Mehr Infos

Einsatz von Mailchimp aus datenschutzrechtlicher Sicht

 
 
 

 

 

 

Die Auslagerung etwaiger E-Marketing Services, die Nutzung transnationaler cloudbasierter Technologien und der Versand von Newslettern im Bereich des Marketings sind nicht mehr wegzudenken.

Dem Bayerischen Ladensamt für Datenschutz lag eine Beschwerde vor, in der ein Kunde eines Unternehmens, welches den amerikanischen Newsletter-Management- Service Mailchimp nutzt, den Transfer seiner personenbezogenen Daten in die USA meldete. Zwar wird Mailchimp von Start-Ups und großen Unternehmen gleichermaßen genutzt und erfreut sich großer Beliebtheit. Allerdings steckt hinter dem praktischen Tool ein US-Unternehmen, welches die Einhaltung der DSGVO-Bestimmungen für deutsche Unternehmen erschwert.

Da viele europäische Unternehmen mit Mailchimp kooperieren, stellt sich die Frage, ob eine Zusammenarbeit überhaupt DSGVO-konform ist.

 

Das Wichtigste in Kürze:

  • Mailchimp ist ein US-Anbieter für E-Mail-Marketing Services und Marketing-Automatisierungsplattformen mit 60% Markanteil.
  • Das Bayerische Landesamt für Datenschutz (BayLADa) ermittelte gegen ein Unternehmen, das Mailchimp für seine Newsletter nutzte und E-Mail-Adressen von Abonnenten in die USA weiterleitete.
  • Der Einsatz von Mailchimp und die damit verbundene Weiterleitung personenbezogener Daten in die USA wurden im konkreten Fall als unzulässig eingestuft.
  • Grund war die fehlende Überprüfung „zusätzlicher datenschutzkonformer Maßnahmen“ nach Vorgabe der EU-Standartvertragsklauseln und des EuGH-Urteils „Schrems-II“ durch das Unternehmen bei der Verwendung von Mailchimp.

Hintergrund datenschutzrechtlicher Bedenken von Mailchimp

Mailchimp ist ein Tool für das Newsletter-Management mit Sitz in Atlanta in den USA. Damit können Unternehmen ihre Mailings erstellen, verwalten und versenden. Trotz vielzähliger Vorteile, wie die Vielfalt zur Verfügung stehender Templates für Newsletter, die intuitive und einfache Handhabe der Plattform, der Reichweite der E-Mails an Empfänger und der Einbettung in dynamischen Content, tauchten vermehrt Ungereimtheiten und Schwachstellen hinsichtlich des Datenschutzniveaus auf.

Unternehmen müssen für die Nutzung von Mailchimp notwendigerweise personenbezogenes Datenmaterial, wie Mail-Adressen ihrer Kunden, aus den Händen geben. Bei Mailchimp handelt es sich um eine Software-as-a-Service-Lösung, sodass die Software nicht auf den Servern des nutzenden Unternehmens installiert wird.

Die E-Mail-Adressen der Empfänger werden stattdessen an US-amerikanischen Servern von Mailchimp übermittelt und dort verarbeitet.

 

Datenübermittlung in die USA als „unsicheres Drittland“

Es stellt sich in diesem Zuge die Frage, in welchem Umfang die Datenübermittlung an sog. Newsletter-Provider, wie Mailchimp, zulässig ist.

Lange Zeit regelte dies, in Bezug auf Übermittlungen in die USA, der sog. „Privacy Shield“. Hierdurch wurde eine Datentransferierung in die USA mit zertifizierten, bei dem US-Handelsministerium gemeldeten Unternehmen rechtlich untermauert.

Der EuGH kippte den Privacy Shield durch das „Schrems-II“ Urteil.

Kernaussage des Urteils ist die Anwendbarkeit der Datenschutz-Grundverordnung auf die Übermittlung personenbezogener Daten in ein Drittland auch in solchen Fällen, in denen es aus Gründen der nationalen Sicherheit oder Verteidigung zu einem Zugriff durch Geheimdienste dieses Landes kommt.

Die Gerichte begründen ihre Entscheidung damit, dass der Privacy-Shield nicht vor Zugriffen der US-Geheimdienste schütze und aufgrund der Rechtslage in den USA kein angemessenes Datenschutzniveau sichergestellt werden könne. Dies bekräftigt u.a Section 702 des FISA, die keine Beschränkung der Überwachungsmaßnahmen der Geheimdienste und keine Garantien für Nicht-US-Bürger vorsieht.

Mailchimp fiel vormalig ebenfalls unter den Privacy Shield. Allerdings erfolgte keine Sicherstellung der Einhaltung von Richtlinien durch eine offizielle Institution, wodurch dessen Wirkungsweise auf Kritik stieß. Konnte der Datenschutz durch Mailchimp bis zu Schrems-II als unzureichend qualifiziert werden, verbesserte sich die Situation durch das Urteil nicht.

