diese erlangten Informationen dann für private Zwecke zu gebrauchen. Hier ist dann der Arbeitnehmer allein verantwortlich. Zwar stellt der Arbeitgeber die Mittel für den Zugriff auf die Informationen zur Verfügung, jedoch nicht für den Zweck, diese für den privaten Gebrauch zu verwenden.

 

Konsequenzen für den Arbeitnehmer

Wenn der Arbeitnehmer seine Zugriffsberechtigung überschreitet, indem er Dateien zu persönlichen Zwecken zweckentfremdet, verletzt er den Schutz personenbezogener Daten und verstößt damit gegen die DSGVO. Dieses eigenverantwortliche Fehlverhalten von Beschäftigten ist eine meldepflichtige Verletzung des Schutzes personenbezogener Daten nach Art. 33 Abs. 1 DSGVO, die dann an die zuständige Aufsichtsbehörde weitergeleitet werden muss. Im Rahmen des „Mitarbeiterexzesses“ ist der Arbeitnehmer dann „Verantwortlicher“ gegenüber der betroffenen Person und macht sich ihr gegenüber nach Art. 82 Abs. 1 DSGVO schadensersatzpflichtig. Betroffene werden jedoch meist ihre Schadensersatzansprüche gegenüber dem Unternehmen an sich geltend machen und nicht gegen den einzelnen Arbeitnehmer.

Das Unternehmen könnte möglicherweise auch mitverantwortlich sein, wenn es gegebenenfalls keine effektiven Sicherungsmaßnahmen eingerichtet hat. Art. 82 Abs. 3 DSGVO sieht jedoch die Möglichkeit der Exkulpation vor. Demnach wird der Verantwortliche oder der Auftragsverarbeiter von der Haftung gemäß Absatz 2 befreit wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Jedoch wird es im Falle des „Mitarbeiterexzesses“ in der Regel darauf hinauslaufen, dass der Arbeitnehmer dann vollumfänglich in Regress genommen wird, da ein „Mitarbeiterexzess“ normalerweise vorsätzlich erfolgt.

 

Regress des Arbeitgebers beim Arbeitnehmer

Die derzeitige Rechtsprechung hat eine andere Haltung als die DSK, wenn kein „Mitarbeiterexzess“ vorliegt, aber dennoch ein Datenschutzverstoß durch den Arbeitnehmer erfolgt. Das Arbeitsverhältnis stellt aus rechtlicher Sicht ein Schuldverhältnis dar. Dadurch haben Arbeitnehmer und Arbeitgeber gegenseitige Rechte und Pflichten einzuhalten. Dabei treffen den Arbeitnehmer Nebenpflichten, wie der vertrauliche Umgang mit personenbezogenen Daten und das Einhalten datenschutzrechtlicher Vorschriften. Wenn der Arbeitnehmer jedoch gegen solche Vorschriften verstößt und infolgedessen gegen den Arbeitgeber als „Verantwortlicher“ ein Bußgeld verhängt wird oder dieser Schadensersatz leisten muss, könne der Arbeitgeber vom Arbeitnehmer Regress nehmen.

 

Grundsätze der Arbeitnehmerhaftung

Bei Berechnung des Umfangs der Arbeitnehmerhaftung nimmt das BAG grundsätzlich eine Differenzierung hinsichtlich der Verantwortlichkeit des Arbeitnehmers vor, um den besonderen Situationen des Arbeitsverhältnisses gerecht zu werden und den Arbeitnehmer nicht mit unverhältnismäßig hohen Summen zu belasten. Dabei geht das BAG so vor, dass es das vorwerfbare Verhalten des Arbeitnehmers anhand verschiedener Abstufungen des Grades der Fahrlässigkeit beurteilt.

 

Leichte Fahrlässigkeit

Ist dem Arbeitnehmer der Datenschutzverstoß nur leicht fahrlässig passiert, soll dieser nicht haften. Diese stellen leicht entschuldbare Pflichtverstöße dar, die jedem Arbeitnehmer beim Ausüben seiner Tätigkeit unterlaufen können. Der Arbeitgeber habe solche Verstöße hinzunehmen, da der Arbeitnehmer immerhin in „dessen Wirtschafts- und Interessenkreis für diesen“ tätig ist und kleine Fehler jedem Arbeitnehmer passieren können.

 

Mittlere Fahrlässigkeit

Wenn der Arbeitnehmer mit mittlerer Fahrlässigkeit einen Verstoß gegen datenschutzrechtliche Vorschriften begeht, ist eine anteilige Haftung vorgesehen. Mittlere Fahrlässigkeit liegt vor, wenn der Arbeitnehmer die objektiv erforderliche Sorgfalt außer Acht lässt. Das bedeutet, dass der Arbeitnehmer den Schaden hätte vorhersehen müssen, aber nicht sorgfältig genug war. Bei der Berechnung der Anteile sind die Umstände des Einzelfalls zu beachten. Dabei werden verschiedene Kriterien herangezogen, sodass sich der Umfang des Schadensersatzes beispielsweise an der Höhe des eingetretenen Schadens, dem Grad des Verschuldens und der Gefahrengeneigtheit der konkreten Tätigkeit, die Höhe des Lohns sowie Billigkeits- und Zumutbarkeitskriterien orientiert.

 

Grobe Fahrlässigkeit

Ist der Datenschutzverstoß des Arbeitnehmers grob fahrlässig verursacht worden, so soll er gegenüber dem Arbeitgeber vollumfänglich haften. Dabei ist jedoch zu beachten, dass es auch hier Haftungsobergrenzen gibt, die sich zum Beispiel am Gehalt des Arbeitnehmers orientieren können.

 

Übertragung auf die DSGVO

Fraglich ist jedoch, inwieweit sich diese Grundsätze hinsichtlich der datenschutzrechtlichen Besonderheiten auf die DSGVO übertragen lassen. Für die Haftung nach der DSGVO ist maßgeblich, dass ein Verstoß gegen die datenschutzrechtlichen Vorschriften vorliegt. Jedoch sind solche Abstufungen des Grades der Fahrlässigkeit, wie zuvor dargelegt, der DSGVO nicht bekannt. Das bedeutet, man müsste diese Haftungsgrundsätze auf ein System anwenden, das solche Abstufungen gar nicht vorsieht.

Wenn man die DSGVO näher betrachtet, findet sich in Art. 83 Abs. 2 DSGVO eine Berücksichtigung der Umstände des Einzelfalls für die Verhängung von Bußgeldern. Jedoch im Rahmen der Haftung und dem Recht auf Schadensersatz nach Art. 82 DSGVO. In Art. 82 Abs. 5 DSGVO ist zwar normiert, dass im Falle eines Schadensersatzes ein Ausgleich je nach Verschulden zwischen den Verantwortlichen oder Auftragsverarbeitern stattfinden soll. Jedoch entspricht dies gerade nicht dem vorliegenden Fall, da kein Mitarbeiterexzess vorliegt. Daher ist der Arbeitgeber der Verantwortliche und es liegt eben keine gemeinsame Verantwortlichkeit mit dem Arbeitnehmer vor.

 

Bedeutung für die Arbeitnehmer

Welche Bedeutung hat dies nun für die Arbeitnehmer? Wie dargestellt, stellt sich die Übertragung der Haftungsgrundsätze mit den Abstufungen des Grades der Fahrlässigkeit auf die DSGVO noch recht schwierig dar. Es bleibt abzuwarten, wann und wie Gerichte datenschutzrechtliche Fallbeispiele für mehr Rechtssicherheit und Vorhersehbarkeit entwickeln. Da die DSGVO als Adressat des Bußgeldes oder Schadensersatzes nur den „Verantwortlichen“ im Sinne des Art. 4 Nr. 7 DSGVO oder den Auftragsverarbeiter vorsieht, wird sich noch zeigen, inwiefern sich die Besonderheiten der DSGVO auswirken werden.

 

Ausblick

Es wird deutlich, dass noch immer Unklarheiten hinsichtlich der Haftung bestehen. Abzuwarten bleibt, wie die Rechtsprechung in Zukunft solche Konstellationen beurteilen und entscheiden wird. Insbesondere im Hinblick auf die Übertragbarkeit der Haftungsgrundsätze des BAG auf die Besonderheiten der DSGVO würden Fallbeispiele wesentlich zu mehr Rechtssicherheit beitragen. Fest steht jedoch, dass der Arbeitgeber im Grundsatz „Verantwortlicher“ und damit der richtige Adressat von Bußgeldern und Schadensersatzansprüchen ist. Eine Ausnahme davon ist das Vorliegen eines „Mitarbeiterexzess“, bei dem der Arbeitnehmer selbst als Verantwortlicher auftritt. Arbeitnehmer sollten also mit besonderer Vorsicht darauf achten die vom Arbeitgeber zur Verfügung gestellten Daten nicht für private Zwecke zu verwenden. Denn dann ist der Arbeitnehmer vollständig persönlich haftbar und läuft Gefahr sich eventuellen Schadensersatzansprüchen ausgesetzt zu sehen.

