Mehr Infos

Tracking und Datenschutz – Kein unauflösbarer Widerspruch

 
 
 

 

 

 

Um einen langfristigen Unternehmenserfolg zu erzielen und Kunden an das Unternehmen zu binden, ist es wichtig, die Interessen des bestehenden Kundenstamms, aber auch potenzieller Kunden und ihr Nutzerverhalten zu kennen. Hierzu greifen Betreiber von Webseiten oder Apps auf sogenanntes Web-Tracking zurück. Heutzutage gibt es kaum mehr einen Anbieter von Webdiensten, der keine Tracking- und Analyse-Tools zum Zwecke der Erfassung und Auswertung des Nutzungsverhaltens auf seiner Website oder in seiner App einsetzt. Denn Online-Tracking bietet den Betreibern vielfältige Möglichkeiten, um die eigene Website sowie das Angebot von Ware oder Dienstleistung gewinnbringender anzubieten und zu vermarkten. Das Web-Tracking ist unerlässliches Instrument der Erfolgskontrolle und der Prozessoptimierung im digitalen Bereich. Heutzutage gibt es zahlreiche Möglichkeiten, Nutzer zu tracken. Da dies für die Nutzer wiederum aber häufig nicht bzw. nur sehr schwer nachvollziehbar ist und ihre Daten in großem Umfang verarbeitet werden, besteht ein scheinbar unüberwindbarer Widerspruch zwischen Tracking und Datenschutz. Unternehmen haben ein nachvollziehbares Interesse daran das Nutzerverhalten zu tracken, gleichzeitig müssen dabei aber natürlich die Grenzen des Datenschutzes beachtet werden.

 

Das Wichtigste in Kürze

  • Unter Tracking versteht man die Beobachtung, Nachverfolgung und die Auswertung des Verhaltens von Website- oder App-Nutzern.
  • Web-Tracking-Methoden sind für Unternehmen wichtig, um effektiv und gewinnbringend werben zu können.
  • Grundlage des Web-Trackings ist die Verarbeitung personenbezogenen Daten der Internetnutzer.
  • In der Regel ist dafür eine datenschutzkonforme Nutzereinwilligung erforderlich.

 

Was versteht man unter Tracking?

Unter Tracking versteht man die Beobachtung, Nachverfolgung und die Auswertung des Verhaltens von Website- oder App-Nutzern. Dabei können Analysedaten mithilfe verschiedenster Tracking-Tools sowohl live als auch im Anschluss in aufgezeichneter Form angesehen und ausgewertet werden. Sie treten in unterschiedlichsten Formen auf und enthalten Informationen über das Online-Verhalten von Website- oder App-Nutzern, wie beispielsweise den Standort, die Anzahl der Website- oder App-Aufrufe sowie die Dauer des Besuchs.

 

Welche Tracking-Methoden gibt es im Marketing-Bereich?

Im Bereich des Marketings existieren vielfältige Tracking-Methoden. Dabei ist der Einsatz einer bestimmten Tracking-Methode vom jeweiligen Analyseziel abhängig. Dieses kann beispielsweise in der Verbesserung der Benutzerfreundlichkeit der Internetseite oder der Erzielung einer Umsatzsteigerung bestehen.

 

Mention Tracking.

Mithilfe dem Mention-Tracking kann die Erwähnung einer Marke oder eines Unternehmens im Internet analysiert werden. Dies dient insbesondere dazu, den Erfolg von Marketing Kampagnen zu messen. Spezielle Tools durchsuchen dabei das Internet nach bestimmten Begriffen. Ziel dieser Tracking-Methode ist es, über einen bestimmten Zeitraum konkrete Ergebnisse für eine Werbemaßnahme zu erhalten.

 

Event Tracking.

Durch das Event Tracking werden bestimmte Interaktionen auf einer Website oder einer App analysiert. Darunter fallen beispielsweise Downloadzahlen oder Klicks. Event Tracking dient dazu, dass sich dadurch ein Gesamtbild über das Nutzerverhalten gemacht werden kann.

 

Eye- oder Mouse-Tracking.

Darunter versteht man die Aufzeichnung der Interaktion eines Webseitenbesuchers. Mithilfe des Eye- bzw. Mouse-Tracking können Bewegungen, Klicks und Scrolling auf einer Webseite aufgezeichnet werden. Aus den aufgezeichneten Informationen kann dann abgeleitet werden, welche Bereiche der Webseite besonders aufmerksam betrachtet werden. Diese Methode wird vor allem dann eingesetzt, wenn die Nutzerfreundlichkeit einer Webseite untersucht werden soll.

 

E-Mail-Tracking.

Beim E-Mail-Tracking werden Informationen über den E-Mail-Empfänger gesammelt, indem beim Newsletter-Versand kleine Grafiken im HTML-Format integriert werden. Beim Öffnen der E-Mail wird die Grafik, die in der Regel die Größe eines Pixels hat, vom Server geladen und so das Abrufen der E-Mail-Nachricht dokumentiert.

 

Geo-Targeting.

Mithilfe vom Geo-Targeting können bestimmte Zielgruppen in einer Region angesprochen werden. Personenbezogene Daten wie die IP-Adresse oder GPS-Daten werden dann genutzt, um die jeweiligen Nutzer einer Region zuzuordnen und zu lokalisieren. Anwendung finden solche Tools in der Marktforschung oder auch bei Online-Shops, um die Nachfrage regional einzugrenzen und zu analysieren.

 

WLAN-Tracking.

Beim WLAN-Tracking können wichtige Informationen für das Marketing gewonnen werden.

Wenn sich eine Person in einem Geschäft aufhält und das WLAN des Handys aktiv ist, versucht das Handy ständig eine WLAN-Verbindung zu finden, um sich dann damit zu verbinden. Dies wird dann beim WLAN-Tracking registriert und ausgewertet. So kann man zum Beispiel Informationen darüber erhalten, wie viele Kunden sich im Geschäft aufhalten und wie ihre Bewegungen sind.

 

Welche Web-Tracking-Methoden gib es?

Web-Tracking ist für Unternehmen die wichtigste Methode, um das Nutzerverhalten zu verfolgen, um anhand der gewonnenen Erkenntnisse anschließend interessen- und zielgruppenspezifische Werbung schalten zu können. So können Marketing-Ziele schneller erreicht und der Geschäftserfolg nachhaltig gesichert werden. Die bekannteste aller Web-Tracking-Methoden ist das Cookie-Tracking. Jedoch gehen die aktuellen Möglichkeiten auf dem Gebiet des Web-Tracking weit über Cookies hinaus:

 

CNAME Cloaking.

Durch sog. CNAME Cloaking können Tracking- und Werbetreibende Werbe-Blocker (AdBlocker) umgehen, indem sie ihre Domains „tarnen“, um nicht in den sog. Host-Listen der Werbeblocker gelistet zu werden, sodass sie Nutzern trotz AdBlocker Werbung anzeigen können.

 

Cross Device-Tracking.

Cross Device Tracking ermöglicht Unternehmen eine geräteübergreifende Verfolgung ihrer Kunden. Ziel ist es, den Nutzer zu identifizieren, unabhängig davon, welches Gerät er für den Zugriff auf die jeweiligen Webdienste verwendet, um ihm anschließend seinen Interessen entsprechende Werbung anzeigen zu können.

 

Fingerprinting.

Das Fingerprinting erstellt anhand von auf den Endgeräten gespeicherten Informationen einen digitalen Fingerabdruck, sodass Nutzer wiedererkannt werden können. Auch mit diesem Tool wird bezweckt, dem Nutzer zielgerichtete Werbung anzuzeigen.

 

Common-IDs

Bei dieser Tracking-Methode muss der Nutzer einen Nutzeraccount anlegen, um auf bestimmte Webdienste zugreifen zu können. Dabei erhält jeder Nutzer eine eigene Identifizierungsnummer, um bei einem späteren Website-Besuch identifiziert und verfolgt werden zu können. Große Anbieter wie beispielsweise Google eröffnen anderen Website-Betreibern die Möglichkeit, dass sich Nutzer mit ihrem bereits vorhandenen Google-Account auf deren Website einloggen können.

 

App-Tracking.

Im Rahmen der Nutzung einer App kann das sogenannte App-Tracking eingesetzt werden, um sowohl das Nutzerverhalten von der Installation bis hin zu einer Löschung der App als auch die App-Performance zu messen.

 

Welche datenschutzrechtlichen Probleme ergeben sich beim Tracking?

Grundlage des Web-Trackings ist die Verarbeitung personenbezogener Daten von Internetnutzern, sodass Web-Tracking in einem engen – wenn gleich auch einem problematischen – Verhältnis zum Datenschutz steht. Insbesondere fordert die DSGVO hierfür eine Rechtsgrundlage. Als Rechtsgrundlage für die Verarbeitung personenbezogener Daten kommt vor allem die Einwilligung in Betracht.

 

Keine wirksame Nutzereinwilligung.

Der Nutzereinwilligung kommt im Rahmen des Tracking eine wichtige Rolle zu, da ihr Verhalten in der Regel in erheblichem Umfang aufgezeichnet werden soll. Dafür verlangt die DSGVO grundsätzlich eine freiwillige und informierte Einwilligung der betroffenen Nutzer. Wird keine Einwilligung erteilt, wirkt sich dies nachteilig auf den analysierbaren Datenbestand aus. Aus diesem Grund versuchen viele Werbetreibende, Nutzer durch unzureichende Erfüllung der Informationspflichten zur Einwilligung zu bewegen. Doch selbst wenn eine entsprechende Nutzereinwilligung erteilt wird, besteht dennoch die Gefahr, dass die Nutzer diese durch Ausübung ihres Widerrufsrechts zurücknehmen. Zur Vermeidung dieser Situation werden Nutzer oftmals gar nicht erst über ihr Widerrufsrecht informiert oder die Ausübung dieses Rechts in unzulässigerweise erschwert.

 

Unzureichende Anonymisierung.

Um den strengen Anforderungen der DSGVO auszuweichen, haben Website-Betreiber grundsätzlich die Möglichkeit, anonymisierte Nutzerprofile zu erstellen. Für die Erstellung eines anonymisierten Nutzerprofils dürfen nur solche Daten verwendet werden, die weder personenbezogen noch personenbeziehbar sind. Darunter fallen unter anderem Datum und Uhrzeit des Website-Besuchs oder die jeweils aufgerufene Datei. Dasselbe gilt für die IP-Adresse, die grundsätzlich ein personenbezogenes Datum darstellt, durch Kürzung und Abänderung jedoch anonymisiert werden kann. . Inwiefern der Personenbezug durch Verwendung einer ID aufgehoben werden kann ist umstritten. Dies ist insbesondere deswegen zweifelhaft, weil je nach Umfang der gesammelten Daten zum Verhalten einer Person eine Wahrscheinlichkeit dafür besteht, dass die hinter der ID stehende natürliche Person ohne verhältnismäßig großen Aufwand wieder identifiziert werden kann.

 

Berechtigtes Interesse des Werbetreibenden

Letztlich hat die DSK in ihrer „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ (Stand: März 2019) die Möglichkeit, Web-Tracking auf ein berechtigtes Interesse des Website-Betreibers gem. Art. 6 Abs. 1 lit. f) DSGVO zu stützen, nicht von vornherein ausgeschlossen. Mit dem Inkrafttreten des Telekommunikation-Telemedien-Datenschutzgesetztes am 01.12.2021 hat der Gesetzgeber jedoch klargestellt, dass Tracking-Maßnahmen, die mit der Speicherung von Daten oder dem Zugriff auf die Endeinrichtung des Endnutzers einhergehen nur auf Basis einer freiwilligen, informierten und ausdrücklichen Einwilligung des Nutzers durchgeführt werden dürfen.

 

Ausblick

Web-Tracking ist insbesondere im Marketing-Bereich nicht mehr wegzudenken, da die Beobachtung des Nutzerverhaltens eine wichtige Basis dafür bildet, Angebot und Nutzerfreundlichkeit von Diensten verbessern zu können. Wie einige aktuelle Bußgeldverfahren deutlich machen, gibt es im Hinblick auf den Einsatz von Tracking-Tools noch einige rechtlich nicht abschließend geklärte Problemfelder. Doch trotz der großen Bedeutung, die dem Schutz personenbezogener Daten und der Datensicherheit zukommt, muss nicht zwangsweise auf Tracking verzichtet werden. Dabei ist allerdings darauf zu achten, dass die Verarbeitung von Daten mit Personenbezug so gering wie möglich zu halten und vor allem im Vorfeld eine DSGVO-konforme Einwilligung der Nutzer einzuholen ist.

 

 
 
 

 

 

 

Seit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Jahr 2018 musste sich der Meta-Konzern (ehemals Facebook) mehrmals Untersuchungen der Datenschutzaufsichtsbehörden unterziehen, da sowohl Meta als auch die Tochterunternehmen immer wieder wegen Datenschutzverstößen auffallen. Die aufsichtsbehördlichen Untersuchungen führten nicht nur einmal zu einer empfindlichen Sanktion in Millionenhöhe. Nun hat die irische Datenschutzbehörde (DPC) bekannt gegeben, dass sie gegen Instagram (Meta Platforms Ireland Limited (im Folgenden: Meta IE)) ein Rekord-DSGVO-Bußgeld in Höhe von 405 Millionen Euro verhängt hat. Grund dafür sei ein fragwürdiger Umgang mit Daten minderjähriger Nutzer.

 

Das Wichtigste in Kürze

  • Die Entscheidung beruht auf einer bereits im Jahr 2020 initiierten Untersuchung, bei der es um die Angemessenheit der Einstellungen zu Instagram-Profilen und um die Verantwortung der Plattform bei der Wahrung der Datenschutzrechte von Kindern ging.
  • Andere Datenschutzbehörden hatten Einwände gegen den ursprünglichen Entscheidungsentwurf eines Bußgeldbescheids der DPC.
  • Der Europäische Datenschutzausschuss (EDSA) kam in einem Streitbeilegungsverfahren zu dem Schluss, dass Instagram personenbezogenen Daten von Kindern ohne Rechtsgrundlage und damit unrechtmäßig verarbeitete.
  • Die DPC wurde angewiesen, ihren Entscheidungsentwurf dahingehend zu ändern, dass in diesem auch die Verstöße gegen Art. 6 Abs. 1 DSGVO berücksichtigt werden.