 

Anforderungen an die Datenübermittlung in ein Drittland

Für die Datenübermittlung in ein Drittland muss, neben den EU-Standardvertragsklauseln, sichergestellt sein, dass ein Gleichlauf des Schutzniveaus personenbezogener Daten mit demjenigen in der EU besteht.

Dies ist im Lichte der EU-Grundrechte-Charta und im Hinblick auf Art. 46 I DSGVO auszulegen, nämlich geeignete Garantien vom Verantwortlichen, durchsetzbare Rechte und wirksame Rechtsbehelfe für die betroffenen Personen einzuräumen. Hier sind nicht nur vertragliche Beziehungen zwischen Datenexporteur und Importeur relevant, sondern auch die Zugriffsmöglichkeit durch Behörden des Drittlandes.

Ohne „zusätzliche Maßnahmen“ der Vertragspartner würden die Standardklauseln keinen angemessenen Schutz bieten, sind Behörden des Drittlandes, in dem sie nach Recht des Drittlandes befugt sind, in die Rechte der betroffenen Person einzugreifen, nicht an die Standardklauseln gebunden.

Bei der Verwendung von Mailchimp als US-amerikanisches Unternehmen fehlte vorliegend also die notwendige Prüfung, ob zu den EU-Standarddatenschutzklauseln, die Mailchimp anbietet, „zusätzliche Maßnahmen“ im Sinne der Art. 44 ff. DSGVO erfolgt sind, um eine datenschutzkonforme, an einheitlich europäischen Maßstäben orientierte Verarbeitung zu gewährleisten.

Ist ein solches angemessenes Schutzniveau nicht sichergestellt, muss die Aufsichtsbehörde für den Datenschutz die Datenübermittlung aussetzen oder verbieten, sofern der Schutz nicht durch andere Maßnahmen hergestellt ist.

Damit entschied die Aufsichtsbehörde jedenfalls nicht, dass der Einsatz von Mailchimp generell als unzulässig zu bewerten ist.

 

Zulässigkeitsprüfung für Mailchimp

Wie eine Zulässigkeitsprüfung des Einsatzes von Mailchimp als US-Dienst letztlich aussehen könnte, veröffentlichte die Aufsichtsbehörde Baden-Württemberg jüngst in einer Orientierungshilfe:

  • Erwägung einer Alternative

Hier erfolgt eine Prüfung, ob es etwaige Alternativangebote von Dienstleistern gibt, die ihren Sitz nicht in unsicheren Drittländern, wie den USA haben. Überdies findet eine Interessenabwägung statt, die z.B. Risiken und finanzielle Aufwände der Umstellung und die Einarbeitung des Teams etc. berücksichtigt.

  • Bewertung des Gefährdungsgrades für die Abonnenten

Der Gefährdungsgrad wird dadurch bestimmt, welche potentiellen Folgen mit welcher Wahrscheinlichkeit für die Abonnenten drohen im Falle des Eingriffs eines US-Geheimdienstes. Die Brisanz des Newsletters aus US-amerikanischer Perspektive ist hier ein Parameter (Newsletter kontrovers politischer Natur).

  • Sicherung des Datenschutzniveaus

Der Anspruch des Datenschutzniveaus hängt von dem besagten Gefährdungsgrad der Abonnenten ab und den Vorgaben der einheitlich europäischen Datenschutzmaxime.

Schlussendlich ist festzuhalten, dass die zusätzlichen Maßnahmen umso strenger ausfallen müssen, je sensibler die Daten sind.

 

Ausblick

Ein generelles Verbot von Mailchimp steht also nicht im Raume. Lediglich die unterlassene Prüfung in Hinblick auf zusätzliche Maßnahmen zur Absicherung des fehlenden, ebenbürtigen Datenschutzniveaus in der USA sind hingegen in das Zentrum datenschutzrechtlicher Besorgnis gerückt.

Da viele Unternehmungen Mailchimp aktuell nutzen, sollten folgende Fragen geklärt werden: Welche Daten werden an Mailchimp übermittelt? Werden Tracking-Funktionen genutzt? Welche zusätzlichen Maßnahmen stellt Mailchimp zum Datenschutz bereit? Mit welchem Aufwand und welchen Kosten wäre zu rechnen, wenn eine Umstellung der Newsletter auf EU-Dienstleister erforderlich wäre?

Generell ist es geboten, vor der Weitergabe von personenbezogenen Daten, eine Bestandsaufnahme zu machen, in welchen Fällen Ihr Unternehmen personenbezogene Daten in Drittländer exportiert, sich mit dem Vertragspartner im Drittland in Verbindung zu setzen und sich über die Rechtslage im Drittland zu informieren.