 

 
 
 
 

 

 

 

In den letzten Monaten war das Thema Facebook und Datenschutz regelmäßig Gegenstand großer Diskussionen bei den Datenschutzbehörden und Datenschützern. Immer wieder ging es darum, dass Facebook-Fanpages offenbar nicht datenschutzkonform betrieben werden können. Nun hat die Konferenz der unabha¨ngigen Datenschutzaufsichtsbeho¨rden des Bundes und der La¨nder (DSK) bei ihrer Sitzung am 22. Juni 2022 eine Liste von oft gestellten datenschutzrechtlichen Fragen und den zugeho¨rigen Antworten (FAQ) zu Facebook-Fanpages verabschiedet. In dem Beschluss wird unter anderem beantwortet, warum ihr Betrieb derzeit datenschutzrechtlich problematisch ist und warum nach ihrer Auffassung der Verantwortliche aktuell den datenschutzkonformen Betrieb einer solchen Facebook-Fanpage nicht gewährleisten kann. Durch die Antworten sollen beaufsichtigte Stellen schnell und verständlich über die gemeinsame Rechtsauffassung der Datenschutzbehörden informiert werden. Zudem sind die FAQ als Reaktion auf das große Interesse zu rechtssicherem Handeln bei der Nutzung von Social-Media-Diensten zu.

 

Das Wichtigste in Kürze

  • Die Grundsätze der rechtlichen Bewertung hinsichtlich Facebook-Fanpages sollen auch auf andere Social-Media-Dienste, wie Instagram, Twitter oder TikTok übertragbar sein.
  • Ein rechtskonformer Betrieb von Facebook-Fanpages kann derzeit ohne Änderungen der Datenverarbeitung durch Facebook und dessen Mutterkonzern Meta Platforms nicht gewährleistet werden.
  • Übergangsfristen für die Abschaltung von Facebook-Fanpages sind in der Datenschutzgrundverordnung nicht vorgesehen.
  • Die FAQ durch die Datenschutzkonferenz sollen beaufsichtigte Stellen schnell und verständlich über die gemeinsame Rechtsauffassung der Datenschutzbehörden informieren.

 

Facebook-Fanpage

Was versteht man eigentlich unter eine Facebook-Fanpage? Eine Facebook-Fanpage dient als gute Möglichkeit für Unternehmen, Organisationen, Marken oder Gemeinschaften Aufmerksamkeit auf sich zu ziehen und sich selbst zu präsentieren. Eine Facebook-Fanpage wird weitestgehend für geschäftliche, nicht-private Zwecke genutzt. Davon zu unterscheiden sind Facebook-Profile von registrierten Nutzern, die Privatpersonen zugeordnet sind. Diese werden weitestgehend für private Zwecke eingerichtet. Oftmals ersetzen die Fanpages auch klassische Unternehmenswebsites.

 

Hintergrund der FAQ zu Facebook-Fanpages durch die Datenschutzkonferenz

Die Datenschutzbehörden haben in der Vergangenheit des Öfteren darauf aufmerksam gemacht, dass der datenschutzkonforme Betrieb von Facebook-Fanpages derzeit nicht möglich ist. Trotz dessen herrscht immer noch große Unsicherheit und Unklarheit in Bezug auf den Betrieb von Facebook-Fanpages. Mit dem Anhörungsverfahren des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit gegen das Bundespresseamt hinsichtlich deren Facebook-Fanpage „Bundesregierung“ hat die Überprüfung öffentlicher Facebook-Fanpages begonnen. Es kann davon ausgegangen werden, dass in Zukunft auch die Überprüfung privater Fanpages folgen wird. Jedoch stehen aufgrund ihrer Vorbildfunktion zunächst die öffentlichen Stellen im Fokus. Im März diesen Jahres verfasste die „Taskforce Fanpages“ ein Kurzgutachten, indem sie die datenschutzrechtlichen Probleme mit Facebook-Fanpages herausarbeitete. Daraufhin beschloss die Datenschutzkonferenz zu überprüfen, welche Landes- und Bundesbehörden Facebook-Fanpages betreiben. Ziel war es darauf hinzuwirken, dass diese Seiten deaktiviert werden, sofern die Verantwortlichen die datenschutzrechtliche Konformität der Fanpages nicht nachweisen können. Nun hat die Datenschutzkonferenz am 22. Juni 2022 eine Liste von oft gestellten datenschutzrechtlichen Frage und den dazugehörigen Antworten veröffentlicht. Darin wird unter anderem beantwortet, warum derzeit der datenschutzkonforme Betreib von Facebook-Fanpages nicht gewährleistet werden kann und welche Schritte für eine Datenschutzkonformität einer Facebook-Fanpage notwendig wären.

 

Vorgehen der Aufsichtsbehörden

Aufsichtsbehörden sind insbesondere dafür zuständig, die Datenschutzkonformität der Verarbeitung personenbezogener Daten zu überwachen und durchzusetzen. Um dies zu gewährleisten können sie sich verschiedener Maßnahmen bedienen. Die Aufsichtsbehörden können bei fehlender Datenschutzkonformität zum Beispiel anordnen, dass eine konkrete rechtswidrige Datenverarbeitung zu unterbleiben hat oder gegenüber nichtöffentlichen Stellen auch Bußgelder verhängen. Dass sie Bußgelder nur gegen nichtöffentliche Stellen verhängen können hat den Grund, dass nach derzeit geltendem deutschen Recht öffentliche Stellen nicht mit Bußgeldern belegt werden dürfen. Das bedeutet jedoch nicht, dass öffentliche Stellen sich nicht an die datenschutzrechtlichen Vorgaben halten müssen.

Doch wäre es den Aufsichtsbehörden nicht auch möglich direkt gegen Meta Platforms als Mutterkonzern vorzugehen? Mit dieser Frage beschäftige sich auch die Datenschutzkonferenz im Zusammenhang mit den FAQ. Gemäß der DSGVO ist in Europa die irische Datenschutzbehörde für die Aufsicht über Meta Platforms zuständig. Jedoch sind für die Betreiber von Facebook-Fanpages die jeweiligen Aufsichtsbehörden am Sitz der Betreiber der jeweiligen Seite zuständig. Bei grenzüberschreitenden Fällen arbeiten die deutschen Aufsichtsbehörden mit der irischen Aufsichtsbehörde im Europäischen Datenschutzausschuss zusammen. Die deutschen Aufsichtsbehörden sind über das sogenannte Kooperationsverfahren der DSGVO an Entscheidungen der irischen Aufsichtsbehörden hinsichtlich Meta Platforms dann gegebenenfalls zu beteiligen. Daher gehen die deutschen Aufsichtsbehörden als unmittelbar zuständige Behörde eben nur gegen die Betreiber der Facebook-Fanpages vor. Im grenzüberschreitenden Fällen können die betroffenen europäischen Datenschutzbehörden aber für eine einheitliche Rechtsanwendung über das Kooperationsverfahren zusammenarbeiten.

 

Datenschutzrechtliche Problematik mit Facebook-Fanpages

Die Datenschutzkonferenz hat in ihren FAQ auf die datenschutzrechtliche Problematik hinsichtlich Facobook-Fanpages hingewiesen. Problematisch ist insbesondere, dass Meta Platforms Daten der Nutzer nicht nur zum Zweck der Bereitstellung eines sozialen interaktiven Netzwerks, sondern auch zu Werbezwecken verarbeitet. Unklar ist weiterhin, welche personenbezogenen Daten in welcher Art und Weise verarbeitet werden. Bezugspunkt ist das EuGH Urteil vom 5. Juni 2018 (C- 210/16, „Wirtschaftsakademie“). Mit diesem Urteil wurde bestätigt, dass Betreiber von Facebook-Fanpages (mit)verantwortlich für die Verarbeitung der Nutzerdaten sind. Durch sog. Insights wird nämlich den Fanpage-Betreibern eine Nutzeranalyse für ihre Seiten auf Facebook bereitgestellt. Aus diesem Grund liegt eine gemeinsame Verantwortlichkeit zwischen dem Betreiber der Fanpage und dem Plattformbetreiber für die Verarbeitung personenbezogener Daten vor. Diese gemeinsame Verantwortlichkeit erfordert, dass eine Vereinbarung über die gemeinsame Verantwortlichkeit geschlossen wird, die den Anforderungen des Art. 26 DSGVO genügt. Das von Meta Platforms bereitgestellte Addendum genügt genau diesen Anforderungen jedoch nicht. Aufgrund der Unklarheit über die Datenverarbeitung durch die Verantwortlichen kann eine datenschutzkonforme Verarbeitung der personenbezogenen Daten der Nutzer nicht gewährleistet werden. Problematisch ist dahingehend vor allem die Übermittlung von Daten der Nutzer in Drittstaaten außerhalb der EU, die nur zulässig ist, wenn die Vorgaben von Art. 44 ff. DSGVO eingehalten werden.