 

Fehlerhafter Umgang mit personenbezogenen Daten Minderjähriger

Die Entscheidung der irischen Datenschutzbehörde folgte auf eine selbstinitiierte Untersuchung im Jahr 2020, bei der es um die Angemessenheit der Einstellungen bei Instagram-Profilen und um die Verantwortung der Plattform bei der Wahrung der Datenschutzrechte von Kindern als besonders schützenswerte Nutzergruppe ging. Konkret ging es dabei um den öffentlichen Zugang zu einer Vielzahl von E-Mail-Adressen und/oder Telefonnummern von Kindern, die die Instagram-Funktion für Geschäftskonten nutzten, sowie um die Standardeinstellung „öffentlich“ für Instagram-Konten von Kindern während des Zeitraums, der in den zeitlichen Geltungsbereich der Untersuchung fiel. Da es minderjährigen Nutzern möglich war, auf der Social Media Plattform einen Business-Account anzulegen, wechselten viele Jugendliche auf solche Accounts, um mehr Interaktionsdaten zu ihrem Profil einsehen zu können. Durch einen solchen Wechsel wurden jedoch Kontaktinformationen der Minderjährigen im Profil öffentlich zugänglich. Diese Praxis wurde als Folge der Untersuchung der irischen Datenschutzbehörde inzwischen eingestellt.

 

Einwände gegen die Rechtsgrundlage für die Verarbeitung und die Festsetzung der Geldbuße

Bereits im September 2020 startete die DPC die erste Überprüfung von Vorwürfen gegen die Social Media Plattform Instagram im Zusammenhang mit der Verarbeitung von personenbezogenen Daten Minderjähriger. Aufgrund der grenzüberschreitenden Verarbeitung personenbezogener Daten beteiligte die irische Datenschutzbehörde andere betroffene europäische Datenschutzaufsichtsbehörden im Kooperationsverfahren nach Artikel 60 DSGVO. Das formelle Verfahren sieht vor, dass die betroffenen Aufsichtsbehörden sowie die federführende Datenschutzaufsichtsbehörde zusammenarbeiten und alle notwendigen Informationen untereinander austauschen, um letztlich eine Einigung zu erzielen. Nach Abschluss ihrer Untersuchungen fertige die Datenschutzbehörde einen ersten Entscheidungsentwurf eines Bußgeldbescheides an, gegen den sich andere betroffene Aufsichtsbehörden ausgesprochen hatten. Diese hatten unter anderem Einwände gegen die Feststellung einer Rechtsgrundlage für die Datenverarbeitung auf die sich die Plattform-Betreiber stützen und die Festsetzung der Geldbuße im Entscheidungsentwurf erhoben.

 

Endgültige Entscheidung des Europäischen Datenschutzausschusses

Nachdem die irische Datenschutzbehörde als federführende Aufsichtsbehörde bezüglich der Einwände mehrerer betroffener Aufsichtsbehörden das Streitbeilegungsverfahren eingeleitet hatte, erließ der EDSA eine entsprechende Entscheidung gemäß Art. 65 DSGVO. Im Anschluss an das Streitbeilegungsverfahren nahm die irische Datenschutzbehörde Änderungen an ihrem Entscheidungsentwurf vor. Der Streitbeilegungsbeschluss des Datenschutzausschusses ist die erste verbindliche Entscheidung der Behörde, die sich mit der Rechtmäßigkeit der Verarbeitung nach Art. 6 DSGVO und damit einem der Grundpfeiler des EU-Datenschutzrechts befasst.

In seinem Beschluss hat der EDSA insbesondere die Anwendbarkeit der Rechtsgrundlagen „Vertragserfüllung“ und „berechtigtes Interesse“ näher erläutert, da Meta IE sich bei der Veröffentlichung der Kontaktdaten von Kindern, die Instagram-Geschäftskonten nutzten, alternativ auf diese beiden Rechtsgrundlagen gestützt hat. Der Europäische Datenschutzausschuss stellte dabei fest, dass es für die irische Datenschutzbehörde keine Gründe für die Schlussfolgerung gab, dass die fragliche Verarbeitung für die Erfüllung eines Vertrags erforderlich war. Folglich konnte sich Meta IE nicht auf Art. 6 Abs. 1 lit. b) DSGVO als Rechtsgrundlage für diese Verarbeitung berufen. Im Hinblick auf das berechtigte Interesse als alternative Rechtsgrundlage für die Verarbeitung stellte der EDSA fest, dass die Veröffentlichung der E-Mail-Adressen und/oder Telefonnummern von Kindern die Anforderungen des Art. 6 Abs. 1 lit. f) DSGVO nicht erfüllte, da die Verarbeitung entweder nicht erforderlich war oder, falls sie als erforderlich angesehen werden sollte, die bei der Bestimmung des berechtigten Interesses erforderliche Interessenabwägung nicht vorgenommen wurde.

Die Mitglieder des Ausschusses kamen daher zu dem Schluss, dass Meta IE die personenbezogenen Daten von Kindern ohne Rechtsgrundlage unrechtmäßig verarbeitet hat. Aus diesem Grund wurde die irische Datenschutzbehörde angewiesen, ihren Entscheidungsentwurf dahingehend zu überarbeiten, dass in diesem auch der Verstoß gegen Art. 6 Abs. 1 DSGVO festgestellt wird. In diesem Zusammenhang wurde die irische Datenschutzbehörde weiterhin dazu veranlasst, ihr geplantes Bußgeld gemäß Art. 83 Abs. 1 und 83 Abs. 2 DSGVO zu überprüfen, um eine wirksame, verhältnismäßige und abschreckende Gesamtgeldbuße für alle Verstöße zu verhängen.

 

Entscheidung des EDSA von großer Bedeutung für den Datenschutz

Der Europäische Datenschutzausschuss führte aus, dass es sich bei dieser Entscheidung um eine solche handle, die von historischer Bedeutung für den Datenschutz sei. Dies sei nicht allein der Tatsache geschuldet, dass es sich bei dem verhängten Bußgeld um die zweithöchste Sanktion seit Inkrafttreten der Datenschutzgrundverordnung handle, sondern weil es sich auch um die erste EU-weite Entscheidung handle, die Datenschutzrechte von Kindern zum Gegenstand hat. Mit dieser verbindlichen Entscheidung macht der EDSA deutlich, dass Unternehmen, die personenbezogene Daten von Kindern verarbeiten, im Umgang mit diesen Daten besonders behutsam umgehen müssen, weil die Daten dieser Personengruppe in einem besonderen Maße schützenswert sind.

 

Endgültige Entscheidung der irischen Datenschutzbehörde

Die irische Datenschutzbehörde hat am 15. September 2022 den Abschluss ihrer Untersuchung gegen Instagram bekannt gegeben. Im ursprünglichen Entscheidungsentwurf der Datenschutzbehörde wurde eine Geldbuße von bis zu 405 Mio. Euro empfohlen. Unter Berücksichtigung der verbindlichen Entscheidung des EDSA beläuft sich die verhängte Geldbuße weiterhin auf insgesamt 405 Mio. Euro, einschließlich einer Geldbuße von 20 Mio. Euro für den Verstoß gegen Art. 6 Abs. 1 DSGVO. Zusätzlich zu diesem Bußgeld hat der EDSA auch einen Verweis und eine Anordnung getroffen, die Meta Platforms Ireland Limited dazu verpflichtet, die stattfindenden Datenverarbeitungsprozesse durch eine Reihe spezifischer Abhilfemaßnahmen mit geltendem Recht in Einklang zu bringen.

 

Ausblick

Bereits zum dritten Mal innerhalb der letzten 12 Monate hat die irische Datenschutzbehörde ein Bußgeld in Millionenhöhe gegen den Meta-Konzern ausgesprochen. Nach den bisherigen Bußgeldern der DPC in Höhe von 225 Mio. Euro gegen WhatsApp und 17 Mio. Euro gegen Meta hat die irische Datenschutzbehörde nun mit 405 Millionen EUR eines der höchsten Datenschutzbußgelder seit Inkrafttreten der DSGVO verhängt. Der Konzern soll in einer nicht-öffentlichen Stellungnahme angekündigt haben, die Entscheidung der Behörde anzufechten, insbesondere weil er nicht damit einverstanden sei, wie das Bußgeld berechnet wurde. Ferner soll der Konzern betont haben, dass es sich bei den kritisierten Optionen um veraltete Einstellungen handle, die in der Zwischenzeit behoben worden seien. Die Konten von minderjährigen Nutzern werden nun automatisch in den privaten Modus gestellt, wenn sie sich bei Instagram anmelden. Dadurch ist es Nicht-Follower grundsätzlich nicht möglich, die Jugendlichen über die Nachrichtenfunktion zu kontaktieren. Das Vorgehen der europäischen Aufsichtsbehörden verzeichnet mittlerweile einen klaren Trend dahingehend, dass die Datenschutzpraxis großer Techkonzerne zielstrebig untersucht und Verstöße in diesem Zusammenhang empfindlich sanktioniert werden. Doch auch kleinen und mittleren Unternehmen sollte die aktuelle Praxis der Datenschutzbehörde Warnschuss dafür sein, das eigene Datenschutzmanagement zu etablieren und zu verbessern. Dies gilt insbesondere dann, wenn besonders schützenswerte Datenkategorien verarbeitet werden.

 

 
 
 

 

 

 

In den letzten Jahren traten Videokonferenzdienste immer mehr in den Fokus der Datenschutzbehörden. In Zeiten der Digitalisierung sind diese Tools nicht mehr aus dem beruflichen Alltag wegzudenken. Dabei war insbesondere auch die Corona-Pandemie in den letzten Jahren treibender Faktor für die Nachfrage nach Videokonferenzdiensten. Im Hinblick auf die Verarbeitung personenbezogener Daten warfen diese Dienste jedoch immer wieder datenschutzrechtliche Fragen und Unsicherheiten auf. In ihrem 27. Tätigkeitsbericht vom 29.06.2022 für das Jahr 2021 hat die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Bettina Gayk, hervorgehoben, dass Videokonferenzsysteme durch das Inkrafttreten der Änderungen des Telekommunikationsgesetztes (TKG) nun nicht mehr als Telemediendienste, sondern als Telekommunikationsdienste einzuordnen sind. Dieser Umstand führt unter anderem dazu, dass ein Abschluss von Auftragsverarbeitungsverträgen zwischen den Verwendern und Anbietern solcher Dienste nicht mehr erforderlich ist. Das hat nicht nur Auswirkungen auf die Verantwortlichkeit nach Art. 4 Nr. 7 DSGVO, sondern vielmehr auch auf die aufsichtsbehördliche Zuständigkeit.

 

Das Wichtigste in Kürze

  • Der Begriff des Telekommunikationsdienstes wird im TKG nun deutlich weiter gefasst, sodass Videokonferenzsysteme nicht mehr als Telemediendienst, sondern als Telekommunikationsdienst gelten.
  • Nach Einordnung der LDI sind die öffentliche Stellen und Unternehmen, die Videokonferenzsysteme von Drittanbietern nutzen, nicht mehr „Verantwortliche“ im Sinne von Art. 4 Nr. 7 DSGVO.
  • Zwischen dem Videokonferenzdienstanbieter und dem Anwender bestehet daher kein Auftragsverarbeitungsverhältnis mehr.
  • Das Erfordernis eines Auftragsverarbeitungsvertrag im Sinne von Art. 28 Abs. 3 DSGVO zwischen den Parteien entfällt insoweit.
  • Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit ist dann anstatt der jeweiligen Landesdatenschutzbehörde zuständige Stelle.

 

Inkrafttreten des TTDSG und Änderungen des TKG

Das TTDSG ist zur Umsetzung der E-Privacy-Richtlinie erlassen worden und am 01.12.2021 in Kraft getreten. In diesem Gesetz wurden die datenschutzrechtlichen Vorschriften des Telemediengesetzes (TMG) und des Telekommunikationsgesetzes (TKG) zusammengeführt. Ziel des Gesetzes ist es, die im TKG und TMG enthaltenen spezialgesetzlichen Regelungen zum Datenschutz in ein für sich eigenständiges Gesetz, welches mit den europäischen Vorgaben in Einklang steht, zu überführen.

Gleichzeitig wurden aber auch, wenig beachtet, Änderungen im TKG vorgenommen und der Anwendungsbereich des Telekommunikationsrechts deutlich ausgeweitet. In den Anwendungsbereich fallen nun nicht mehr nur Telekommunikationsdienste, die nummerngebunden sind (klassische Telelefonie), sondern auch nummernunabhängige Dienste (sog. OTT-Dienste/interpersonelle Kommunikation). Telekommunikationsdienste sind demnach Dienste, wie sie etwa die Betreiber von Messengern, Videokonferenzen und webbasierte E-Mail-Diensten anbieten. Im Gegensatz dazu sind Anbieter von Telemedien solche, die Inhalte im Internet bereitstellen..

 

Bisherige datenschutzrechtliche Lage

Datenschützer beschäftigten sich bereits in den letzten Jahren sehr intensiv mit den datenschutzrechtlichen Fragestellungen hinsichtlich der Verwendung von Videokonferenzdiensten. Insbesondere in Zeiten von Corona haben Videokonferenzdienste eine zentrale Bedeutung für die Kommunikation untereinander erlangt. Unternehmen oder andere Stellen mussten schnell auf diese Situation reagieren und hatten oft keine eigenen Konferenzplattformen zur Verfügung. Daher wurde häufig auf Dienste Dritter zurückgegriffen, wie beispielsweise Zoom oder Microsoft Teams. In einem solchen Fall lag nach Auffassung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) dann zwischen dem Unternehmen/ einer öffentlichen Stelle (Nutzer) und dem Videokonferenzdienst als Anbieter (z.B. Zoom) ein Auftragsverarbeitungsverhältnis im Sinne von Art. 28 DSGVO vor. Dabei trat das Unternehmen oder die öffentliche Stelle als „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO auf und der Videokonferenzdienst als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO.

Grundlage des Auftragsverarbeitungsverhältnisses ist ein Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter im Sinne von Art. 28 Abs. 3 DSGVO, der den Auftragsverarbeiter in Bezug auf die Weisungen des Verantwortlichen bindet. Inhaltlich soll dieser den Gegenstand und die Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen beinhalten. Die DSK wies auch darauf hin, dass bei der Auswahl des Auftragsverarbeiters durch den Verantwortlichen darauf zu achten sei, dass dieser hinreichende Garantien zu den erforderlichen technischen und organisatorischen Maßnahmen bietet.