 

Nachweise für den Betrieb von Facebook-Fanpages erforderlich

Fanpage-Betreiber müssen der DSK folgend die Datenschutzkonformität der von ihnen verantworteten Datenverarbeitung sicherstellen und nachweisen können.

Für den rechtskonformen Betrieb einer Facebook-Fanpage ist dann insbesondere ein Nachweis über den Abschluss einer Vereinbarung über die gemeinsame Verantwortlichkeit mit Facebook nach Art. 26 DSGVO erforderlich. Darin müssen Verantwortliche vor allem die Zwecke und Mittel der Verarbeitung gemeinsam festlegen. Die den Verantwortlichen obliegenden Pflichten nach der DSGVO sollen so transparent und eindeutig verteilt und zugeordnet werden. Art. 26 DSGVO soll eine klare Zurechnung von Verantwortlichkeiten schaffen und damit für mehr Rechtssicherheit und Transparenz in komplexen Strukturen sorgen.

Weiterhin ist die Bereitstellung ausreichender Informationen über die gemeinsame Datenverarbeitung gegenüber Nutzern der Fanpages gemäß Art. 13 DSGVO zu gewährleisten. Art. 13 DSGVO regelt Art und Umfang der Informationspflicht des Verantwortlichen gegenüber der betroffenen Person, wenn und soweit die personenbezogenen Daten bei der betroffenen Person erhoben werden. Damit soll garantiert werden, dass eine ausreichende Transparenz bei der Direkterhebung personenbezogener Daten gegenüber der betroffenen Person sichergestellt ist.

Zudem müssten Betreiber einer Fanpage die Zulässigkeit zur Speicherung von Informationen in den Endeinrichtungen der Nutzer und der Zugriff auf diese Informationen gemäß § 25 TTDSG nachweisen. Zuletzt wäre noch ein Nachweis über die Zulässigkeit der Übertragung personenbezogener Daten in den Zugriffsbereich von Behörden in Drittstaaten erforderlich.

Dies ist den Betreibern der Fanpages jedoch derzeit nicht möglich. In einem solchen Fall bleibt den Verantwortlichen aus der Sicht der DSK nur die Deaktivierung der Fanpage, solange sie ihre Pflichten nach der DSGVO nicht erfüllen können. Um diese zu erfüllen, ist jedoch die Mitwirkung von Meta Platforms als Mitverantwortliche notwendig. Als gemeinsame Verantwortliche müssten die Betreiber und Meta Platforms zusammen sicherstellen, dass die Nutzer der Fanpages über die Verarbeitung ihrer Daten beim Aufruf solcher Fanpages informiert sind. Dafür wäre wie schon beschrieben eine Vereinbarung nach Art. 26 DSGVO erforderlich. Das Addendum von Meta Platforms erfüllt aber die Anforderungen der DSGVO nicht.

 

Fazit

Die von der Datenschutzkonferenz beschlossenen FAQ stellen zumindest Anhaltspunkte für öffentliche Stellen oder Unternehmen dar, an denen sie sich orientieren können, um gegebenenfalls auf eine notwendige Datenschutzkonformität hinzuwirken. Zunächst liegt der Fokus im Hinblick auf das datenschutzkonforme Betreiben von Facebook-Fanpages auf öffentlichen Stellen, jedoch werden in Zukunft sicher auch Fanpages von Unternehmen oder anderen nichtöffentlichen Stellen überprüft werden. Deswegen ist es auf jeden Fall empfehlenswert sich mit der Thematik frühzeitig auseinanderzusetzen, um etwaigen Bußgeldern oder Sanktionen zu entgehen. Die FAQ sind definitiv ein Anfang in Richtung Klarheit, aber dennoch fehlt es noch an tatsächlichem Handeln. Wer weiterhin eine Facebook-Fanpage betreiben möchte, obwohl dies derzeit nicht datenschutzkonform möglich ist, muss sich der Gefahr ausgesetzt sehen, im schlimmsten Fall mit Sanktionen belegt zu werden.

 

 
 
 

 

 

 

Immer noch herrscht oftmals Unsicherheit darüber, unter welchen Voraussetzungen der Betriebsrat die Übermittlung von Daten über Arbeitnehmer von dem Arbeitgeber verlangen darf. Insbesondere stellen sich bei der Übermittlung sensibler Daten ohne vorherige Einwilligung seitens der Beschäftigten besondere Probleme. In einem solchen Fall musste nun das Landesarbeitsgericht Baden-Württemberg in zweiter Instanz entscheiden (Beschluss vom 20.05. 2022 – 12 TaBV 4/21). In dem Beschluss ging es zum einen um die Erforderlichkeit der Übermittlung der Anzahl und Namen von schwerbehinderten/diesen gleichgestellten Menschen an den Betriebsrat im Rahmen von § 80 Abs. 2 S. 1 BetrVG sowie um die Reichweite der zu gewährenden Datensicherheit durch den Betriebsrat bei sensitiven Daten im Sinne des § 26 Abs. 3 BDSG, Art. 9 Abs. 1 DSGVO.

 

Das Wichtigste in Kürze

  • Zielt der Auskunftsanspruch des Betriebsrates auf die Übermittlung sog. sensitiver Daten im datenschutzrechtlichen Sinne ab, muss der Betriebsrat zur Wahrung der Interessen der von der Datenverarbeitung betroffenen Arbeitnehmer angemessene und spezifische Schutzmaßnahmen treffen.
  • Bei der Schwerbehinderung einer Person handelt es sich um eine besondere Kategorie personenbezogener Daten im Sinne des Artikels 9 Abs. 1 DSGVO in Verbindung mit § 26 Abs. 3 BDSG.
  • § 22 BDSG enthält entsprechend spezifische und angemessene Maßnahmen nur beispielhaft.
  • Die dem Betriebsrat zur Erfüllung von Gesetzes wegen zugewiesenen Aufgaben, hängen nicht von einer vorherigen Einwilligung der Arbeitnehmer ab und stehen nach betriebsverfassungsrechtlicher Konzeption nicht zu deren Disposition.

 

Sachverhalt

Der Betriebsrat begehrte von der Arbeitnehmerin die Mitteilung der Anzahl und Namen der im Betreib beschäftigten schwerbehinderten Menschen/diesen gleichgestellten Menschen. Zudem stritten sich die Beteiligten um einen Unterlassungsanspruch und in diesem Zusammenhang auch um die Androhung eines Ordnungsgeldes.

Die Arbeitgeberin ist eine Entsorgungsdienstleisterin, die durch mehere Betriebe verschiedene Dienstleistungen zur Entsorgung anbietet. Der andere Beteiligte ist der örtliche Betriebsrat in einem ihrer Betriebe. Dieser bat die Arbeitgeberin um Auskunft u¨ber alle im Unternehmen bescha¨ftigten schwerbehinderten Menschen und die U¨berlassung einer Kopie des Verzeichnisses mit der Auflistung aller bescha¨ftigten Schwerbehinderten bzw. ihnen gleichgestellten behinderten Menschen nach § 163 SGB IX. Das Verzeichnis entha¨lt unter anderem Vor- und Nachname, Geburtsdatum, Art der Ta¨tigkeit, die Angabe, ob Schwerbehinderung oder Gleichstellung vorliegt und den Grad der Behinderung. Die Arbeitgeberin lehnte dies aus datenschutzrechtlichen Bedenken ab. Sie wollte zunächst die Einwilligung zur Übermittlung der Daten gemäß Art. 6 Abs. 1 Satz 1 lit. a DSGVO der beschäftigten schwerbehinderten Menschen einholen, die sie jedoch nicht von allen schwerbehinderten/diesen gleichgestellten Beschäftigten erteilt bekam.