Auch im Hinblick auf die Haftung bei Datenschutzverstößen gibt es in einem Auftragsverarbeitungsverhältnis einige Besonderheiten. Denn Art. 82 DSGVO normiert eine gemeinsame Haftung des Auftragsverarbeiters und des Verantwortlichen gegenüber dem Betroffenen für materielle und auch immaterielle Schäden.

 

Datenschutzrechtliche Auswirkungen der Änderungen

Der Einschätzung der Landesbeauftragten für Datenschutz und Informationsfreiheit und der Definition „interpersoneller Telekommunikationsdienste“ in § 3 Nr. 24 TKG zufolge, stellen Videokonferenzdienste nun keine Telemediendienste mehr dar, sondern werden als Telekommunikationsdienste eingeordnet. Denn der Begriff der Telekommunikationsdienste ist im TKG nun weiter gefasst. Dies zieht auch datenschutzrechtliche Konsequenzen nach sich.

Zum einen seien die Nutzer von Videokonferenzsystemen, die diese in ihren Unternehmen oder öffentlichen Stellen einsetzen, regelmäßig nicht mehr als datenschutzrechtlich Verantwortliche anzusehen. Dieser Umstand bedeutet wiederum, dass keine Auftragsverarbeitung gegeben ist und der Diensteanbieter in eigener Verantwortung handelt. Dementsprechend ist insoweit auch der Abschluss eines Auftragsverarbeitungsvertrages nicht mehr erforderlich. Ein solcher sei nach Ansicht der LDI nur noch dann erforderlich, wenn weitere Dienste angeboten oder verwendet werden, die über die bloße Kommunikation hinausgehen. Jedoch wird im Bericht auch betont, dass Unternehmen und öffentliche Stellen trotzdem nach wie vor dazu verpflichtet seien, technische und organisatorische Maßnahmen zu treffen. Insbesondere wird dabei auf die Pflicht der Nutzer zur Vornahme datenschutzrechtlicher Grundeinstellungen hingewiesen.

Außerdem kommt es zu einer Verlagerung der aufsichtsbehördlichen Zuständigkeiten. Nunmehr ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hinsichtlich der als Telekommunikationsdienst zu verstehenden Videokonferenzsysteme wie beispielsweise Google Meet, Microsoft Teams oder Zoom zuständig und nicht mehr die zuständigen Landesdatenschutzbehörden.

 

European Data Protection Board (EDPB): Telekommunikationsdienstleister sind Verantwortliche nach Art. 4 Nr. 7 DSGVO

Die Verantwortlichkeit von Telekommunikationsdienstanbietern hat auch bereits der Europäische Datenschutzausschuss bestätigt. Dieser stuft in seinen Guidelines (07/2020 on the concepts of controller and processor in the GDPR) Telekommunikationsdienstanbieter bei der Erbringung ihrer elektronischen Kommunikationsdienste als Verantwortliche im Sinne der DSGVO ein. Nach Ansicht des EDPB gelte der Anbieter solcher Dienste in der Regel als Verantwortlicher für die Verarbeitung personenbezogener Daten, die für den Betrieb des Dienstes als solchen erforderlich seien. Die von diesen zu beachtenden datenschutzrechtlichen Bestimmungen werden sich dann nun maßgeblich nach dem neuen TTDSG richten.

 

Weiterhin besteht Unsicherheit

Der Bericht der Landesbeauftragen bestätigt nochmals die Bedeutung der TKG-Änderungen für den Umgang mit Videokonferenzsystemen, lässt aber dennoch einige Fragen unbeantwortet und konkretisiert einige wichtige Begrifflichkeiten nicht weiter. Unklar bleibt insbesondere, welche konkreten Daten „aufgrund der Übertragung des Videochats“ nach Auffassung der LDI verarbeitet werden, für die der Nutzer dann nicht mehr verantwortlich ist. Auch bleibt weiterhin offen, was eigentlich genau unter einem „Videochat“ zu verstehen ist. Für die Praxis am relevantesten dürfte jedoch die offene Frage nach dem Umgang mit Funktionen der Videokonferenzsysteme, die über die reine Kommunikationsübertragung an sich hinaus gehen, werden. Fraglich bleibt, ob diese als Teil des Telekommunikationsdienstes angesehen werden oder doch der DSGVO unterliegen. Solange diese Fragen nicht geklärt sind, kann es im Einzelfall sinnvoll sein weiterhin Auftragsverarbeitungsverträge zu schließen, um sich nicht am Ende dem Vorwurf einer DSGVO-widrigen Verarbeitung ausgesetzt sehen zu müssen. Für einen rechtssicheren Umgang bedarf es daher auf jeden Fall einer intensiven Prüfung und Bewertung im Einzelfall.

 

Fazit

Im Rahmen der TKG-Novelle, die am 01.12.2021 in Kraft getreten ist, fallen nunmehr auch sogenannte OTT-Dienste oder interpersonelle Kommunikation wie Videokonferenzdienste unter den Begriff des Telekommunikationsdienstes und stellen keine Telemedien mehr dar. Dies bringt auch datenschutzrechtliche Konsequenzen mit sich. Es ist jedoch zweifelhaft, ob so pauschal empfohlen werden kann, dass im Hinblick auf Videokonferenzdienste keine Auftragsverarbeitungsverträge mehr erforderlich sind. Denn es ist umstritten, inwieweit auch weiterhin Auftragsverarbeitungsverträge geschlossen werden müssen, wenn die Dienste über die bloße Kommunikation hinausgehen. Insoweit zeigt der Bericht der LDI NRW eine Richtung auf, bei der viele Fragen unbeantwortet bleiben. Wo werden die Grenzen gezogen? Welche konkreten Daten werden „aufgrund der Übertragung des Videochats“ verarbeitet und was genau sind „Videochats“ überhaupt? Sind die über den Kommunikationsvorgang hinausgehenden Funktionen eines solchen Dienstes Teil des Telekommunikationsdienstes oder unterliegen sie den Vorgaben der DSGVO? Aus rechtlicher Sicht ist diese Zuordnung von großer Bedeutung. Aus diesem Grund sollten Verwender mit besonderen Tools oder Funktionen der Videokonferenzanbieter vorsichtig sein und sofern sie diese verwenden den datenschutzrechtlichen Umgang besser zweimal überprüfen. Unternehmen und öffentlichen Stellen, die solche Videokonferenzdienste nutzen, ist vor diesem Hintergrund zu raten, individuell zu prüfen, ob nicht doch ggf. weiterhin Auftragsverarbeitungsverträge abgeschlossen werden sollten, bis alle offenen Fragen geklärt sind. Es bleibt abzuwarten, wie diese Fragestellungen in Zukunft beantwortet werden. Dies wäre vor allem im Hinblick auf die große Unsicherheit, die insgesamt um die Verwendung von Videokonferenzdiensten besteht, von besonderer Dringlichkeit.

 

 
 
 

 

 

 

Aufgrund von Datenschutzverstößen sehen sich Unternehmen immer häufiger hohen Bußgeldern ausgesetzt. Darum ist es lohnenswert sich einmal genauer mit den Ursachen von Datenschutzverstößen und präventiven Maßnahmen zur Verhinderung von Verstößen auseinanderzusetzen. Im Falle einer Verletzung des Schutzes personenbezogener Daten müssen Verantwortliche, wie etwa Unternehmen oder Behörden, diese Verletzung nach Art. 33 DSGVO unverzüglich der zuständigen Aufsichtsbehörde melden. Den Aufsichtsbehörden gehen so jährlich unzählige Meldungen zu. Nun hat der Landesbeauftragte für den Datenschutz Sachsen-Anhalt häufige Ursachen von Datenschutzverletzungen sowie Maßnahmen, mit denen diese Maßnahmen präventiv verhindert werden können, in einer Übersicht zusammengestellt. Diese Übersicht stellt wichtige Handlungsempfehlungen für Unternehmen kompakt zusammen. dar. Die vorgeschlagenen Maßnahmen sind natürlich nicht abschließend und es muss im Einzelfall überprüft werden, ob weitergehende Maßnahmen erforderlich sein könnten.

 

Das Wichtigste in Kürze

  • Eine der häufigsten Ursachen für Datenschutzverletzungen ist der Fehlversand von E-Mails und offene Mailverteiler.
  • Häufige Ursache für Datenschutzverletzungen in Zeiten der Digitalisierung sind Hackerangriffe, die durch Sicherheitslücken ermöglicht werden.
  • Unternehmen sollten geeignete technische und organisatorische Maßnahmen implementieren, um Datenschutzverletzungen präventiv zu verhinder.
  • Datenschutzverletzungen müssen durch den Verantwortlichen unverzüglich an die zuständige Aufsichtsbehörde nach Art. 33 DSGVO gemeldet werden.

 

Meldung einer Verletzung des Schutzes personenbezogener Daten

Art. 33 DSGVO erlegt dem Verantwortlichen eine Meldepflicht eines Datenschutzvorfalls auf. Demnach hat der Verantwortliche eine Verletzung unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde zu melden,. Eine Ausnahme hiervon gilt nur dann, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Das hierfür relevante Risiko ergibt sich dabei aus dem Zusammenspiel der Schwere der Verletzung und der Eintrittswahrscheinlichkeit des drohenden Schadensereignisses.

 

Benachrichtigung der betroffenen Person bei hohem Risiko

Sobald die Verletzung des Schutzes personenbezogener Daten voraussichtlich sogar ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat, muss der Verantwortliche nach Art. 34 DSGVO als Teil der Betroffenenrechte auch die betroffene Person unverzüglich über die Verletzung benachrichtigen. Ein hohes Risiko liegt in der Regel immer dann nahe, wenn besondere oder sensible Kategorien personenbezogener Daten, wie beispielsweise Gesundheitsdaten, Unberechtigten zur Kenntnis gelangen könnten.

 

Fehlversand durch E-Mail, Post oder Fax

Eine der häufigsten Ursachen für Datenschutzverletzungen ist der Fehlversand von E-Mails, Post oder Fax. Eine E-Mail oder ein Fax ist schnell an den falschen Empfänger versandt und auch bei der Postadressierung kann es leicht zu Zahlendrehern oder Schreibfehlern kommen, sodass der Brief falsch zugestellt wird und in fremde Hände gelangt.

In erster Linie muss dann umgehend der falsche Empfänger zur Löschung oder Vernichtung aufgefordert werden und sich die erfolgte Löschung durch den Fehladressaten bestätigen lassen. Als Präventionsmaßnahme wird empfohlen die Adressinformationen oder Faxnummern sorgfältig zu übernehmen und auf ihre Aktualität zu überprüfen sowie vor dem Versand nach dem Vier-Augen-Prinzip vorzugehen. Weiterhin sollten Anlagen in E-Mails verschlüsselt und ein elektronisches Adressbuch genutzt werden.

 

Offener E-Mail Verteiler

E-Mails sind heutzutage ein beliebtes Mittel, um Daten zu übermitteln. Jedoch birgt so ein Mailverteiler auch ein entsprechend großes Risiko für Datenschutzverletzungen. Dies ist vor allem dann gegeben, wenn eine Mail an mehrere Empfänger versendet werden soll. Denn es werden häufig sogenannte offene Mailverteiler genutzt. Davon spricht man, wenn für jeden Empfängerdie E-Mail-Adressen der anderen Empfänger offen einsehbar sind. Um zu verhindern, dass die Adressaten der E-Mail offengelegt werden, sollte die Funktion „BCC“ verwendet werden. Wenn jedoch die üblichen Felder wie „An“ und „CC“ verwendet werden, liegt eine Datenschutzverletzung vor, wenn die Bekanntgabe der Tatsache wer Adressat ist bzw. die Weitergabe der E-Mailadressen nicht gerechtfertigt werden kann.

Um die Datenschutzverletzung zu beheben beziehungsweise die nachteiligen Auswirkungen wenigstens abzumildern, sollten auch hier die Empfänger zur Löschung und Bestätigung der Löschung aufgefordert werden. Die E-Mail kann dann erneut verdeckt versendet werden. Um dieser Verletzung präventiv entgegenzuwirken, ist es wichtig, eine regelmäßige Sensibilisierung der Mitarbeiter durchzuführen und den Versand per Blindkopie schon vorher einzustellen.

 

Abhandenkommen von elektronischen und papierbasierten Datenträgern

Eine weitere Ursache ist das Abhandenkommen von elektronischen oder papierbasierten Datenträgern durch Verlust oder Diebstahl. Der physische Diebstahl von Datenträgern, wie Akten, USB-Sticks oder auch Festplatten ist vielleicht nicht so häufig, kommt aber immer noch ab und zu vor. Häufiger dürfte jedoch der Verlust der Datenträger sein. In einem solchen Fall sollte, wenn möglich, bei elektronischen Datenträgern eine Fernlöschung der Daten veranlasst werden. Natürlich ist bei einem Straftatverdacht eine Anzeige bei der Polizei zu erstatten. Als präventive Maßnahme wird in der Übersicht des Landesdatenschutzbeauftragten angeführt, dass eine Verschlusssicherheit hergestellt und insbesondere Regelungen für den Umgang mit Datenträgern und Akten getroffen werden sollten.

 

Entsorgung von Unterlagen im (Papier-)Müll

Immer wieder kommt es vor, dass Unterlagen mit personenbezogenen Daten im normalen Papiermüll und nicht im Schredder oder einer Datentonne landen. Sofern noch möglich, sind die Unterlagen sofort sicherzustellenund ordnungsgemäß zu entsorgen. Dafür müssen natürlich auch datenschutzkonforme Entsorgungsvorrichtungen implementiert sein. Unter anderem sollte durch die Beschäftigten bereits im Vorfeld geprüft werden, ob Papiere oder andere Datenträger vernichtet werden müssen.

 

Verschlüsselung von Dateien durch Angreifer

Große Probleme und Unsicherheiten für Unternehmen bringen vor allem externe Angriffe mit sich, die ganze Systeme lahm legen können. Häufig werden Unternehmen davon überrascht und wissen nicht wie sie damit umgehen sollen. Wichtig ist dabei insbesondere, dass eine sofortige Trennung der Systeme vom Netz erfolgt, in der Folge die Schwachstellen identifiziert und daraus dann die notwendigen Konsequenzen gezogen werden. Wichtig ist jedoch, dass bei der Netztrennung dieses nicht abgeschaltet wird, damit mögliche Spuren nicht verwischt werden. Denn diese können helfen die Schwachstellen aufzudecken. Weiterhin sollten befallene Rechner und Systeme neu installiert und Daten aus dem Backup wiederhergestellt werden.

Um Angriff von außen zu verhindern, wird unter anderem empfohlen, Anhänge oder Links in E-Mails nur zu öffnen oder anzuklicken, wenn diese seriös und plausibel erscheinen. Weiterhin ist in der Übersicht aufgeführt, dass vorher detaillierte Regelungen geschaffen werden sollten, wie mit eingehenden Dateien und E-Mailanlagen umgegangen werden muss. Zudem sollte immer darauf geachtet werden, dass ein aktueller Virenschutz besteht und Systeme und Anwendungen regelmäßig aktualisiert werden und auf dem neuesten Stand sind. Weiterhin wird geraten, ein Rechte- und Rollenmanagement zu implementieren, um Zugriffsrechte in der Art zu gestalten, dass lediglich ein möglichst beschränkter Datenumfang betroffen sein kann.

 

Hackerangriffe

Hackerangriffe treten insbesondere in der heutigen digitalen Welt immer häufiger auf und stellen eine große Gefahr für Unternehmen dar. Zwar erfolgt hier die Datenschutzverletzung nur passiv, jedoch haften die Unternehmen trotzdem dafür, wenn sie durch mangelnde technische und organisatorische Maßnahmen diese Angriffe begünstigen. Denn es liegt im Verantwortungsbereich des Unternehmens, alle ihr möglichen Maßnahmen und Vorkehrungen zu treffen, um solche Angriffe zu verhindern. Die Angriffe erfolgen meist von außen mittels einer Schadsoftware, Trojanern oder Malware. Durch diese Angriffe wird versucht an relevante Firmendaten zu gelangen, um diese zum Beispiel zu verkaufen oder um davon selbst zu profitieren. Hierbei ist es wichtig, dass das Unternehmen versucht, solche Sicherheitslücken oder Fehlkonfigurationen im Firmennetzwerk zu identifizieren, um dann das Risiko einer solchen Datenschutzverletzung zu minimieren.

 

Unberechtigte Zugriffe durch Beschäftigte zu privaten Zwecken

Häufig kommt es auch zu unberechtigten Zugriffen auf personenbezogene Daten durch Beschäftigte, die diese für private Zwecke nutzen wollen. Wenn ein solcher Verdacht besteht, sollte eine Auswertung der elektronisch gespeicherten Datenzugriffe erfolgen und im Anschluss arbeitsrechtliche Maßnahmen geprüft werden. Präventiv könnte solchen Datenschutzverletzungen vorgebeugt werden, indem Datenzugriffe protokolliert werden und Beschäftigte auf das Datengeheimnis verpflichtet werden.

 

Veröffentlichung personenbezogener Daten ohne Rechtsgrundlage

Als weitere häufige Ursache für Datenschutzverletzungen wird ganz allgemein die Veröffentlichung personenbezogener Daten ohne Rechtsgrundlage in der Übersicht aufgeführt. In einem solchen Fall sollte, wenn möglich, sofort die Löschung veranlasst werden und versucht werden die Verbreitung weitestgehend einzudämmen. Als Vorsichtsmaßnahme zur Verhinderung einer rechtswidrigen Datenverarbeitung wird empfohlen, Regelungen zur Prüfung der Rechtmäßigkeit vor der Veröffentlichung der Daten zu treffen und dem Vier-Augen-Prinzip zu folgen. Ebenso kann eine Schwärzung von personenbezogenen Daten aus zu veröffentlichenden Dokumenten erfolgen, um eine Datenschutzverletzung zu vermeiden.

 

Fazit

Die Übersicht des Landesbeauftragten für den Datenschutz Sachsen-Anhalt ist hilfreich, da sie zum einen häufige Ursachen von Datenschutzverletzungen auflistet und zum anderen Maßnahmen zur Behebung der Datenschutzverletzung beziehungsweise zur Abmilderung der nachteiligen Auswirkungen der Verletzung sowie technisch und organisatorische Maßnahmen zur präventiven Vermeidung der Datenschutzverletzungen aufführt. Neben den hier erläuterten Ursachen und Abwehrmaßnahmen enthält die Übersicht noch einige weitere. Sie kann einem Unternehmen oder einer Behörde als Anhaltspunkt für das Vorgehen dienen, wenn sich ein Datenschutzvorfall ereignet. Unternehmen können diese Übersicht auch dazu heranziehen, um sich zu orientieren und zu prüfen, in welchen Bereichen noch Handlungsbedarf für präventive Maßnahmen besteht und ob gegebenenfalls noch Sicherheitslücken bestehen.

Unternehmen sollten jedoch beachten, dass im Einzelfall auch weitergehende Maßnahmen erforderlich sind. Es ist von großer Bedeutung interne Prozesse zu implementieren, die eine datenschutzkonforme Verarbeitung von personenbezogenen Daten gewährleisten und das Risiko einer Datenschutzverletzung verringern. Für einen reibungslosen Ablauf ist weiterhin wichtig, dass auch Beschäftigte und insbesondere die IT-Abteilung für den Datenschutz sensibilisiert werden und im gesamten Unternehmen einheitliche Rahmenbedingungen und Regelungen getroffen werden. Für Unternehmen und andere Verantwortliche ist die Übersicht des Landesbeauftragten für den Datenschutz Sachsen-Anhalt daher ein sehr guter Ansatzpunkt um daraus Handlungsempfehlungen zur Vermeidung der grundlegen datenschutzrechtlichen Gefahrstellen ableiten zu können.

 

 
 
 

 

 

 

Microsoft 365 gehört sowohl im unternehmerischen als auch im öffentlichen Bereich zu den meistgenutzten cloudbasierten Office-Anwendungen. Jedoch bestehen seit längerer Zeit Zweifel an der Datenschutzkonformität der Nutzung der Software-Produkte, die sich spätestens seit dem Schrems II-Urteil des EuGH verstärkt haben (Urteil vom 16. Juli 2020, Rs. C-311/18). Seit Jahren sprechen sich die deutschen Datenschutzbehörden gegen die Nutzung der Online-Tools aus. So kommt das Gremium der unabhängigen Datenschutzbehörden des Bundes und der Länder, der sogenannten Datenschutzkonferenz (DSK) auch in seiner diesjährigen Zwischenkonferenz vom 22. September 2022 wieder zu dem Ergebnis, dass ein rechtskonformer Einsatz des Office-Pakets Microsoft 365, das von Unternehmen, Behörden und Schulen eingesetzt wird, ohne zusätzliche technische Maßnahmen nicht in möglich ist.

 

Das Wichtigste in Kürze

  • Die DSK kommt im Rahmen ihrer Untersuchung von Microsoft 365 zu dem Ergebnis, dass ein datenschutzkonformer Einsatz nicht möglich sei.
  • Die überarbeitete Fassung des Auftragsverarbeitungsvertrages liefere weiterhin nicht die notwendige Transparenz.
  • Es sei nicht erkennbar, welche Daten von dem US-Unternehmen für eigene Zwecke verarbeitet werden bzw. verarbeitet werden können.
  • Das Ergebnis der Untersuchung der DSK stellt kein formales Verbot des Einsatzes von Microsoft 365 dar, da es sich um einen unverbindlichen Beschluss handelt.

 

Das Problem beim Einsatz von Microsoft 365

Das Problem beim Einsatz von Microsoft 365 ist seit jeher, dass im Rahmen der Nutzung eine große Menge an personenbezogenen Daten für verschiedene Zwecke verarbeitet werden und oft nicht überschaubar ist, ob und welche Datendirekt an den Softwareanbieter in den USA übermittelt werden. Seitdem der EuGH in seiner Schrems II-Entscheidung das EU-US-Privacy Shield für ungültig erklärt hat, ist eine Datenübermittlung in die USA mit dem europäischen Datenschutzrecht zudem nur noch schwer vereinbar.

 

Untersuchung der Microsoft-Onlinedienste im Jahr 2020

Die DSK hat bereits im Jahr 2020 einen Bericht veröffentlicht, in dem sie auf Basis der Ergebnisse einer von ihr durchgeführten Untersuchung der Lizenz- und Datenschutzbestimmungen der Microsoft-Onlinedienste zu dem Ergebnis kam, dass ein datenschutzkonformer Einsatz der Softwareprodukte nicht möglich ist. Bei der Untersuchung nahmen die Behörden insbesondere die Einhaltung der Anforderungen von Art. 28 DSGVO ins Visier. Art. 28 DSGVO regelt die Verarbeitung personenbezogener Daten durch einen Auftragsverarbeiter. Darunter sind z.B. Unternehmen zu verstehen, die personenbezogene Daten vom Verantwortlichen zum Zwecke der auftragsgebundenen und weisungsabhängigen Datenverarbeitung erhalten. Die DSGVO stellt an dieses Vorgehen hohe Anforderungen. Als Softwaredienstleister ist Microsoft auch ausweislich der Lizenzbedingungen Auftragsverarbeiter i.S.d. Art. 28 DSGVO. Auftraggeber ist dabei jeweils das die Dienste nutzende Unternehmen.

 

Nachprüfung aufgrund einer neuen Fassung des Auftragsverarbeitungsvertrages

Der Softwaredienstleister hat im September eine neue Version des „Microsoft Products and Services Date Protektion Addendum“, in dem unter anderem die neuen Standardvertragsklauseln der EU-Kommission übernommen wurden, veröffentlicht. Dies nahmen die Behörden zum Anlass, eine neue Bewertung von Microsoft 365 vorzunehmen.

Insbesondere hat Microsoft nähere Angaben dazu gemacht, welche Daten zu eigenen Zwecken genutzt werden. So werden beispielsweise statistische Daten, die keinen Personenbezug aufweisen, aus pseudonymisierten Daten aggregiert, um daraus anschließend Statistiken zu erstellen. Auf Inhalte von Kundendaten erfolge kein Zugriff. Zwecke, die bisher aufgezählt wurden, wie der Kampf gegen Betrug oder Cyberkriminalität, werden nicht mehr aufgeführt.

 

DSGVO-konformer Einsatz aufgrund fehlender Transparenz nicht möglich

Auch wenn Microsoft zwischenzeitlich Besserungen des Produkts im Hinblick auf den Datenschutz vorgenommen hat, sei es dem Unternehmen nicht gelungen, die DSGVO-Konformität des Produkts sicherzustellen, so die Datenschützer.

Von zentraler Bedeutung war unter anderem die Frage der Behörden, in welchen Fällen Microsoft als Auftragsverarbeiter tätig ist und wann eine eigene Verantwortlichkeit im Sinne der DSGVO vorliegt. Dies konnte im Rahmen der Zusammenarbeit mit Microsoft nicht abschließend geklärt werden.

Problematisch ist dies auch deshalb, weil Verantwortliche i.S.d. Art. 5 Abs. 2 DSGVO zur Rechenschaft verpflichtet sind. Beim Einsatz von Microsoft 365 gestaltet sich der Nachweis der Einhaltung der DSGVO-Vorgaben auch auf Grundlage des „Datenschutznachtrags“ weiterhin schwierig, da der Dienstleister nicht vollumfänglich offenlegt, welche Verarbeitungen im Einzelnen stattfinden. Die überarbeitete Fassung des Auftragsverarbeitungsvertrages liefert nach Auffassung der Datenschutzbehörden immer noch nicht die notwendige Transparenz, da nicht erkennbar ist, welche Daten von dem US-Unternehmen für eigene Zwecke verwendet werden können, sodass sich nicht prüfen lässt, ob alle Verarbeitungsschritte rechtmäßig sind.

 

Zusätzliche Maßnahmen erforderlich

Der Bundesdatenschutzbeauftragte kündigte an, dass die Datenschutzbehörden in Einzelfällen prüfen müssen, ob nicht doch ein datenschutzkonformer Einsatz möglich ist. Dies betrifft den Umgang mit Biometrie-, Diagnose und Telemetriedaten. Zudem wäre es denkbar, eine Mikrovirtualisierung oder einen Proxyserver einzusetzen, um verhindern zu können, dass die genannten Daten zu Microsoft abfließen. Jedenfalls sollte das Softwarepaket nicht ohne zusätzliche Schutzmaßnahmen auf dem Rechner genutzt werden.

 

Verantwortliche müssen ausreichende Datenschutz-Garantien prüfen

Nach der DSGVO dürfen Verantwortliche grundsätzlich nur solche Dienstleister beauftragen, die ausreichende Garantien für den Datenschutz bieten. Daher liegt es im Verantwortungsbereich des Unternehmens, dies vor dem Einsatz von Microsoft-Produkten zu prüfen. Für den Einsatz der Dienste ist zu empfehlen, die Programmeinstellungen zur Verbesserung der Benutzerfreundlichkeit zu deaktivieren und Diagnosedaten in den Einstellungen auf die Mindestmenge zu beschränken. Selbstverständlich sollten Auftragsverarbeitungsverträge unter Beachtung der neuen Standardvertragsklauseln abgeschlossen und eine Datenschutzfolgenabschätzung durchgeführt werden. Letztlich sollten sämtliche Maßnahmen umfassend dokumentiert werden, um im Falle einer behördlichen Prüfung nachweisen zu können, dass man als Verantwortlicher sämtliche Maßnahmen getroffen hat, die im Rahmen der Nutzung von Microsoft 365 möglich sind.

 

Kein formelles Verbot des Einsatzes von Microsoft 365

Der Beschluss der DSK stellt kein formales Verbot des Einsatzes von Microsoft 365 dar, da die Beschlüsse der DSK nicht rechtsverbindlich sind. Zudem handelt es sich bei er aktuellen Veröffentlichung der DSK nicht um eine vollständige Datenschutzbewertung des Cloud-Dienstes Microsoft 365, sondern lediglich um eine Bewertung der Datenschutzbestimmungen als Teil der Nutzungsverträge für Microsoft 365. Dennoch können und werden einzelne Aufsichtsbehörden der Bundesländer die Bewertung zum Anlass nehmen, um den Einsatz der Dienste intensiver zu überprüfen.