Daraufhin klagte der Betriebsrat vor dem Arbeitsgericht Karlsruhe (Beschluss vom 22.07.2021 – 8 BV 8/20) auf Übermittlung einer Kopie des gemäß § 163 Abs. 1 SGB IX zu führenden Verzeichnisses der im Betrieb beschäftigten Schwerbehinderten, den Schwerbehinderten gleichgestellten Menschen und sonstigen anrechnungsfähigen Personen. Die Arbeitgeberin wurde durch den Beschluss vom 22.07.2021 dazu verpflichtet, die Anzahl und Namen der schwerbehinderten Menschen beziehungsweise der gleichgestellten Menschen im Betrieb mitzuteilen. Zudem bejahte das Arbeitsgericht einen Unterlassungsanspruch aufgrund einer Behinderung der Betriebsratstätigkeit durch die Nichtmitteilung. Gegen diesen Beschluss legte die Arbeitgeberin Beschwerde ein, wobei das Landesarbeitsgericht Baden-Württemberg zu keinem anderen Ergebnis kam.

 

Auskunftsanspruch des Betriebsrates nach § 80 Abs. 2 BetrVG

Das LAG beschloss, dass dem Betriebsrat im vorliegenden Fall der geltend gemachte Anspruch aus § 80 Abs. 2 S. 1 BetrVG zusteht. Nach dieser Vorschrift hat der Arbeitgeber den Betriebsrat zur Durchführung seiner Aufgaben rechtzeitig und umfassend zu unterrichten. Voraussetzung dafür ist, dass eine Aufgabe des Betriebsrates gegeben ist und, dass die begehrte Information zur Wahrnehmung dieser Aufgabe erforderlich ist, was vom Betriebsrat darzulegen ist. Grundsätzlich sollen die Informations-, Einsichts- und Auskunftsrechte aus § 80 Abs. 2 BetrVG es dem Betriebsrat ermöglichen in eigener Verantwortung zu prüfen, ob sich Aufgaben im Sinne des Betriebsverfassungsgesetzes ergeben und er zu ihrer Wahrnehmung tätig werden muss. Hinsichtlich des Aufgabenbezuges verweist das LAG zunächst auf den § 80 Abs. 1 Nr. 1 BetrVG, wonach dem Betriebsrat die Aufgabe zukommt, die Durchführung der arbeitnehmerschützenden Vorschriften zu überwachen. Weiterhin nennt es insbesondere den § 80 Abs. 1 Nr. 4 BetrVG, wonach der Betriebsrat für die Förderung der Eingliederung schwerbehinderter Menschen zuständig ist. Diese Aufgaben können vom Betriebsrat nur auf Grundlage der für ihn erforderlichen Unterrichtung wahrgenommen werden. In diesem Zusammenhang betont das LAG auch, dass die dem Betriebsrat zur Erfüllung von Gesetzes wegen zugewiesenen Aufgaben nicht von einer vorherigen Einwilligung der Arbeitnehmer abhängen und nach betriebsverfassungsrechtlicher Konzeption nicht zu deren Disposition stehen.

Im vorliegenden Fall ergibt sich die notwendige Erforderlichkeit zunächst daraus, dass der Betriebsrat den konkreten Plan einer Wahl zur Schwerbehindertenvertretung darlegte. Die Möglichkeit der Wahl einer Schwerbehindertenvertretung setzt jedoch nach § 177 Abs. 1 S. 1 SGB IX voraus, dass fünf schwerbehinderte Menschen in dem Betrieb nicht nur vorrübergehend beschäftigt sind. Das Vorliegen dieser Voraussetzung kann jedoch nur geprüft werden, wenn der Betriebsrat Kenntnis über die Anzahl der schwerbehinderten Menschen im Betrieb hat.

Des Weiteren ist eine Erforderlichkeit der Auskunft aus § 80 Abs. 1 Nr. 4 BetrVG, § 176 SGB IX gegeben, worauf der Betriebsrat hier konkret abstellte. Wie schon ausgeführt, geht es um die Aufgabe des Betriebsrates die Eingliederung der schwerbehinderten Menschen im Betrieb zu fördern. Zur Wahrung dieser Aufgabe muss der Betriebsrat die Namen der Mitarbeiter kennen, um diese gegebenenfalls ansprechen und ihre Arbeitssituation bewerten zu können. Das LAG stellt klar, dass als milderes Mittel die Ansprache des Betriebsrates auf Eigeninitiative der Schwerbehinderten nicht in Frage kommt. Denn ansonsten würde die Aufgabe des Betriebsrates als überwachendes Organ verkannt und die Förderung der Eingliederung könnte nicht hundertprozentig garantiert werden, da unsicher ist, ob sich jeder Betroffene an den Betriebsrat wendet.

 

Sensitive Daten im Sinne von Art. 9 Abs. 1 DSGVO

Nach Art. 9 Abs. 1 DSGVO ist die Verarbeitung der dort benannten besonderen Kategorien von personenbezogenen Daten grundsa¨tzlich untersagt. Hierzu za¨hlen unter anderem auch Gesundheitsdaten. Gema¨ß der Legaldefinition des Art. 4 Nr. 15 DSGVO handelt es sich dabei um Daten, die sich auf die ko¨rperliche oder geistige Gesundheit einer natu¨rlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen u¨ber deren Gesundheitszustand hervorgehen. Da aus dem Umstand der Schwerbehinderung Informationen über den Gesundheitszustand einer Person hervorgehen, handelt es sich dabei um Gesundheitsdaten nach dieser Vorschrift. Diese personenbezogen Daten werden auch im Sinne des Art. 4 Nr. 1 und Nr. 2 DSGVO verarbeitet, da sowohl bei der elektronischen Zurverfügungstellung der Daten als auch bei einer händischen Übergabe Daten übermittelt werden. Das Verarbeitungsverbot in Art. 9 Abs. 1 DSGVO gilt allerdings nicht, wenn einer der Erlaubnistatbestände nach Art. 9 Abs. 2 DSGVO vorliegt. Im vorliegenden Fall ging es um den Erlaubnistatbestand des Art. 9 Abs. 2 lit. b DSGVO, der den Mitgliedstaaten die Möglichkeit gewährt, bestimmte Verarbeitungen von besonderen Kategorien personenbezogener Daten zu erlauben, wenn diese im Zusammenhang mit Rechten, die aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit oder des Sozialschutzes erwachsen, stehen. Der Gesetzgeber hat mit § 26 Abs. 3 S. 1 und S. 3 BDSG von dieser Öffnungsklausel Gebrauch gemacht. Dementsprechend müssen für die Verarbeitung besonderer personenbezogener Beschäftigtendaten die Voraussetzungen des § 26 Abs. 3 BDSG vorliegen. Demnach darf kein Grund zur Annahme bestehen, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung das entgegengesetzte Interesse überwiegt. Der Verweis in § 26 Abs. 3 S. 3 BDSG auf § 22 Abs. 2 BDSG stellt sicher, dass die Grundrechte der Betroffenen geschützt und deren Interessen gewahrt sind.

 

Notwendigkeit angemessener und spezifischer Schutzmaßnahmen § 26 Abs. 3, §22 Abs. 2 BDSG

Da der Auskunftsanspruch des Betriebsrates hier auf die Übermittlung sensitiver Daten abzielt, muss er zur Wahrung der Interessen der von der Datenverarbeitung betroffenen Arbeitnehmern angemessene und spezifische Schutzmaßnahmen treffen. Sind solche vorhanden, ist davon auszugehen, dass schutzwu¨rdige Interessen der Bescha¨ftigten der Datenverarbeitung nicht entgegenstehen. Fehlt es hieran, ist die Verarbeitung sensitiver Daten nicht zulässig. Hinsichtlich der angemessenen und spezifischen Schutzpflichten obliegt es dem Betriebsrat diese bei einem Auskunftsbegehren über sensitive Daten darzulegen. Dem Arbeitgeber ist es aufgrund der Unabhängigkeit des Betriebsrates als Strukturprinzip der Betriebsverfassung verwehrt diesem dahingehend Vorgaben zu machen. Nach Beschluss des LAG hat der Betriebsrat im vorliegenden Fall den Anforderungen durch sein ausreichendes Datenschutzkonzept Rechnung getragen. In der Sicherung des Betriebsbüros ist eine Zugangsbeschränkung im Sinne von § 22 Abs. 2 Nr. 5 BDSG zu sehen. Außerdem sind technische und organisatorische Maßnahmen nach § 22 Abs. 2 Nr. 1 BDSG vorgesehen. Weiterhin sieht das Datenschutzkonzept Löschvorgänge und Kontrollen vor. Unerheblich ist, dass der Betriebsrat nicht alle Maßnahmen in § 22 Abs. 2 BDSG erfüllt hat da diese nur als Regelungsbeispiele für Schutzvorkehrungen anzusehen sind.

 

Fazit

Der Beschluss des LAG zeigt, dass es für Betriebsräte von großer Bedeutung ist, angemessene und spezifische Schutzmaßnahmen darlegen zu können, damit ein Auskunftsbegehren über sensitive personenbezogene Daten nicht verwehrt werden kann. Falls sie diese Maßnahmen gegenüber dem Arbeitgeber nicht vorweisen können, kann dieser die Herausgabe der Daten verweigern. Arbeitgeber sollten sich daher ausführlich mit den dargelegten Maßnahmen beschäftigen, um sich bei einer möglicherweise unzulässigen Datenweitergabe nicht einem Sanktionsrisikos wegen eines Verstoßes gegen datenschutzrechtliche Vorschriften auszusetzen.

 

 
 
 

 

 

 

Heutzutage sind der Datenschutz einerseits und die IT-Sicherheit andererseits nicht mehr als Einheit wegzudenken. Insbesondere im Hinblick darauf, dass Cyberangriffe immer weiter zunehmen. Aus diesem Grund steigen auch die Anforderungen an die Sicherheit gegen solche Angriffe, beziehungsweise an die Fähigkeit Angriffe dieser Art abzuwehren oder zu verhindern. Auch vor dem Hintergrund, dass diese Angriffe nicht nur quantitativ zunehmen, sondern auch qualitativ, ist besondere Sicherheit geboten. Daher ist allein der Datenschutz nicht mehr ausreichend, eine effektive Sicherheit vor Gefahren zu gewähren. Wichtig sind zusätzliche, je nach Unternehmen angepasste, risikosenkende Maßnahmen. Solche weitergreifenden Maßnahmen gehen jedoch oftmals mit der Verarbeitung personenbezogener Daten einher, die einer rechtlichen Grundlage der Datenschutzgrundverordnung (DSGVO) bedürfen. Ein wichtiges Tool ist dabei die Speicherung von Server-Logfiles durch den Website-Betreiber.

 

Das Wichtigste in Kürze

  • Die Speicherung von Daten wie beispielsweise IP-Adressen, dem verwendeten Webbrowser sowie Betriebssystemen und des Zeitpunkts des Website-Besuchs dürfen gestützt auf das berechtigte Interesse des Website-Betreibers auch ohne Einwilligung des Website-Besuchers gespeichert werden.
  • Der Gesetzgeber gibt für die Speicherdauer keine Fristen vor.
  • Dynamische IP-Adressen gelten als personenbezogene Daten im Sinne der DSGVO.

 

Log-Files

Als Log-File wird eine Datei bezeichnet, in der Prozesse, die in einem Computer- oder Netzwerksystem ablaufen, protokolliert werden. Sie liefern wichtige Daten zur Analyse von Netzwerken oder Zugriffen auf einen Webserver oder einer Website. Logfiles enthalten Informationen wie beispielsweise die Zugriffszeit, die IP-Adresse, verwendeter Browser oder das verwendete Betriebssystem.

 

IP-Adressen als personenbezogene Daten im Sinne der DSGVO

IP-Adresse steht für „Internet-Protokoll-Adresse“. Sie stellt eine individuelle Adresse dar, die ein Gerät im Internet oder auf einem lokalen Netzwerk identifiziert. IP-Adressen sind das Erkennungsmerkmal, mit dem Informationen auf einem Netzwerk zwischen Geräten gesendet werden können. Sie enthalten Informationen zum Standort und machen Geräte zu Kommunikationszwecken zugänglich.

Anhand der IP-Adresse lässt sich ein Netzwerk oder ein einzelnes Gerät im Internet identifizieren. Dabei haben insbesondere Webseiten sogenannte feste oder statische IP-Adressen und sind somit immer eindeutig zu identifizieren. Dahingegen wird dem normalen Nutzer üblicherweise jedes Mal eine andere IP-Adresse zugewiesen, sobald er sich ins Internet einwählt. Diese bezeichnet man als dynamische IP-Adresse.

Bei jedem Aufruf einer Webseite über einen Browser wird die IP-Adresse des Nutzers, also dessen Netzwerkadresse, an die aufgerufene Webseite übertragen. Damit geht auch einher, dass jeder Provider die dynamische Adresse eines Users so lange speichern muss, wie von seiner Seite aus entsprechende Informationen an diesen ausgeliefert werden.

Aus diesen Gründen stellt sich auch die Frage, wie es sich datenschutzrechtlich mit IP-Adressen und deren Speicherung verhält. Dies hat der EuGH im Jahr 2017 entschieden, nachdem der BGH eine Frage im Wege des Vorabentscheidungsverfahrens stellte. In dieser Entscheidung stellte der EuGH fest, dass dynamische IP-Adressen personenbezogene Daten sein können. Er vertritt die Auffassung, dass dynamische IP-Adressen dann personenbezogen seien, wenn der Betreiber konkret über die entsprechenden rechtlichen Mittel verfüge, um den Nutzer hinter der Adresse zu bestimmen.

Ein Webseitenbetreiber verfügt schon dann über entsprechende rechtliche Mittel, wenn er etwa für den Fall einer kriminellen Cyberattacke auf seine Seite zusammen mit den Strafverfolgungsbehörden die User hinter den entsprechenden IP-Adressen identifizieren könne. Der Bundesgerichtshof hat die Betrachtungsweise des EuGH übernommen, sodass sich daraus ergibt, dass dynamische IP-Adressen grundsätzlich personenbezogen Daten sind, weil der Seitenbetreiber regelmäßig mit Hilfe anderer Behörden den Nutzer bestimmen kann.

Weil IP-Adressen dementsprechend personenbezogene Daten sind, ist der Aufruf einer Webseite immer ein DSGVO-relevanter Vorgang. Die Entscheidungen des EuGH und BGH sind zwar noch vor Inkrafttreten der DSGVO gefallen, jedoch bleibt es dabei, dass dynamische IP-Adressen einen Personenbezug haben.

Dies bekräftigt auch die Aufnahme der IP-Adresse als solche in Erwägungsgrund 30 DSGVO. Erwägungsgrund 30 DSGVO weist nämlich darauf hin, dass natürliche Personen unter Umständen eben genau solchen IP-Adressen zugeordnet werden. Das könne dann wiederum dazu führen, dass die eingehenden Informationen beim Server zur Identifikation oder Erstellung von Profilen der natürlichen Personen benutzt werden können.

 

Speicherung von Log-Files zur Gefahrenabwehr

Um Sicherheit zu gewährleisten, insbesondere im Hinblick auf mögliche Angriffe, können Daten wie unter anderem die IP-Adresse, Datum und Uhrzeit der Anforderung, verwendeter Webbrowser sowie Betriebssystem gespeichert werden, ohne sich dafür auf die Einwilligung stützen zu müssen.

Eine solche Speicherung könnte demnach auf Art. 6 Abs. 1 S. 1 lit. f) DSGVO gestützt werden. Dieser besagt, dass eine Verarbeitung personenbezogener Daten nur rechtmäßig ist, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Aus diesem Wortlaut wird ersichtlich, dass zur Anwendung der Bestimmung eine genaue Abwägung der berechtigten Interessen des Verantwortlichen oder eines Dritten gegenüber den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person zu erfolgen hat.

Diese Interessenabwägung muss im Einzelfall geschehen – und darf nicht pauschal vorgenommen werden. Die Interessen der betroffenen Person dürfen dabei nicht überwiegen. Das bedeutet auch, dass die berechtigten Interessen des Verantwortlichen oder eines Dritten, den Interessen der betroffenen Person überwiegen oder zumindest gleichgewichtet sein müssen.

Das berechtigte Interesse des Unternehmens kann im Hinblick auf die Vorsorge, einem Angriff nicht zum Opfer zu fallen, bejaht werden. Dadurch werden auch gleichzeitig Interessen und Rechte Dritter geschützt. Daher kommt man im Zuge einer Interessenabwägung nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO zu dem Ergebnis, dass eine solche Speicherung datenschutzkonform sein muss.