 

Ausblick

An der datenschutzrechtlichen Bewertung der Softwareprodukte durch die DSK hat sich nichts geändert. Der Einsatz von Microsoft 365 ist und bleibt damit grundsätzlich ein Risiko für Unternehmen und muss genau geprüft werden. Insoweit besteht nicht nur das Risiko einer Prüfung durch die Datenschutzbehörden, die im gravierendsten Fall mit einem empfindlichen Bußgeld enden kann. Vielmehr könnten auch Kunden des Unternehmens, das Microsoft 365-Dienste einsetzt, Betroffenenrechte geltend machen. Es ist zu erwarten, dass Bund und Länder unterschiedlich mit dem Beschluss umgehen werden. Konkrete Maßnahmen, insbesondere Sanktionen sind in nächster Zeit noch nicht zu erwarten. Vielmehr werden die Behörde zunächst in den Dialog mit den Unternehmen gehen, um gemeinsam Lösungsmöglichkeiten oder Alternativen zu erörtern. Dennoch sollten sich Verantwortliche jetzt schon mit der Thematik auseinandersetzen und auf eine datenschutzkonforme Lösung hinarbeiten, die je nach Nutzungsumfang durchaus möglich sein kann.

 

 
 
 

 

 

 

In der jüngsten Vergangenheit häufen sich Fragen hinsichtlich der Beurteilung von datenschutzrechtlichen Schadensersatzansprüchen immer stärker, was auch dazu führt, dass sich Gerichte vermehrt damit auseinandersetzen müssen. Dabei sind auch in der gerichtlichen Urteilspraxis Unterschiede festzustellen, wann und in welcher Höhe den Geschädigten ein Schadensersatzanspruch aus Art. 82 DSGVO zugesprochen wird. Dies ruft weiterhin große Unsicherheit sowohl bei Betroffenen als auch den für die Datenverarbeitung Verantwortlichen hervor. Das OLG Köln hat sich mit dieser Frage beschäftigt und nun in seinem Urteil vom 13.07.2022 (AZ. 15 O 356/20) entschieden, dass der Klägerin ein Schadensersatzanspruch aus Art. 82 DSGVO in Höhe von 500 € aufgrund der verspäteten datenschutzrechtlichen Auskunft zusteht. Das LG Bonn hatte in der Vorinstanz noch anders entschieden und einen Schadensersatzanspruch abgelehnt.

 

Das Wichtigste in Kürze

  • Art. 82 Abs. 1 DSGVO eröffnet jeder Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Schadensersatzanspruch.

  • Schadensersatz von 500 € ist laut OLG der Höhe nach angemessen und ausreichend.

  • Der von der Klägerin vorgetragene immateriellen Schaden überschreitet die Erheblichkeitsschwelle im vorliegenden Fall und begründet daher einen Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO.

 

Ausgangsfall

Im erstinstanzlichen Urteil des LG Bonn vom 01.07.2021 (AZ. 15 O 356/20) ging es um den datenschutzrechtlichen Schadensersatzanspruch aufgrund einer Verletzung von DSGVO- Vorgaben gemäß Art. 82 DSGVO. Vorliegend wurde die Geltendmachung eines Schadensersatzanspruchs aufgrund einer verspäteten und unvollständigen Datenauskunft verhandelt. Ein konkreter ersatzfähiger Schaden lag nach Ansicht des LG Bonns allerdings nicht vor. Gegen dieses Urteil hat die Betroffene nun Berufung eingelegt. Das OLG Köln hat in seinem Urteil vom 13.07.2022, anders als das LG Bonn, der Klägerin Schadensersatz in Höhe von 500 € zugesprochen.

Dem vorinstanzlichen Urteil lag folgender Sachverhalt zugrunde.

Im August 2016 erlitt die Klägerin einen schweren Verkehrsunfall, woraufhin sie am 08.09.2016 den Beklagten als Rechtsanwalt zur Regulierung der Unfallschäden beauftragte.

Am 07.01.2020 kündigte die Klägerin das Mandatsverhältnis und verlangte vom Beklagten eine vollständige Datenauskunft gemäß Art. 15 DSGVO sowie Herausgabe einer Kopie der Handakte. Diese Akte ist eine Zusammenstellung aller gesammelten und zu einem bestimmten Rechtsfall gehörenden Schriftstücke.

Der Beklagte ließ sich mit Erteilung der Datenauskunft neun Monate Zeit und erfüllte den Anspruch auch anschließend nicht vollständig. Es fehlten Angaben zum Mandatskonto, sowie Berichte über die Kommunikation zwischen der Klägerin und dem Beklagten via E-Mail und WhatsApp. Außerdem ist unklar, ob Daten an einen weiteren Rechtsanwalt weitergegeben worden sind, der sich mit dem Beklagten in einer Bürogemeinschaft befand und die gleiche Telefaxnummer nutzte.

Die Klägerin sah sich aufgrund dessen gezwungen, einen anderen Rechtsanwalt zu beauftragen, woraus weitere Kosten entstanden, die sie ersetzt haben wollte. Sie bezeichnete das Verhalten des Beklagten als mutwillig, da dieser nicht nur eine erheblich verspätete, sondern vor allem unvollständige Datenauskunft erteilt habe.

Aufgrund der verspäteten Datenauskunft war die Klägerin nicht in der Lage, Ansprüche gegenüber der Versicherung geltend zu machen.

In diesem Zusammenhang forderte die Klägerin zusätzlich Schmerzensgeld aus Art. 82 DSGVO, das € 1.000 nicht unterschreiten sollte. Die verspätete Erteilung sowie der unterstellte Vorsatz wurden zur Begründung eines immateriellen Schadens angeführt.

 

 

Schadensersatzanspruch des Betroffenen nach Art. 82 DSGVO

Nach Art. 82 Abs. 1 und 2 DSGVO hat jede natürliche Person, der wegen eines Verstoßes gegen die DSGVO ein immaterieller Schaden entstanden ist, einen Anspruch auf Schadenersatz gegen den Verantwortlichen. Im vorliegenden Fall sei ein solcher Verstoß durch den Beklagten als „Verantwortlicher“ nach Art. 4 Nr. 7 DSGVO gegeben. Denn nach Art. 15 Abs. 1, Abs. 3, Art. 12 Abs. 3 S. 1 DSGVO habe der Verantwortliche innerhalb eines Monats nach Eingang des Antrags auf Datenauskunft die entsprechenden Auskünfte zu erteilen. Dies erfolgte durch den Beklagten jedoch erst im Laufe des Verfahrens, also verspätet.

Das OLG Köln vertrat hier eine andere Auffassung als das LG Bonn. Dieses vertrat nämlich den Standpunkt, dass von Art. 82 DSGVO ausschließlich solche Schäden erfasst seien, die durch eine DSGVO-widrige Verarbeitung entstanden sind und dass daher bloße Verstöße gegen Auskunftspflichten aus Art. 12 Abs. 3 beziehungsweise Art. 15 DSGVO nicht als Rechtsgrundlage für einen Ersatzanspruch dienen könnten. Das LG Bonn führte aus, dass Art. 82 Abs. 1 DSGVO durch dessen Abs. 2 DSGVO dahingehend konkretisiert werden würde. Anders sieht dies jedoch das OLG.

Denn diese Annahme sei weder dem Gesamtkontext noch dem Sinn und Zweck oder auch der Entstehungsgeschichte der Norm zu entnehmen. Erwägungsgrund 146 spreche zwar auch von dem Gedanken, dass Schäden ersetzt werden sollen, die „einer Person aufgrund der Verarbeitung entstehen, die mit der Verordnung nicht im Einklang steht“. Jedoch sei der Begriff der Verarbeitung in Art. 4 Nr. 2 DSGVO weit gefasst. Darunter sei auch die gegenständliche Auskunft, also „Offenlegung durch Übermittlung“, zu subsumieren. Weiter führt das OLG aus, dass sich ebenso aus Erwägungsgrund 60 ergebe, dass es die Grundsätze einer fairen und transparenten Verarbeitung erforderlich machen würden, dass der Betroffene über die Existenz des Verarbeitungsvorgangs und seine Zwecke informiert werde. Vor dem Hintergrund, dass solche Auskunfts- und Informationsrechte dem Schutz des Betroffenen dienen und der Verarbeitungsprozess für den Betroffenen fair und transparent gestaltet werden soll, ist es nur überzeugend die Ersatzpflicht nach Art. 82 Abs. 1 DSGVO weit zu verstehen und auf jeden Verstoß gegen Regelungen der DSGVO anzuwenden.

 

 

OLG Köln: Nachgewiesener Schaden durch die Klägerin  

Dadurch, dass der Beklagte die angeforderte Auskunft verspätet erteilte, ist der Betroffenen ein immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO entstanden.
Dazu führte das Gericht wie folgt aus:

„Dabei kommt es vorliegend nicht auf die umstrittene Frage an, ob allein die Verletzung einer Vorschrift der DSGVO fu¨r einen Anspruch aus Art. 82 Abs. 1 DSGVO ausreicht oder ob es daru¨ber hinaus der Darlegung und des Nachweises eines konkreten Schadens bedarf.“

Die Klägerin hat vorliegend vorgetragen, dass die verspätete Datenauskunft ihr die weitere Schadensregulierung aufgrund fehlender Informationen aus der Handakte des Beklagten erschwert wurde und die dadurch entstandene Wartezeit für sie eine psychische Belastung dargestellt habe. Das OLG sah diese vorgetragenen Umstände als ausreichend an, einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO zu begründen. Das LG Bonn sah dies in seiner Entscheidung noch anders und verneinte einen immateriellen Schaden.. Das „Warten“ auf die Datenauskunft, sei nicht ausreichend um einen ersatzfähigen Schaden nach der DSGVO zu begründen, da die erforderliche Erheblichkeitsschwelle nicht überschritten würde.

 

Überschreitung etwaiger Bagatellgrenze

Nach Ansicht des OLG Köln gehen die von der Klägerin geltend gemachten Beeinträchtigungen durch die verzögerte Datenauskunft des Beklagten über eine reine Bagatelle hinaus, sodass deshalb kein Ausschluss des Schadensersatzanspruchs in Betracht komme. Das Gericht führte dazu wie folgt aus:

„Die Kla¨gerin ist fu¨r eine nicht unerhebliche Dauer vom Beklagten u¨ber das weitere Schicksal des Mandates im Unklaren gelassen worden und war u¨ber Monate nicht in der Lage, auf die Handakte zuzugreifen, Kenntnis u¨ber den Inhalt der dort gespeicherten Daten zu erlangen und das sie betreffende Verfahren mit dem neuen Prozessbevollma¨chtigten voran zu treiben.“

Insofern kam es hier gerade nicht auf die teilweise noch umstrittene Frage an, ob für einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO eine Erheblichkeitsschwelle erforderlich sein soll.

 

Schadensersatz in Höhe von 500 € angemessen und ausreichend

Das OLG hielt die Höhe des Schadensersatzes von 500 € für angemessen und ausreichend, um die von der Klägerin geltend gemachten immateriellen Schäden nach Art. 82 Abs. 1 DSGVO auszugleichen. Dabei wurde bei der Festsetzung der Höhe des zu ersetzenden Schadens zugunsten des Beklagten der Umstand herangezogen, dass die Daten keinem Dritten zugänglich gemacht worden sind. Jedoch falle dem Beklagten sein vorsätzliches Verhalten hinsichtlich der verspätet erteilten Auskunft negativ zur Last.

 

 

Ausblick

Das OLG Köln hat der Klägerin einen immateriellen Schadensersatz in Höhe von 500 € wegen verspäteter Datenauskunft zugesprochen. In seinem Urteil beleuchte es überzeugend, dass eine Ersatzpflicht nach Art. 82 Abs. 1 DSGVO weit zu verstehen ist und hinsichtlich der Verletzung aller Vorschriften der DSGVO Anwendung findet.

Unternehmen sollten sich bewusst sein, dass es bei Verstößen gegen die Vorgaben der DSGVO nicht nur zur Verhängung von Bußgeldern durch zuständige Aufsichtsbehörden kommen kann, sondern sie sich auch einem etwaigen Schadensersatzanspruch der Betroffenen ausgesetzt sehen könnten. Daher sollten sie insbesondere auf die Fristen bei Auskunftsbegehren seitens des Betroffenen achten und diese rechtzeitig bearbeiten. Um dies im Ernstfall rechtssicher realisieren zu können bedarf es daher etablierter Prozesse und dem Überblick welche Daten wann wo verarbeitet werden.

Es bleibt abzuwarten, wie die Gerichte in Zukunft im Hinblick auf geltend gemachte Schadensersatzansprüche entscheiden werden und wie mit Bagatellschäden umgegangen wird. Die Handhabung mit immateriellen Schäden stellt immer noch eine große Unsicherheit sowohl bei Betroffenen als auch Verantwortlichen dar und bedarf noch einer größeren Rechtssicherheit.

 

 
 
 

 

 

 

Wer haftet bei Datenschutzverstößen durch Arbeitnehmer? Der Arbeitgeber oder möglicherweise doch der Arbeitnehmer selbst? Das ist eine zentrale Frage, die sowohl Arbeitnehmer als auch Arbeitgeber im Kontext der datenschutzrechtlichen Vorschriften beschäftigt. Denn bei einem Verstoß können hohe Summen an Bußgeldern durch Aufsichtsbehörden verhängt werden oder Schadensersatzansprüche durch Betroffene geltend gemacht werden. Diese Sanktionen sind zentrales Mittel, um die Durchsetzung des Datenschutzes zu verbessern. Adressat ist dabei der „Verantwortliche“ oder der Auftragsverarbeiter. Dies ist in der Regel der Arbeitgeber. Doch wie sieht es mit der persönlichen Haftung des Arbeitnehmers in Fällen eines Verstoßes aus?.

 

Haftung bei Datenschutzverstoß nach der DSGVO

Grundsätzlich sieht die DSGVO zwei Möglichkeiten bei Verstößen gegen die DSGVO vor. Zum einen die Verhängung eines Bußgeldes durch die Aufsichtsbehörden nach Art. 83 DSGVO und zum anderen einen Schadensersatzanspruch des Betroffenen nach Art. 82 DSGVO. Ausgangspunkt dafür ist der „Verantwortliche“ im Sinne von Art. 4 Nr. 7 DSGVO. Danach ist „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Nur nach der Definition zu urteilen, könnten darunter sowohl Arbeitgeber als auch der einzelne Arbeitnehmer fallen. Jedoch kann im Ergebnis in der Regel nur der Arbeitgeber als „Verantwortlicher“ angesehen werden, da dieser im Normalfall darüber entscheidet, welche Daten erhoben werden, welchem unternehmerischen Zweck sie dienen und welche dafür notwendigen technischen und organisatorischen Maßnahmen erforderlich sind. Dies ergibt sich auch schon aus den rechtlichen Besonderheiten eines Arbeitsverhältnisses, in dem der Arbeitnehmer grundsätzlich den Weisungen des Arbeitgebers unterliegt und für diesen tätig wird.