Wichtig ist jedoch hinsichtlich Art. 5 Abs. 1 lit. b) DSGVO zu erwähnen, dass die erhobenen Daten ausschließlich zum Zweck der präventiven Gefahrenabwehr gespeichert und verwendet werden dürfen. Denn Art. 5 Abs. 1 lit. b) DSGVO legt fest, dass personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden müssen und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise verarbeitet werden dürfen. Das bedeutet, dass jegliche Verarbeitung, die über den Zweck der Gefahrenabwehr hinausginge, nicht datenschutzkonform ist.

 

Vertretbare Speicherdauer von Websiten-Logfiles

Fraglich bleibt ebenso, wie lange Logfiles gespeichert werden dürfen, da sich eine entsprechende Speicherfrist in keinem Gesetz finden lässt. Man war sich grundsätzlich darüber einig, dass die Speicherdauer sieben Tage beträgt – außer bei Unternehmen, die als kritische Strukturen einzuordnen sind. Da jedoch die Cyberangriffe sowohl quantitativ als auch qualitativ immer weiter zunehmen, ist zu überlegen, ob die Speicherdauer von sieben Tagen nicht zu kurz bemessen ist. Denn durch eine längere Speicherdauer wäre auch die Gefahrenabwehr deutlich effizienter.

Jedoch kann man sagen, dass die Daten nicht so lange gespeichert werden dürfen, als sie für die Erreichung des Zwecks ihrer Erhebung nicht mehr erforderlich sind. Dies wäre dann beispielsweise bei der Erfassung der Daten zur Bereitstellung der Website, wenn die jeweilige Sitzung beendet ist. Es bleibt abzuwarten, ob dies noch näher durch den Gesetzgeber oder die Gerichte konkretisiert wird.

 

Ausblick

Es wird deutlich, dass die Speicherung von Server-Logfiles durch Website-Betreiber ein notwendiges und erforderliches Mittel darstellt, um die Gefahrenabwehr bei möglichen Cyberangriffen zu erleichtern.

Da dabei insbesondere die IP-Adresse einen datenschutzrechtlich relevanten Personenbezug aufweist, bedarf es bei der Speicherung oder sonstiger Verarbeitung über den Nutzungsvorgang hinaus einer Rechtsgrundlage nach der DSGVO.

Grundlage dafür ist Art. 6 Abs. 1 S. 1 lit. f) DSGVO, bei dem das berechtigte Indessen des Verantwortlichen erforderlich ist. Ein berechtigtes Interesse an einer Speicherung der IP-Adresse über einen geringen Zeitraum hinweg kann sich zum Beispiel für den Fall einer möglichen Cyber-Attacke und eine entsprechende Strafverfolgung ergeben. Denn nur durch Speicherung der IP-Adresse kann mithilfe der Zusatzinformationen des Providers die Person identifiziert und angezeigt werden.

Grundsätzlich ist davon auszugehen, dass jeder Seitenbetreiber im Kampf gegen entsprechende kriminelle Attacken mithilfe der Strafverfolgungsbehörden über die rechtlichen Mittel verfügen können muss, um den Nutzer hinter einer IP-Adresse zu bestimmen. Daher bedarf es großer Vorsicht durch die Unternehmen den Datenschutz nicht außer Acht zu lassen, denn jegliche Verarbeitung, die über den Zweck der Gefahrenabwehr hinausginge, wäre nicht mehr datenschutzkonform. Das Risiko einer unzulässigen Speicherung personenbezogener Daten ist jederzeit gegeben. Ob es Konkretisierungen hinsichtlich der Dauer der Speicherung geben wird, bleibt abzuwarten.

 

 
 
 

 

 

 

Bisher ist die Bußgeldbemessung bei Verstößen gegen die DSGVO sehr uneinheitlich. Die verschiedenen Gerichte der verschiedenen Bundesländer (oder der verschiedenen EU-Mitgliedstaaten) sind von unterschiedlichen Methoden zur Bußgeldbemessung ausgegangen. Neue Leitlinien sollen dies in Zukunft verhindern.

Die Datenschutzbehörden der Europäischen Union haben durch das gemeinsame Abstimmungsgremium des Europäischen Datenschutzausschusses (EDSA) am 12. Mai 2022 ein neues Bußgeldmodell beschlossen, wodurch die Bußgeldbemessung auch vereinheitlicht werden soll. Dieses findet sich in den Leitlinien 04/2022 zur Berechnung von Bußgeldern nach der DSGVO und steht momentan zur Konsultation offen. Die Leitlinien für den Einsatz der Gesichtserkennungstechnologie im Bereich der Strafverfolgung sollen den EU- und nationalen Gesetzgebern sowie Strafverfolgungsbehörden eine Orientierungshilfe bei der Einführung und Nutzung von Gesichtserkennungstechnologien bieten.

 

Das neue Modell im Überblick

Dabei wird die neue Methode zur Bußgeldbemessung in fünf Schritten untergliedert.

Im ersten Schritt ist die konkrete Verarbeitung zu ermitteln, so dass Art. 83 Abs. 3 DSGVO angewendet werden kann. Es wird bestimmt, welche Verhaltensweise bzw. welcher Datenschutzverstoß dem Bußgeld zugrunde zu legen ist. Festzustellen ist, ob eine oder mehrere Handlungen zu sanktionieren sind. Genauere Anweisungen zum Vorgehen finden sich in Kapitel 3 der Leitlinien.

Danach wird der jeweils anzuwendende Bußgeldrahmen festgelegt. Dies erfolgt mittels einer Einstufung des Verstoßes anhand von Art. 83 Abs. 4 bis 6 DSGVO. Hier ist die Obergrenze für die Bemessung des Bußgeldes zu wählen. Alternativ ist von 10 Mio. Euro oder 2 % des Jahresumsatzes oder von 20 Mio. Euro und 4 % des Jahresumsatzes auszugehen.
Außerdem ist die Art des Verstoßes nach Art. 83 Abs. 2 lit. a), lit. b) sowie lit. g) DSGVO zu berücksichtigen. Insbesondere sind hier Art, Schwere sowie Dauer des Verstoßes, Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes und die Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind, in Betracht zu ziehen.
Zudem dient der Konzernumsatz als Grundlage für ein wirksames, verhältnismäßiges und abschreckendes Bußgeld. Bei kleinen und mittleren Unternehmen wird den Aufsichtsbehörden empfohlen, den Grundbetrag deutlich zu reduzieren. Nähere Angaben enthält Kapitel 4 der Leitlinien.

Im dritten Schritt sind mildernde oder verschärfende Umstände zu bewerten, welche dem gegenwärtigen Verhalten des für die Verarbeitung Verantwortlichen bzw. dem Auftragsverarbeiter zuzurechnen sind. Dementsprechend kann das Bußgeld erhöht oder herabgesetzt werden.
Als mildernd gelten alle Maßnahmen zur Schadensbegrenzung für die betroffenen Personen. Entsprechend sind Maßnahmen, welche vor dem Einschreiten der Behörden ergriffen wurden, höher zu gewichten. Aber auch Maßnahmen nach Kenntnis der Behörden können mildernde Wirkung haben, weil es letztlich auf den Schutz der Betroffenen und der Abstellung des Verstoßes ankommt. Ebenso abmildernd kann die eigenständige Meldung des Vorfalls an die Behörde sein und damit noch vor Bekanntwerden durch entsprechende Beschwerden von Betroffenen.
Wenn der Verantwortliche in der Vergangenheit bereits Datenschutzverstöße begangen hat, ist dies als erschwerender Umstand zu werten. Weitere Details können Kapitel 5 der Leitlinie entnommen werden.

Darauf aufbauend sind die zu beachtenden gesetzlichen Höchstbeträge zu bestimmen. Diese dürfen bei sämtlichen Schritten der Bußgeldbemessung nicht überschritten werden. Einerseits kommen die statischen Grenzen von 10 bzw. 20 Mio. Euro in Betracht. Andererseits kämen die dynamischen Grenzen von 2 % oder 4 % des Jahresumsatzes in Frage. Nach dem Wortlaut des Art. 83 Abs. 4 und Abs. 5 ist der jeweils höhere Betrag als Bemessungsgrundlage heranzuziehen.
Rein rechnerisch kommt die dynamische Grenze ab einem Gesamtjahresumsatz von 500 Mio. Euro zum Tragen. Einzelheiten dazu und zum Unternehmensbegriff (entspricht dem Unternehmensbegriff aus Art. 101 und 102 AEUV) finden sich im Kapitel 6 der Leitlinie.

Im fünften und letzten Schritt ist zu ermitteln, ob das errechnete Bußgeld nach Art. 83 Abs. 1 DSGVO wirksam, verhältnismäßig und abschreckend ist. Die Bemessung kann in diesem Schritt nachjustiert werden. Konkretere Angaben sind in Kapitel 7 der Leitlinie nachzulesen.

 

Vorläufige Einschätzung der neuen Berechnungsmethode

In der Praxis stimmen sich viele Experten darauf ein, dass die Anwendung der neuen EDSA-Methode zu einer spürbaren Erhöhung der Bußgelder führen wird – gemessen am bisherigen Durchschnittswert. Dabei kommt es allerdings entscheidend darauf an, ob die neue Leitlinie zur Bußgeldbemessung konsequent von den einzelnen Behörden angewendet wird.
So sind große und umsatzstarke Unternehmen von den neuen Vorschriften der EDSA besonders betroffen. Andererseits wird die Vereinheitlichung der Bußgeldbemessung auch in EU-Mitgliedsstaaten, welche bisher gemäßigte Strafzahlungen eingefordert haben, zu einer spürbaren Korrektur der Bußgeldrahmen nach oben führen. Diese Entwicklung wird den Kritikern der restriktiven Handhabung von Bußgeldern durch verschiedenen Behörden oder Gerichten entgegen kommen.

 

Bußgeldbemessung ist dem Einzelfall anzupassen

Die EDSA gesteht den jeweiligen Behörden dennoch einen Ermessensspielraum, so dass es bei der Bußgeldbemessung stets auf den konkreten Einzelfall ankommt – solang der per Gesetz festgelegte Höchstrahmen nicht überschritten wird. Mit der neuen Leitlinie wird eine Vereinheitlichung der Ausgangslage und der Berechnungsmethode angestrebt. Das Ergebnis soll jedoch stark individualisiert bleiben können. Die Erstellung einer pauschal anzuwendenden Formel ist nicht möglich und kann von der EDSA daher nicht erwartet werden.

 

Folgen der Verabschiedung des neuen Papiers

Bußgeldkonzept als Vorläufer

Die Datenschutzkonferenz (DSK) hatte als Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden ein eigenes Bußgeld-Konzept erlassen. Die neue Bußgeldrichtlinie der EDSA erinnert an das Konzept der unabhängigen Datenschutzbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen („Bußgeldkonzept“) aus dem Jahr 2019. Dieses Konzept betrifft die Bußgeldzumessung in Verfahren gegen Unternehmen im Anwendungsbereich der DSGVO. Das Bußgeldkonzept ist auch in fünf Schritte eingeteilt. Zunächst wird das betroffene Unternehmen einer Größenklasse zugeordnet. Danach wird der mittlere Jahresumsatz der jeweiligen Untergruppe der Größenklasse bestimmt. Im dritten Schritt wird ein wirtschaftlicher Grundwert ermittelt. Dieser Grundwert wird dann im vierten Schritt mittels eines von der Schwere der Tatumstände abhängigen Faktors multipliziert. Der im letzteren Schritt ermittelte Wert wird dann anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände angepasst. Auch dieses Verfahren garantiert eine nachvollziehbare, transparente und einzelfallgerechte Bemessung von Bußgeldern. Wie auch nun die neue Methode der Bußgeldbemessung seitens der EDSA, ist auch das Bußgeldkonzept in fünf Schritte gegliedert, um die Höhe der Bußgelder bei Verstößen gegen die DSGVO zu bemessen.

 

Folgen

Das Bußgeldkonzept wird nun aber von der Bußgeldrichtlinie der EDSA verdrängt. Erwartungsgemäß wird eine Vereinheitlichung der Bußgeldverhängung durch die europäischen Behörden eintreten. Auf diese Weise werden Sachverhalte, welche dem Grunde nach ähnlich zu bewerten wären, nicht unterschiedlich hinsichtlich der Höhe des Bußgeldes bewertet. Betroffene Unternehmen können ebenso durch die Leitlinien in gewisser Weise abschätzen, was im Worst Case auf sie zukommen könnte. Zumindest bieten die Leitlinien eine gewisse Orientierung. Insbesondere für Unternehmen, die grenzüberschreitend tätig sind, tragen die Leitlinien zu einer erhöhter Transparenz bei.

 

Leitlinien für den Einsatz der Gesichtserkennungstechnologie

Durch moderne und neue Technologien werden zwar enorme Vorteile für die Strafverfolgung geschaffen, wie insbesondere eine rasche Identifizierung von Verdächtigen schwerer Straftaten. Doch müssen diese Technologien bei ihrem Einsatz den Anforderungen der Notwendigkeit und Verhältnismäßigkeit genüge tragen. Dadurch, dass vor allem die Gesichtserkennungstechnologie mit der Verarbeitung personenbezogener Daten, einschließlich biometrischer Daten verbunden ist, birgt dies ernsthafte Risiken für die Rechte und Freiheiten des Einzelnen.
Die Instrumente der Gesichtserkennung sollen jedoch nur in Übereinstimmung mit der Strafverfolgungsrichtlinie (LED) eingesetzt werden und soweit sie notwendig und verhältnismäßig sind. Insbesondere gelten in bestimmten Fällen Verbote des Einsatzes von Gesichtserkennungstechnologien, wie beispielsweise die biometrische Fernidentifizierung von Personen im öffentlichen Raum oder Gesichtserkennungssysteme, die Personen auf der Grundlage ihrer biometrischen Daten in Gruppen nach ethnischer Zugehörigkeit, Geschlecht, politischer oder sexueller Orientierung oder anderen Diskriminierungsgründen einteilen. Denn solche würden eine erhebliche Beeinträchtigung von Grundrechten und Grundfreiheiten Einzelner bedeuten.

 

Ausblick

Als Geschäftsführer von Unternehmen sollten Sie bezüglich der neuen Sachlage informiert und sensibilisiert sein. Denn die im Raum stehenden – unter Umständen deutlich erhöhten – Bußgelder können Sie und Ihr Unternehmen empfindlich treffen. Insofern ist die Kenntnis der neuen EDSA-Bußgeldrichtline für eine richtige Risikobewertung essenziell. Es bleibt abzuwarten, ob die Richtlinie noch angepasst wird oder unverändert bleibt. Momentan haben Unternehmen oder Interessierte die Möglichkeit, Anmerkungen sowohl hinsichtlich der Richtlinie zu den Bußgeldern als auch zu der Richtlinie zum Einsatz der Gesichtserkennungstechnologie einzureichen.
Schützen Sie sich und Ihr Unternehmen, indem Sie stets die Weiterentwicklung des bestehenden Datenschutzmanagements vorantreiben und immer auf dem neuesten Stand bleiben. Für die erfolgreiche Umsetzung helfen wir Ihnen stets mit konkreten Handlungsempfehlungen.

 

 
 
 

 

 

 

Das LG Köln hat in seinem Urteil vom 18. Mai 2022 (Az. 28 O 328/21) entschieden, dass ein Unternehmen gegen Art. 32 und Art. 5 DSGVO verstößt, wenn es nach Beendigung der Zusammenarbeit mit einem IT-Dienstleister nicht die diesem überlassenen Zugangsdaten zu seinen IT-Systemen austauscht. Das Unternehmen wird dadurch schadensersatzpflichtig nach Art. 82 DSGVO, wobei dafür auch Mitursächlichkeit ausreichend ist.

 

Das Wichtigste in Kürze

  • Für einen Schadensersatzanspruch aus Art. 82 DSGVO genügt es, wenn dieses Versäumnis für einen unberechtigten Zugriff auf Nutzerdaten mitursächlich war.
  • Der Verantwortliche darf sich insbesondere beim Zugang zu sensiblen Daten nicht darauf verlassen, dass der ehemalige Dienstleister die Zugangsdaten von sich aus löschen wird.
  • Ein Verstoß gegen Art. 32 und Art. 5 DSGVO liegt vor, wenn ein Unternehmen nach der Beendigung der Zusammenarbeit mit einem IT-Dienstleister nicht die diesem überlassenen Zugangsdaten zu seinen IT-Systemen austauscht.

 

Sachverhalt

Der Kläger begehrte von der Beklagten, ein Unternehmen für Wertpapierdienstleistungen, Schadensersatz in Höhe von EUR 5.001,00, zzgl. Zinsen in Höhe von fünf Prozentpunkten über dem jeweils geltenden Basiszinssatz seit Rechtshängigkeit wegen Verstoßes gegen die Datenschutz-Grundverordnung (DSGVO). Der Kläger war Kunde bei der Beklagten und wurde darüber informiert, dass der Schutz seiner personenbezogenen Daten durch einen unrechtmäßigen Zugriff verletzt worden ist. Dies geschah durch einen Hacker-Angriff mittels Zugangsdaten, die infolge dessen von einem IT-Dienstleister, mit welchem die Beklagte bis 2015 in einer Vertragsbeziehung stand, erlangt worden sind. Es fand weder eine Änderung der Zugangsdaten nach Beendigung der Vertragsbeziehung noch die Überprüfung einer Löschung seitens der Beklagten statt.