Daraus kann geschlossen werden, dass in der Praxis der Arbeitgeber als „Verantwortlicher“ der Haftende ist, auch wenn vielleicht der Arbeitnehmer gegen datenschutzrechtliche Vorschriften verstoßen hat.

Das sieht auch die Datenschutzkonferenz (DSK) so. Nach Meinung der DSK sollen Unternehmen für schuldhafte Datenschutzverstöße ihrer Beschäftigten haften, sofern kein Mitarbeiterexzess vorliegt. Diese Haftung für Mitarbeiterverschulden ergebe sich aus der Anwendung des sogenannten funktionalen Unternehmensbegriffs. Danach sollen Unternehmen für das Fehlverhalten sämtlicher Mitarbeiter haften. Ausgenommen seien solche Handlungen von Beschäftigten, die nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zugerechnet werden können, sogenannte „Exzesse“.

 

Ausnahme: Haftung des Arbeitnehmers beim sogenannten Mitarbeiterexzess

In bestimmten Fällen kann also auch der Arbeitnehmer der Haftende sein. Begeht der Arbeitnehmer nämlich einen datenschutzrechtlichen Verstoß in einem „Mitarbeiterexzess“, ist der Arbeitgeber von der Haftung ausgenommen und nicht mehr Adressat des Bußgeldes oder des Schadensersatzanspruchs, sondern alleine der jeweilige Arbeitnehmer. Der sogenannte „Mitarbeiterexzess“ betrifft die Fälle, in denen sich der Arbeitnehmer nicht mehr innerhalb seines arbeitsvertraglich vorgesehenen Aufgabenbereichs bewegt. In solchen Fällen kann eine Zurechnung des Verschuldens auf den Arbeitgeber als nicht sachgerecht empfunden werden, sodass dieser auch nicht mehr „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO ist. Dadurch wird der Mitarbeiter im Rahmen des „Mitarbeiterexzesses“ zum „Verantwortlichen“.

Klassische Anwendungsfälle des „Mitarbeiterexzesses“ sind Konstellationen, in denen beispielsweise auf berufliche Dateien zugegriffen wird, um diese erlangten Informationen dann für private Zwecke zu gebrauchen. Hier ist dann der Arbeitnehmer allein verantwortlich. Zwar stellt der Arbeitgeber die Mittel für den Zugriff auf die Informationen zur Verfügung, jedoch nicht für den Zweck, diese für den privaten Gebrauch zu verwenden.

 

Konsequenzen für den Arbeitnehmer

Wenn der Arbeitnehmer seine Zugriffsberechtigung überschreitet, indem er Dateien zu persönlichen Zwecken zweckentfremdet, verletzt er den Schutz personenbezogener Daten und verstößt damit gegen die DSGVO. Dieses eigenverantwortliche Fehlverhalten von Beschäftigten ist eine meldepflichtige Verletzung des Schutzes personenbezogener Daten nach Art. 33 Abs. 1 DSGVO, die dann an die zuständige Aufsichtsbehörde weitergeleitet werden muss. Im Rahmen des „Mitarbeiterexzesses“ ist der Arbeitnehmer dann „Verantwortlicher“ gegenüber der betroffenen Person und macht sich ihr gegenüber nach Art. 82 Abs. 1 DSGVO schadensersatzpflichtig. Betroffene werden jedoch meist ihre Schadensersatzansprüche gegenüber dem Unternehmen an sich geltend machen und nicht gegen den einzelnen Arbeitnehmer.

Das Unternehmen könnte möglicherweise auch mitverantwortlich sein, wenn es gegebenenfalls keine effektiven Sicherungsmaßnahmen eingerichtet hat. Art. 82 Abs. 3 DSGVO sieht jedoch die Möglichkeit der Exkulpation vor. Demnach wird der Verantwortliche oder der Auftragsverarbeiter von der Haftung gemäß Absatz 2 befreit wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Jedoch wird es im Falle des „Mitarbeiterexzesses“ in der Regel darauf hinauslaufen, dass der Arbeitnehmer dann vollumfänglich in Regress genommen wird, da ein „Mitarbeiterexzess“ normalerweise vorsätzlich erfolgt.

 

Regress des Arbeitgebers beim Arbeitnehmer

Die derzeitige Rechtsprechung hat eine andere Haltung als die DSK, wenn kein „Mitarbeiterexzess“ vorliegt, aber dennoch ein Datenschutzverstoß durch den Arbeitnehmer erfolgt. Das Arbeitsverhältnis stellt aus rechtlicher Sicht ein Schuldverhältnis dar. Dadurch haben Arbeitnehmer und Arbeitgeber gegenseitige Rechte und Pflichten einzuhalten. Dabei treffen den Arbeitnehmer Nebenpflichten, wie der vertrauliche Umgang mit personenbezogenen Daten und das Einhalten datenschutzrechtlicher Vorschriften. Wenn der Arbeitnehmer jedoch gegen solche Vorschriften verstößt und infolgedessen gegen den Arbeitgeber als „Verantwortlicher“ ein Bußgeld verhängt wird oder dieser Schadensersatz leisten muss, könne der Arbeitgeber vom Arbeitnehmer Regress nehmen.

 

Grundsätze der Arbeitnehmerhaftung

Bei Berechnung des Umfangs der Arbeitnehmerhaftung nimmt das BAG grundsätzlich eine Differenzierung hinsichtlich der Verantwortlichkeit des Arbeitnehmers vor, um den besonderen Situationen des Arbeitsverhältnisses gerecht zu werden und den Arbeitnehmer nicht mit unverhältnismäßig hohen Summen zu belasten. Dabei geht das BAG so vor, dass es das vorwerfbare Verhalten des Arbeitnehmers anhand verschiedener Abstufungen des Grades der Fahrlässigkeit beurteilt.

 

Leichte Fahrlässigkeit

Ist dem Arbeitnehmer der Datenschutzverstoß nur leicht fahrlässig passiert, soll dieser nicht haften. Diese stellen leicht entschuldbare Pflichtverstöße dar, die jedem Arbeitnehmer beim Ausüben seiner Tätigkeit unterlaufen können. Der Arbeitgeber habe solche Verstöße hinzunehmen, da der Arbeitnehmer immerhin in „dessen Wirtschafts- und Interessenkreis für diesen“ tätig ist und kleine Fehler jedem Arbeitnehmer passieren können.

 

Mittlere Fahrlässigkeit

Wenn der Arbeitnehmer mit mittlerer Fahrlässigkeit einen Verstoß gegen datenschutzrechtliche Vorschriften begeht, ist eine anteilige Haftung vorgesehen. Mittlere Fahrlässigkeit liegt vor, wenn der Arbeitnehmer die objektiv erforderliche Sorgfalt außer Acht lässt. Das bedeutet, dass der Arbeitnehmer den Schaden hätte vorhersehen müssen, aber nicht sorgfältig genug war. Bei der Berechnung der Anteile sind die Umstände des Einzelfalls zu beachten. Dabei werden verschiedene Kriterien herangezogen, sodass sich der Umfang des Schadensersatzes beispielsweise an der Höhe des eingetretenen Schadens, dem Grad des Verschuldens und der Gefahrengeneigtheit der konkreten Tätigkeit, die Höhe des Lohns sowie Billigkeits- und Zumutbarkeitskriterien orientiert.

 

Grobe Fahrlässigkeit

Ist der Datenschutzverstoß des Arbeitnehmers grob fahrlässig verursacht worden, so soll er gegenüber dem Arbeitgeber vollumfänglich haften. Dabei ist jedoch zu beachten, dass es auch hier Haftungsobergrenzen gibt, die sich zum Beispiel am Gehalt des Arbeitnehmers orientieren können.

 

Übertragung auf die DSGVO

Fraglich ist jedoch, inwieweit sich diese Grundsätze hinsichtlich der datenschutzrechtlichen Besonderheiten auf die DSGVO übertragen lassen. Für die Haftung nach der DSGVO ist maßgeblich, dass ein Verstoß gegen die datenschutzrechtlichen Vorschriften vorliegt. Jedoch sind solche Abstufungen des Grades der Fahrlässigkeit, wie zuvor dargelegt, der DSGVO nicht bekannt. Das bedeutet, man müsste diese Haftungsgrundsätze auf ein System anwenden, das solche Abstufungen gar nicht vorsieht.

Wenn man die DSGVO näher betrachtet, findet sich in Art. 83 Abs. 2 DSGVO eine Berücksichtigung der Umstände des Einzelfalls für die Verhängung von Bußgeldern. Jedoch im Rahmen der Haftung und dem Recht auf Schadensersatz nach Art. 82 DSGVO. In Art. 82 Abs. 5 DSGVO ist zwar normiert, dass im Falle eines Schadensersatzes ein Ausgleich je nach Verschulden zwischen den Verantwortlichen oder Auftragsverarbeitern stattfinden soll. Jedoch entspricht dies gerade nicht dem vorliegenden Fall, da kein Mitarbeiterexzess vorliegt. Daher ist der Arbeitgeber der Verantwortliche und es liegt eben keine gemeinsame Verantwortlichkeit mit dem Arbeitnehmer vor.

 

Bedeutung für die Arbeitnehmer

Welche Bedeutung hat dies nun für die Arbeitnehmer? Wie dargestellt, stellt sich die Übertragung der Haftungsgrundsätze mit den Abstufungen des Grades der Fahrlässigkeit auf die DSGVO noch recht schwierig dar. Es bleibt abzuwarten, wann und wie Gerichte datenschutzrechtliche Fallbeispiele für mehr Rechtssicherheit und Vorhersehbarkeit entwickeln. Da die DSGVO als Adressat des Bußgeldes oder Schadensersatzes nur den „Verantwortlichen“ im Sinne des Art. 4 Nr. 7 DSGVO oder den Auftragsverarbeiter vorsieht, wird sich noch zeigen, inwiefern sich die Besonderheiten der DSGVO auswirken werden.

 

Ausblick

Es wird deutlich, dass noch immer Unklarheiten hinsichtlich der Haftung bestehen. Abzuwarten bleibt, wie die Rechtsprechung in Zukunft solche Konstellationen beurteilen und entscheiden wird. Insbesondere im Hinblick auf die Übertragbarkeit der Haftungsgrundsätze des BAG auf die Besonderheiten der DSGVO würden Fallbeispiele wesentlich zu mehr Rechtssicherheit beitragen. Fest steht jedoch, dass der Arbeitgeber im Grundsatz „Verantwortlicher“ und damit der richtige Adressat von Bußgeldern und Schadensersatzansprüchen ist. Eine Ausnahme davon ist das Vorliegen eines „Mitarbeiterexzess“, bei dem der Arbeitnehmer selbst als Verantwortlicher auftritt. Arbeitnehmer sollten also mit besonderer Vorsicht darauf achten die vom Arbeitgeber zur Verfügung gestellten Daten nicht für private Zwecke zu verwenden. Denn dann ist der Arbeitnehmer vollständig persönlich haftbar und läuft Gefahr sich eventuellen Schadensersatzansprüchen ausgesetzt zu sehen.

 

 
 
 
 

 

 

 

Die Kündigung eines Arbeitnehmers aufgrund von Nachlässigkeiten in Sachen Datenschutz ist nicht nur möglich, sondern auch zulässig. Dies bestätigte das LAG Sachsen kürzlich mit Urteil vom 07.04.2022 (Az. 9 Sa 250/21), in dem eine Kündigung wegen mehrmaligen Verstoßes gegen Anweisungen zum Datenschutz für rechtmäßig erklärt wurde.

 

Das Wichtigste in Kürze

  • Verstöße gegen datenschutzrechtliche Vorgaben des Arbeitgebers können eine Kündigung rechtfertigen.
  • In der Regel muss ein Arbeitnehmer auch bei Datenschutzverstößen vor Ausspruch einer Kündigung zunächst (unter Umständen mehrmals) abgemahnt werden.
  • In besonders gravierenden Fällen kann eine Abmahnung entbehrlich sein.
  • Zur Beurteilung ob eine Abmahnung erforderlich ist, kommt es darauf an wie stark sich die konkret begangene Datenschutzverletzung auf das bestehende Vertrauensverhältnis zwischen Arbeitgeber und Arbeitnehmer auswirkt.

 

Ausgangsfall

Die Klägerin war als Kreditsachbearbeiterin im beklagten Unternehmen beschäftigt. Im Unternehmen der Beklagten galt eine umfassende Richtlinie zur Informationssicherheit und Clean-Desk-Policy. Darin ordnete die Beklagte bestimmte organisatorische Maßnahmen des Datenschutzes an. Unter anderem sah die Richtlinie vor, dass Beschäftigte insbesondere beim Verlassen ihres Arbeitsplatzes bestimmte Maßnahmen ergreifen müssen, um sensible Daten vor der Einsichtnahme unbefugter Dritter zu schützen. Insbesondere sahen die Regelungen vor, dass Dokumente oder Datenträger mit vertraulichem Inhalt nicht offen am Arbeitsplatz liegen gelassen werden dürfen, sondern in eine Schublade, einen Schrank oder eine ähnliche Einrichtung gesperrt oder eingeschlossen werden müssen, wenn der Arbeitsplatz verlassen oder aus anderen Gründen nicht beaufsichtigt wird.

Nachdem die Klägerin im Laufe des Arbeitsverhältnisses nachweislich mehrmals gegen die unternehmensinternen Datenschutzvorgaben verstoßen hat, indem sie unter anderem ihre Schreibtischschublade, die sensible Kundendaten enthielt, nicht abgeschlossen hatte, folgte auf mehrere Abmahnungen eine ordentliche Kündigung. Die Arbeitnehmerin hatte mit ihrer darauf folgenden Kündigungsschutzklage in der ersten Instanz zunächst Erfolg. Anders sah das jedoch das LAG Sachsen , dass in der Summe der einzelnen geringfügigen Verstöße eine erhebliche Hauptpflichtverletzung der Klägerin sieht, die sich insbesondere auf den Betriebsablauf der Beklagten ausgewirkt haben sollen. Daher sei die Kündigung rechtmäßig und wirksam.