Die Beklagte wurde verurteilt, dem Kläger 1.200 Euro zzgl. Zinsen in Höhe von fünf Prozentpunkten über dem jeweils geltenden Basiszinssatz seit Rechtshängigkeit zu zahlen.

 

Verstoß gegen die DSGVO wegen Versäumnis der Änderung von Zugangsdaten

Mit Art. 32 DSGVO wurde eines der grundlegenden Prinzipien des Datenschutzrechts normiert, die Datensicherheit. Danach haben der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Nach Erwägungsgrund 83 S. 1 ist es Zweck der Umsetzung solcher Maßnahmen, die Sicherheit personenbezogener Daten aufrechtzuhalten und gegen eine gegen die DSGVO verstoßende Verarbeitung vorzubeugen. Jedoch ist das Ziel von Art. 32 DSGVO nicht allein der Schutz von Daten an sich, sondern die Sicherheit der Verarbeitung. Art. 32 DSGVO gibt den Verpflichteten die regulatorischen Leitplanken für die Umsetzung entsprechender Maßnahmen vor. Auf eine strikte Vorgabe von Maßnahmen wird mit Blick auf die gewünschte Technikneutralität und Entwicklungsoffenheit der DSGVO verzichtet.

Das LG Köln nahm auch hier einen Verstoß an, da die Beklagte die Zugangsdaten, die sie dem IT-Dienstleister zur Verfügung stellte, nach Ende der Vertragsbeziehung nicht änderte. Damit hat sie gegen die Verpflichtungen aus Art. 32 DSGVO verstoßen. Bei der Beurteilung des angemessenen Schutzniveaus sind die Risiken zu berücksichtigen, die mit der jeweiligen Verarbeitung verbunden sind. Umstände, aus denen sich ein solches Risiko ergeben kann, sind in Art. 32 Abs. 2 DSGVO konkretisiert. Dieser nennt Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von bzw. unbefugten Zugang zu personenbezogenen Daten. Diese Formen der Beeinträchtigung der personenbezogenen Daten können unbeabsichtigt oder unrechtmäßig eintreten. Sowohl die Offenlegung als auch der Zugang zu den personenbezogenen Daten muss unbefugt erfolgen. Maßgeblich ist die Berechtigung des Verantwortlichen, die personenbezogenen Daten an einen Dritten zu übermitteln.

Fraglich ist jedoch, ob es nur auf die fehlende datenschutzrechtliche Befugnis ankommt oder darüber hinaus die Einhaltung weiterer Vertraulichkeitspflichten in Bezug auf die personenbezogenen Daten zu berücksichtigen ist. Im Hinblick auf die Zielsetzung der DSGVO ist wohl allein auf die datenschutzrechtliche Befugnis abzustellen. Ein Verstoß gegen Art. 32 DSGVO löst, wie auch das LG Köln entschieden hat, einen Schadensersatzanspruch nach Art. 82 DSGVO aus, sofern bei dem Betroffenen ein materieller oder immaterieller Schaden entstanden ist. Maßgeblich für die Pflichtverletzung ist die mangelnde Gewährleistung der Sicherheit der Datenverarbeitung. Diese wird immer anzunehmen sein, wenn gar keine technischen und organisatorischen Sicherheitsmaßnahmen umgesetzt werden. Sie kann aber auch anzunehmen sein, wenn die getroffenen Maßnahmen als nicht ausreichend eingestuft werden.

Art. 5 Abs. 1 lit. f) DSGVO beschreibt den Grundsatz der Integrität und Vertraulichkeit. Dabei beschreibt Integrität den Schutz der Unversehrtheit der Daten. Vertraulichkeit zielt auf den Schutz der Daten vor unbefugter Kenntnisnahme und somit vor unbefugter Verarbeitung ab. Nach Art. 5 Abs. 1 lit. f) DSGVO müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Dazu gehört beispielsweise, dass unbefugte Personen weder Zugang zu den Daten, noch zu den Geräten haben, mit denen sie verarbeitet werden.

Weiterhin ist auch der Schutz vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen zu gewähren. Welche Maßnahmen zum Schutz ergriffen werden müssen, hängt besonders vom Risiko eines unberechtigten Zugriffs, der Art der Verarbeitung sowie der Bedeutung der Daten für die Rechte und Interessen der betroffenen Personen ab. Dementsprechend nahm das LG Köln einen Verstoß gegen diese Vorgaben an, da die Zugangsdaten, die dem IT-Dienstleister zur Verfügung gestellt wurden, nach der Beendigung der vertraglichen Beziehung zu der Vertragspartnerin über mehrere Jahre nicht verändert wurden.

Damit wurde das Risiko geschaffen, dass die Daten der Betroffenen nicht nur im Falle von ihr selbst zu verantwortender Unzulänglichkeiten vorsätzlich oder fahrlässig einem Missbrauch ausgesetzt waren, sondern auch durch Schwachstellen des IT-Dienstleisters eine dahingehende Gefährdung bestand. Das beklagte Unternehmen kann sich daher auch nicht darauf berufen, dass es davon ausgehen konnte, dass die Daten durch den IT-Dienstleister gelöscht wurden. Eine Überprüfung dessen wäre jedenfalls notwendig gewesen, welche jedoch nicht stattgefunden hat.

 

Schadensersatz nach Art. 82 DSGVO auch für immaterielle Schäden

Gemäß Art. 82 Abs. 1 DSGVO können auch immaterielle Schäden geltend gemacht werden. Denn nach Art. 82 Abs. 1 DSGVO hat jede Person bei einem Verstoß gegen die DSGVO, durch die sie einen materiellen oder immateriellen Schaden erleidet, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter, vorausgesetzt es liegt ein Verstoß gegen die DSGVO vor, es ist ein materieller oder immaterieller Schaden entstanden und der Verantwortliche oder der Auftragsverarbeiter hat dies zu verschulden.

Die Erwägungsgründe 75 und 85 der DSGVO nennen einiger solcher „physischen, materiellen oder immateriellen Schäden“. Weiterhin muss nach Erwägungsgrund 146 DSGVO der Begriff des Schadens „im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht“, wobei die „betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten sollen“. Maßgeblich soll insbesondere durch die Höhe des Schadensersatzes eine abschreckende Wirkung erzielt werden.

Zur Bemessung der Höhe können Kriterien des Art. 83 Abs. 2 DSGVO herangezogen werden, wie die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung. Dem Gericht obliegt dabei die genaue Ermittlung nach § 287 ZPO. Bei der nach § 287 ZPO vorzunehmenden Schätzung des Schadens ist die Mitursächlichkeit des Versäumnisses durch die Beklagte mit einzubeziehen.

 

Ausblick

Zunehmend ist erkennbar, dass sich Gerichtsentscheidungen hinsichtlich Verstößen von Unternehmen gegen die DSGVO häufen. Immer mehr Betroffene machen Schadensersatzansprüche gegen Unternehmen geltend. Für Unternehmen birgt das die Gefahr sich hoher Schadensersatzbeträgen auszusetzen. Insbesondere, wie auch in diesem Urteil des LG Köln, wenn ein großer Kreis an Anspruchsberechtigte existiert. Bei der Beklagten seien mitunter 33.200 Kunden betroffen gewesen. Dementsprechend wird es für Unternehmen von unerlässlicher Bedeutung, Verstöße gegen die DSGVO vorzubeugen. Denn das Haftungsrisiko nimmt in einer solchen Lage immer mehr zu. Das LG Köln hat in seinem Urteil klargestellt, dass ein Verstoß gegen Art. 32 und Art. 5 DSGVO vorliegt, wenn ein Unternehmen nach der Beendigung der Zusammenarbeit mit einem IT-Dienstleister nicht die diesem überlassenen Zugangsdaten zu seinen IT-Systemen austauscht oder verändert. Das Unternehmen kann sich auch nicht darauf berufen, dass es davon ausgegangen sei, dass der IT-Dienstleister diese Zugangsdaten löschen wird. Ebenso ist von großer Bedeutung in diesem Urteil, dass es für einen Schadensersatzanspruch nach Art. 82 DSGVO ausreicht, wenn Mitursächlichkeit vorliegt.

 

Call Now ButtonKontakt aufnehmen