 

Verstöße gegen Datenschutzrichtlinien des Arbeitgebers stellen einen Kündigungsgrund dar

Das LAG setzt sich in seinem Urteil mit den Pflichtverletzungen der Klägerin detailliert auseinander. Diese lagen im konkreten Fall darin, dass sie entgegen der Arbeitsanweisung ihres Arbeitgebers zur Clean Desk Policy, während ihrer Büroabwesenheit schützenswerte Dokumente unverschlossen in ihrem Schreibtisch aufbewahrt hatte. Insbesondere folgte das Berufungsgericht nicht der Auffassung der Klägerin, wonach die Vorgaben der Beklagten zum Wegsperren von Dokumenten mit schützenswerten Inhalten nicht zwingend bedeute, dass Schränke oder Schubladen verschlossen sein müssen. Unter Verweis auf den Duden hat das LAG ausgeführt, dass das Verständnis der Klägerin, mit der Bedeutung des Wortes „wegsperren“ nicht zu vereinbaren sei. Zudem habe der Arbeitgeber sein Ziel sensible Daten vor unberechtigten Zugriffen zu schützen mit seiner Wortwahl unmissverständlich zum Ausdruck gebracht. Dieses Ziel sei aber durch die Ablage in einer unverschlossenen Einrichtung gerade nicht zu erreichen gewesen. Weiterhin stellte das Gericht klar, dass organisatorische Datenschutzmaßnahmen des Arbeitgebers nicht nur dem Schutz vor unbefugten Zugriffen externer Personen dienen, sondern auch Zugriffe durch andere Mitarbeiter verhindern sollen, die im Rahmen ihrer Tätigkeit keinen Zugriff auf die Daten haben dürfen und daher als unberechtigte Dritte anzusehen sind.

 

Arbeitnehmer haften grundsätzlich nicht für DSGVO-Verstöße

Nach deutschem Recht haftet grundsätzlich derjenige für einen entstandenen Schaden, der diesen zu vertreten hat (§ 276 BGB). Im Rahmen eines Arbeitsverhältnisses gilt das Prinzip der Eigenverantwortung nur eingeschränkt. Für Datenschutzverstöße im Rahmen einer Beschäftigung gilt insoweit nichts anderes. So ist in der Regel der Arbeitgeber Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO, da er darüber entscheidet, welche Daten zu welchem Zweck erhoben und welche technische und organisatorische Maßnahmen in diesem Zusammenhang getroffen werden. So haftet in der Regel der Arbeitgeber gegenüber betroffenen Kunden oder ggf. auch anderen Beschäftigten für Schäden, die infolge von Datenschutzverletzungen seiner Arbeitnehmer verursacht werden. Nur in Ausnahmefällen wird der Arbeitnehmer persönlich in Anspruch genommen. Wann eine persönliche Haftung des Arbeitnehmers vorliegt, können Sie in diesem Beitrag nachlesen.

 

Datenschutzverstöße können zu einer Kündigung des Arbeitsverhältnisses führen

Neben den üblichen Verstößen gegen die DSGVO wie beispielsweise einer unberechtigten Löschung von Daten, einem Datenmissbrauch oder einem Verstoß gegen Verschwiegenheitspflichten können auch Verstöße gegen datenschutzrechtliche Vorgaben des Arbeitgebers von Bedeutung sein. Vor allem dann, wenn diese einen kündigungsrelevanten Sachverhalt begründen. Ob eine Kündigung aufgrund eines Verstoßes gegen unternehmensinterne Datenschutzvorgaben rechtmäßig ist oder nicht, ist letztlich eine Frage des Einzelfalls..

 

Vor dem Ausspruch einer Kündigung muss der Arbeitnehmer grundsätzlich abgemahnt werden

Datenschutzverletzungen aufseiten des Arbeitnehmers stellen regelmäßig einen abmahnungsfähigen Sachverhalt dar, unabhängig davon, ob gesetzliche Vorgaben oder unternehmensinterne Richtlinien des Arbeitgebers verletzt werden. Im Falle einer Kündigung ist es regelmäßig erforderlich, dass im Vorfeld eine oder ggf. auch mehrere Abmahnungen erteilt wurden, so wie es auch in dem hier vorliegenden Fall geschah. Greift ein Arbeitnehmer beispielsweise auf Daten zu, für die er eigentlich keine Zugriffsberechtigung hat, kann der Arbeitgeber eine Abmahnung aussprechen.

 

Eine Abmahnung kann unter bestimmten Umständen entbehrlich sein

In besonders gravierenden Fällen kann eine Abmahnung ausnahmsweise aber auch entbehrlich sein. In welchen Fällen das angenommen werden kann, wird von der Rechtsprechung aufgrund einer Vielzahl denkbarer Verstöße nicht einheitlich beantwortet. Denn jedes Unternehmen weist ein breites Spektrum an schützenswerten Daten in seinem Bestand auf. Weiterhin muss die Stellung des jeweiligen Arbeitnehmers und die Art der geschützten Daten im konkreten Fall berücksichtigt werden, da das Vertrauensverhältnis zwischen Arbeitnehmer und Arbeitgeber je nach Sachlage unterschiedlich stark betroffen sein kann.

 

Wann eine Abmahnung entbehrlich ist, ist eine Frage des Einzelfalls

Die bereits vorhandene Rechtsprechung kann insoweit lediglich als Orientierung dienen. Sie vermag jedoch keine verlässliche Antwort auf die Frage zu geben, wann eine Abmahnung als milderes Mittel zur Kündigung entbehrlich ist. Insofern muss nach allgemeinen Grundsätzen eine Betrachtung des Einzelfalls vorgenommen werden, um entscheiden zu können, wie schwerwiegend der jeweilige Verstoß ist und ob dieser geeignet ist, die Vertrauensgrundlage nachhaltig zu beeinträchtigen. In diesem Zusammenhang sei beispielhaft auf einige Fälle hingewiesen, die in der Vergangenheit von den Arbeitsgerichten entschieden wurden:

Im Rahmen eines Kündigungsschutzprozesses hatte das Landesarbeitsgericht Köln bereits vor dem Inkrafttreten der DSGVO entschieden, dass ein Arbeitnehmer zunächst mit einem deutlichen Hinweis auf die durch ihn begangenen Datenschutzverstöße abgemahnt werden muss, bevor ihm die Kündigung ausgesprochen werden kann. In dem zugrundeliegenden Fall hatte ein angestellter Programmierer, unberechtigterweise Einsicht in eine Geheimliste auf dem Firmen-Computer genommen.

In einem vergleichbaren Fall vor dem Arbeitsgericht Osnabrück nahm ein Arbeitnehmer in rechtswidriger und strafbarer Weise Einsicht in vertrauliche Daten. Das Arbeitsgericht sah im Verhalten des Arbeitnehmers einen schwerwiegenden Vertrauensbruch, der den Arbeitgeber auch ohne den vorherigen Ausspruch einer Abmahnung zur ordentlichen Kündigung berechtigte.

Das Arbeitsgericht Aachen ging noch weiter und hat in einem Fall sogar die außerordentliche Kündigung ohne eine zuvor ausgesprochene Abmahnung für rechtmäßig erkannt. In dem zu entscheidenden Fall hatte ein Arbeitnehmer mit langjähriger Betriebszugehörigkeit drei E-Mails seines Vorgesetzten mitgelesen. Dies war ihm aufgrund seiner Position als Systemadministrator technisch zwar möglich, in seinem Arbeitsvertrag jedoch ausdrücklich untersagt.

Die vorgenannten Entscheidungen machen deutlich, dass es bei Verstößen gegen Datenschutzbestimmungen stets einer Einzelfallbetrachtung bedarf. Dabei ist vor allem entscheidend, wie stark sich die konkret begangene Datenschutzverletzung auf das bestehende Vertrauensverhältnis zwischen Arbeitgeber und Arbeitnehmer auswirkt. Je stärker dieses tangiert ist, desto eher kann man davon ausgehen, dass eine vorherige Abmahnung entbehrlich ist.

 

Arbeitnehmer sollten nachweislich umfassend über ihre Pflichten zum Datenschutz aufgeklärt werden

Um dies im Rahmen eines Kündigungsschutzprozesses nachvollziehbar darlegen zu können, sollten Arbeitgeber ihre Beschäftigten zu Beginn ihrer Tätigkeit umfassend über die im Betrieb geltenden Datenschutzbestimmungen informieren. Die Informationserteilung sollte bestenfalls schriftlich erfolgen und durch den Beschäftigten optimalerweise bestätigt werden. Schließlich wird eine nachhaltige Schädigung des Vertrauensverhältnisses wesentlich leichter zu bejahen sein, wenn feststeht, dass der Arbeitnehmer trotz ausreichender Aufklärung die Vorgaben des Arbeitgebers missachtet hat.

 

Folgen von Datenschutzverstößen für den Arbeitgeber

Arbeitgeber sollten ihren Beschäftigten Richtlinien zum Zwecke des Datenschutzes und der Datensicherheit vorgeben. Denn unabhängig von der Beeinträchtigung des Geschäftsablaufs durch den Verlust von Geschäftsgeheimnissen oder Kundendaten, können Nachlässigkeit in Sachen Datenschutz zu meldepflichtigen Datenschutzvorfällen nach Art. 33 DSGVO führen. Kommt es infolge von Datenschutzverstößen zu aufsichtsbehördlichen Aufsichtsmaßnahmen, Bußgeldern oder Schadensersatzansprüchen betroffener Personen, haftet regelmäßig das Unternehmen als datenschutzrechtlich Verantwortlicher. Nicht zu vernachlässigen ist auch die Tatsache, dass dem Unternehmen bei öffentlich bekannt gewordenen Datenschutzvorfällen ein Image- und Reputationsschäden drohen könnte.

 

Maßnahmen des Datenschutzes und der Datensicherheit am Arbeitsplatz

Auch wenn grundsätzlich allein das Unternehmen haftete, sollten auch Beschäftigte dieses Thema ernst nehmen und mit personenbezogenen Daten verantwortungsbewusst umgehen. Dies kann in den meisten Fällen bereits durch folgende Maßnahmen erreicht werden:

  • Einrichtung und Aktivierung einer Zugriffssperre am PC/Laptop
  • Sensible Dokumente nicht offen einsehbar liegen lassen
  • Hardware unbekannter Herkunft nicht mit dem PC/Laptop verbinden
  • Passwörter sicher aufbewahren
  • E-Mails auf Seriosität überprüfen
  • Sensible Dokumente nicht in der Öffentlichkeit bearbeiten
  • Keine offenen WLAN-Netze verwenden
  • Log-In-Daten nicht an Dritte weitergeben
  • Datenverluste oder andere Unregelmäßigkeiten an den Vorgesetzten oder Datenschutzbeauftragten melden.

 

Fazit

Das aktuelle Urteil des LAG Sachsen macht deutlich, dass auch Verstöße gegen organisatorische Maßnahmen des Arbeitgebers eine Kündigung rechtfertigen können. In Anbetracht der Tatsache, dass bei Datenschutzverstößen sowohl empfindliche Bußgelder als auch Schadensersatzansprüche betroffener Personen drohen können, legen Arbeitgeber viel Wert auf die Einhaltung von Vorschriften zum Datenschutz. Denn regelmäßig ist im Falle eines Verstoßes das Unternehmen Adressat von Sanktionen und Schadensersatzansprüchen, da dieses als datenschutzrechtlich Verantwortlicher anzusehen ist. Daher sollte es Anliegen eines jeden Arbeitgebers sein, seine Arbeitnehmer für den Datenschutz zu sensibilisieren und deutlich zu machen, dass die Nichtbeachtung arbeitsrechtliche Konsequenzen und im härtesten Fall eine Kündigung nach sich ziehen kann. Die Arbeitnehmer wiederum sind gut beraten den Arbeitgeber bei diesen Bestrebungen zu unterstützen und sich an die vorgegebenen Richtlinien zu halten.

 

 
 
 

 

 

 

Aktuell werden tausende Webseiten-Betreiber aufgrund der dynamischen Einbindung von Google Fonts auf ihren Websites abgemahnt und zur Zahlung einer Geldentschädigung in Höhe von 100 bis zu 500 Euro aufgefordert. Dabei handelt es sich bereits um die zweite Abmahnwelle in diesem Jahr. Auch diesmal sind die Abmahnungen auf das Urteil des Münchner Landgerichts vom 20. Januar 2022 (LG München I, Urteil v. 20.01.2022 – 3 O 17493/20) zurückzuführen. Demnach stünde einem Webseiten-Besucher, dessen personenbezogene Daten beim Aufrufen einer Webseite mit dynamischer Einbindung von Google Fonts, durch die ohne Einwilligung die IP-Adresse an den Google-Standort in den USA weitergeleitet wird, ein Anspruch auf Schadensersatz zu.

 

Das Wichtigste in Kürze

  • Durch eine dynamischen Einbindung von Google Fonts wird eine automatische Verbindung mit den Google-Servern hergestellt und die IP-Adresse der Webseiten-Besucher übermittelt.
  • Für die Erfassung und Übermittlung der IP-Adresse ist grundsätzlich eine Rechtsgrundlage i.S.d. DSGVO erforderlich.
  • Die Übermittlung der dynamischen IP-Adresse eines Website-Besuchers an Googles US-Standort ohne eine Einwilligung im Sinne des Art. 6 Abs. 1 lit. a) DSGVO ist unzulässig.
  • Betroffenen könnte ein Anspruch auf immateriellen Schadensersatz gem. Art. 82 DSGVO zustehen.

 

Unrechtmäßige Weitergabe personenbezogener Daten beim Einsatz von Google Fonts

Bei Google Fonts handelt es sich um ein interaktives Verzeichnis des US-amerikanischen Konzerns Google, das mittlerweile über 1.400 Schriftarten enthält, die Website-Betreibern lizenzfrei zur Verfügung gestellt werden. Betreiber binden das Verzeichnis auf ihrer Website ein, um den Besuchern den Zugriff auf die verschiedenen Schriftarten zu ermöglichen. Dabei haben sie zum einen die Möglichkeit, die Schriftarten herunterzuladen, lokal zu speichern und vom lokalen Server in den Internetauftritt einzubinden, wobei keine Verbindung zu Google-Servern aufgebaut wird. Zum anderen können die Schriften aber auch dynamisch in den Webauftritt eingebunden werden. Problematisch hierbei ist, dass der Aufruf einer Webseite im Falle einer dynamischen Einbindung von Google Fonts mit der Übermittlung personenbezogener Nutzerdaten in die USA einhergeht. Denn in der Praxis werden die Schriftarten regelmäßig auf der Webseite über einen Link eingebunden. Beim Aufruf der Webseite wird eine Verbindung zum Google-Server in den USA hergestellt und die benötigte Schriftart geladen. Mit dem Verbindungsaufbau erfolgt jedoch auch die Übermittlung der IP-Adresse des Webseiten-Besuchers an Google.

 

IP-Adressen sind personenbezogene Daten

Bereits vor einigen Jahren hat der Bundesgerichtshof bestätigt, dass es sich bei IP-Adressen um personenbezogene Daten i.S.d. DSGVO handelt. Begründet wird dies damit, dass Website-Betreiber mithilfe der IP-Adresse die abstrakte Möglichkeit haben, die dahinterstehende Person identifizieren zu lassen. Daher ist für ihre Erfassung und Übermittlung grundsätzlich eine Rechtsgrundlage erforderlich.

 

LG München: Dynamische Einbindung von Google Fonts verstößt gegen die DSGVO

Als Rechtsgrundlage kommt in diesem Fall alleine eine vorherige Einwilligung des Webseiten-Besuchers in Frage. In den meisten Fällen liegt eine Einwilligung bei der Einbindung von Google Fonts jedoch nicht vor, sodass mangels einer rechtlichen Grundlage für die Erhebung und Weitergabe der IP-Adresse ein DSGVO-Verstoß vorliegt. Dies hat auch das LG München im Januar dieses Jahres mit einem Urteil bestätigt. Ein „berechtigtes Interesse“ des Website-Betreibers im Sinne des Art. 6 Abs. 1 lit. f) DSGVO als alternative Rechtsgrundlage schloss das Landgericht in diesem Fall richtigerweise aus. Schließlich kann Google Fonts vom Webseiten-Betreiber auch lokal eingesetzt werden, wodurch eine automatische Verbindung zum Google-Server und die Übermittlung der IP-Adresse verhindert wird. Diese deutlich datensparsamere Variante ist ohne wesentlich größeren Aufwand umsetzbar.

 

Nutzer war nicht zu Verschlüsselung seiner IP-Adresse verpflichtet

Ein Mitverschulden des klagenden Website-Besuchers hat das Gericht verneint. Dieser sei nicht zur Verschlüsselung seiner IP-Adresse im Vorfeld des Website-Besuchs verpflichtet gewesen. Begründet hat das Landgericht diese Entscheidung damit, dass ein solches Verlangen dem Zweck des Datenschutzrechts natürliche Personen bei der Verarbeitung ihrer Daten vor Beeinträchtigungen zu schützen zuwiderlaufen würde.

 

100 Euro DSGVO-Schadensersatz wegen „Unwohlsein“

Neben einem Unterlassungsanspruch sprach das Gericht dem Betroffenen auch einen Anspruch auf Schadensersatz gem. Art. 82 DSGVO in Höhe von 100 Euro zu. Den Anspruch begründete das Gericht mit dem Eingriff in das allgemeine Persönlichkeitsrecht des Betroffenen, das auf dem Kontrollverlust über sein an Google übermitteltes personenbezogenes Datum beruht. Zudem rechtfertige das damit verbundene Unwohlsein des Betroffenen einen Anspruch auf Schadensersatz. Dies gelte insbesondere unter Berücksichtigung der Tatsache, dass es sich bei Google um ein Unternehmen handele, das bekanntermaßen massenweise Daten seiner Nutzer sammelt, und dass in dem konkreten Fall eine mehrmalige Übermittlung der IP-Adresse stattfand und diese unstreitig an Google-Server in den USA übermittelt wurde, obwohl dort nach aktueller Rechtslage kein angemessenes Datenschutzniveau gewährleistet ist. Auf die Frage, ob das Erreichen bzw. Überschreiten einer Erheblichkeitsschwelle notwendige Voraussetzung eines Anspruchs auf immateriellen Schadensersatz ist, kam es im hiesigen Fall nach Auffassung des Gerichts nicht an, da diese jedenfalls durch die mehrmalige Weitergabe der IP-Adresse an Google überschritten wurde.

 

Abmahnwelle wegen angeblicher DSGVO-Verstößen

Viele Unternehmen erhalten aktuell Abmahnschreiben, die unter Berufung auf die Argumentation des Münchner Landgerichts Schadensersatzforderungen enthalten. Dabei geben die Aussteller an, die Website des Empfängers besucht zu haben, wobei ihre IP-Adresse aufgrund der Einbindung von Google Fonts an Google übermittelt worden sei.

Angesichts der derzeit dem EuGH vorliegenden Vorlagefragen in Sachen UI gegen Österreichische Post AG (Rechtssache C‑300/21) und des zugehörigen Schlussantrags des Generalanwalts, der einen Schadensersatz wegen „Unwohlseins“ ablehnt, ist es völlig unklar, ob andere Gerichte der Argumentation des Münchner Landgerichts zum Geldentschädigungsanspruch zukünftig folgen werden. Zumindest anwaltliche Abmahnschreiben sollten jedoch sicherheitshalber einer juristischen Prüfung unterzogen werden. Die Ausführungen der Schreiben sind jedoch, oft lückenhaft und nicht stichhaltig, da beispielsweise u.a. die Übermittlung der IP-Adresse nachgewiesen werden müsste. Außerdem könnte es sich gegebenenfalls um rechtsmissbräuchliche Schreiben handeln, wenn diese alleine darauf zurückzuführen sind, dass die angeblich Betroffenen(eventuell sogar automatisiert mittels Web-Crawler) die Website absichtlich und ausschließlich dazu aufgerufen haben, um anschließend etwaige Zahlungsansprüche geltend zu machen..

 

 

Fazit

Das Urteil des LG München macht deutlich, dass bei einer dynamischen Einbindung von Google Fonts das Risiko einer datenschutzrechtlichen Abmahnung besteht, die in der Regel mit einer Schadensersatzforderung einhergeht. Inzwischen sehen sich viele Webseiten-Betreiber mit Abmahnungen und Schadensersatzforderungen aufgrund dieses Urteils konfrontiert. Auch wenn die zugesprochene Summe von 100 Euro auf den ersten Blick nicht empfindlich zu sein scheint, ist zu bedenken, dass grundsätzlich jedem Webseiten-Besucher ein Schadensersatzanspruch zustehen könnte. Bei einer Vielzahl von Webseitenaufrufen dürfte regelmäßig ein hoher Betrag zusammenkommen, wenn alle Betroffenen einen Schadensersatzanspruch geltend machen würden. Darüber hinaus sollte nicht außer Acht gelassen werden, dass die vom Münchner Gericht aufgestellten Grundsätze auch auf andere Schriftartendienste übertragbar sind. Aus diesem Grund ist für Unternehmen – gleich welcher Größe – nun höchste Zeit, die Einbindung von Google Fonts sowie anderen US-Webdienste auf der eigenen Website zu überprüfen, um Abmahnungen und Entschädigungsansprüche der Webseiten-Nutzer zu vermeiden. Sofern US-Webdienste wie Google Fonts eingesetzt werden sollen, muss die statische Variante des Services, bei der die Schriftarten lokal abgespeichert werden, genutzt werden. Die Alternative der Nutzereinwilligung ist bei Schriftarten regelmäßig nicht praktizierbar. Schlussendlich sollte auf eine Abmahnung in diesem Bereich jedoch keinesfalls ohne Weiteres gezahlt werden, sondern immer zunächst anwaltlicher Rat eingeholt werden.

 

 
 
 

 

 

 

Nachdem die EU-Kommission am 13. Dezember 2022 den Grundstein für einen Angemessenheitsbeschluss gelegt hat, veröffentlichte das Europäische Zentrum für digitale Rechte „None of your business“ (kurz: Noyb) noch am selben Tag ein Statement zum Entwurf des Angemessenheitsbeschlusses. Der aktuelle Beschlussentwurf, in dem die EU-Kommission den USA ein angemessenes Datenschutzniveau bescheinigt, stellt bereits den dritten Versuch dar, den transatlantischen Datentransfer rechtssicher zu gestalten.

 

Das Wichtigste in Kürze

  • Laut Noyb würde ein Angemessenheitsbeschluss nach derzeitigen Entwurf einer Überprüfung durch den EuGH nicht standhalten, da dieser sich auf die US-Executive Order vom Oktober 2022 stütze.
  • Diese Executive Order werde den Anforderungen des EuGH nicht gerecht, da sie keine wesentlichen Änderungen zur bisherigen Rechtslage vorsehe und die Massenüberwachung durch die US-Geheimdienste nicht unterbinde.
  • Der Datenschutzaktivist und Gründer von „Noyb“ Maximilian Schrems hat eine detaillierte Prüfung des Entwurfs angekündigt. Schrems brachte durch seine Klagen bereits die beiden vorhergehenden Versuche zur Regelung des transatlantischen Datenverkehrs mit den USA vor dem EuGH zu Fall.

 

Beachtung des Verhältnismäßigkeitsgrundsatzes und Möglichkeit eines wirksamen Rechtsbehelfs

Die neue Angemessenheitsentscheidung soll den Privacy Shield ersetzen, der vor zweieinhalb Jahren vom EuGH für ungültig erklärt wurde. In seinem „Schrems II“-Urteil kritisierte der EuGH, dass die Überwachungsmaßnahmen der US-Geheimdienste entsprechend Art. 52 Charta der Grundrechte (GrCh) auf ein verhältnismäßiges Maß reduziert werden müsse und entsprechend Art. 47 GrCh ein Rechtsbehelfsmechanismus geschaffen werden müsse, bevor den USA ein angemessenes Datenschutzniveau attestiert werden könne.

 

„Noyb“ schließt „Schrems III“ nicht aus

Maximilian Schrems äußerte bereits unmittelbar nach Veröffentlichung der US-Executive Order im Oktober 2022 Bedenken im Hinblick auf eine Nachfolgelösung. Und auch unmittelbar nach Veröffentlichung des Entwurfs eines Angemessenheitsbeschlusses der EU-Kommission reagiert Schrems skeptisch. Nach Auffassung des Datenschützers sei das Ergebnis der Verhandlungen über einen multilateralen Vertrag zur Gewährleistung eines einheitlichen Datenschutzniveaus noch nicht zufriedenstellend. Schrems hat angekündigt, den Entwurf einer detaillierten Prüfung zu unterziehen, jedoch zeige bereits eine oberflächliche Betrachtung, dass ein Angemessenheitsbeschluss nach derzeitigen Entwurf einer Überprüfung des EuGH nicht standhalten werde, da dieser sich auf die bereits begutachtete Executive Order stütze. Sollte der Angemessenheitsbeschluss nach dem Entwurf entlassen werden, könnte es bereits das dritte EU-US-Abkommen sein, das vor dem EuGH scheitert.

 

Vorgesehene Maßnahmen sind nicht ausreichend

Der im Oktober veröffentlichte Präsidialerlass, der die Grundlage des aktuellen Entwurfs bildet, wird nach Auffassung des Datenschützers den Anforderungen des EuGH nicht gerecht, da er keine wesentlichen Änderungen zur bisherigen Rechtslage vorsehe und die Massenüberwachung durch die US-Geheimdienste nicht unterbinde. Kritisch sei auch, dass der Beschlussentwurf auf einer Executive Order des US-Präsidenten gründet. Dabei handele es sich zwar um eine für die Exekutive bindende Verwaltungsanordnung. Allerdings könne diese jederzeit vom US-Präsidenten geändert werden.

 

Problem der Massenüberwachung besteht weiterhin

Trotz Zusicherung seitens der US-Regierung, die Überwachungsmaßnahmen unter Beachtung des Verhältnismäßigkeitsgrundsatzes auf ein notwendiges Maß zu beschränken, so wie es den Grundprinzipien des EU-Rechts entspricht, seien kaum Anzeichen dafür vorhanden, dass die Überwachungspraxis rechtlich und faktisch eingeschränkt werde. Im Detail moniert „Noyb“, dass die US-Regierung in der Durchführungsverordnung von Oktober sogar klargestellt habe, dass Daten aus der EU, die an US-Dienstleister übermittelt werden, weiterhin durch US-Überwachungsprogramme wie PRISM oder Upstream laufen werden, obwohl das Vorgehen bereits in zwei Urteilen (Schrems I, Schrems II) für unrechtmäßig erklärt wurde. Zwar haben sich die Regierungen darauf geeinigt, dass die Überwachungspraxis in Zukunft auf ein „verhältnismäßiges“ Maß beschränkt werde. Jedoch hätten sie es versäumt, das europäische Verständnis über die rechtliche Bedeutung dieses Begriffs zugrunde zu legen. Nur dann könne man davon ausgehen, dass die USA auch tatsächlich die Massenüberwachung grundlegend einschränken würde.

 

Effektivität der Rechtsbehelfe nicht gewährleistet

Im Hinblick auf den Grundsatz des Rechtsbehelfs, der von der EU-Grundrechtecharta (GrCh) in Art. 47 gefordert wird, sei in der Executive Order zwar ein sog. US Data Protection Review Court vorgesehen. Jedoch sei laut „Noyb“ überaus fraglich, ob diese als Gericht bezeichnete Stelle den Anforderungen des Art. 47 GrCh gerecht werde. Trotz der Bezeichnung als Gericht handele es sich im rechtlichen Sinne lediglich um eine Stelle der Exekutive, womit das System mehr ein Äquivalent zur früheren Ombudsstelle darstelle als ein echtes Gericht.

 

 

Ausblick

Der Entscheidungsentwurf befindet sich nun im Annahmeverfahren. Zunächst wird der Europäische Datenschutzausschuss (EDSA) den Entwurf überprüfen und Stellung nehmen. Sollte der EDSA zu einem ähnlichen Ergebnis wie die Datenschutzorganisation kommen, ist dies jedoch unerheblich, da negative Stellungnahmen des EDSA und der EU-Mitgliedstaaten für die EU-Kommission nicht bindend sind. Obgleich es durchaus einige nachvollziehbare Kritikpunkte gibt, stellt der Entwurf angesichts der seit Jahren herrschenden Rechtsunsicherheit für eine Vielzahl von EU- und US-Unternehmen eine begrüßenswerte Entwicklung in Richtung einer verlässlichen Lösung dar. Nun bleibt zunächst abzuwarten, ob der Entwurf in den nächsten Monaten in seiner jetzigen Fassung verabschiedet wird.

 

Call Now ButtonKontakt aufnehmen