Überdies ist zu hinterfragen, ob es für das Drittland einen Angemessenheitsbeschluss (Art. 45 DSGVO) gibt und ob die von der Kommission beschlossenen Standardvertragsklauseln nutzbar sind.

 
 
 

 

 

 

Neben dem Recht auf Auskunft ist das Recht auf Vergessenwerden eines der wesentlichen Betroffenenrechte aus der Datenschutzgrundverordnung. Wann Betroffene dieses Recht geltend machen können und wann eine Löschpflicht des Verantwortlichen vorliegt, wird durch die DSGVO näher geregelt. Neben einer tatsächlichen Löschung sieht der Gesetzgeber die Möglichkeit der Anonymisierung vor.

In welchen Fällen eine Anonymisierung erfolgen kann und wie diese Abläuft, können Sie diesem Beitrag entnehmen.

 

Das Wichtigste in Kürze

  • Nach Art. 17 DSGVO hat jeder Betroffene das Recht, vom Verantwortlichen eine Löschung der über ihn gespeicherten personenbezogenen Daten zu verlangen
  • Eine Löschverpflichtung des Verantwortlichen kann unter Umständen entfallen, wenn eine der Ausnahmen des Art. 17 Abs. 3 DSGVO vorliegt
  • Ausschlaggebend für die Umsetzung der Löschpflicht nach Art. 17 DSGVO ist der Löscherfolg. Es muss faktisch unmöglich sein von den personenbezogenen Informationen Kenntnis zu nehmen.
  • Unter Umständen genügt für eine Löschung eine Anonymisierung der personenbezogenen Daten.
  • Eine Anonymisierung kann durch Randomisierung, Generalisierung oder eine Kombination der beiden Varianten erfolgen.

 

Recht auf Vergessenwerden

Im Gegensatz zu den anderen Betroffenenrechten, die sich aus der DSGVO ergeben und regelmäßig einen Antrag des Betroffenen voraussetzten, ergibt sich das Recht auf Vergessenwerden sowie ein unmittelbarer Löschanspruch der betroffenen Person auch unabhängig von einem Antrag aus Art. 17 Abs. 1 DSGVO.

Eine Löschung muss insoweit unverzüglich vorgenommen werden, wenn die betroffene Person eine Löschung verlangt und sobald einer der Löschgründe aus Art. 17 Abs. 1 DSGVO gegeben ist.

 

Pflicht zur Löschung nach Art. 17 Abs. 1 DSGVO

Liegen folgende Voraussetzungen vor, ist der Verantwortliche zur unverzüglichen Löschung verpflichtet:

  • Die personenbezogenen Daten, die für die Verarbeitung zu einem bestimmten Zweck erhoben wurden, werden nicht mehr benötigt
  • Der Betroffene widerruft seine ursprünglich erteilte Einwilligung und es liegt keine anderweitige Rechtsgrundlage ein
  • Der Betroffene widerspricht der Datenverarbeitung im Sinne von Art. 21 DSGVO
  • Die Datenverarbeitung war unrechtmäßig
  • Die Löschung dient der Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen
  • Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste gem. Art. 8 Abs. 1 DSGVO erhoben

Ausnahmen von der Löschpflicht nach Art. 17 Abs. 3 DSGVO

Liegt eine der folgenden Ausnahmen nach Art. 17 Abs. 3 DSGVO vor, entfällt eine Pflicht des Verantwortlichen:

  • Die Verarbeitung ist für die Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich;
  • Die Verarbeitung für die Erfüllung einer Rechtspflicht oder einer öffentlichen Aufgabe erforderlich ist;
  • Der Löschung steht ein öffentliches Interesse im Bereich der öffentlichen Gesundheit entgegen;
  • Die Verarbeitung ist zu Archiv-, Forschungs- und statistischen Zwecken erforderlich;
  • Die Verarbeitung ist für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.

 

Mit der Löschpflicht zusammenhängende Pflichten

Abgesehen von der konkreten Löschung ist der Verantwortliche weiterhin gem. Art. 19 DSGVO verpflichtet, weitere Datenempfänger zu benachrichtigen. Zudem ist der Verantwortliche gem. Art. 17 Abs. 2 DSGVO verpflichtet, sofern die Daten öffentlich gemacht wurden, weitere Verantwortliche davon zu unterrichten, dass der Betroffene eine Löschung sämtlicher Links zu diesen personenbezogenen Daten oder gegebenenfalls Kopien oder Replikationen dieser personenbezogenen Daten verlangt.

Zudem ist im Anschluss an die Löschung die betroffene Person über den Löschvorgang nach Art. 19 DSGVO zu informieren.

 

Umsetzung der Löschpflicht

Nach Art. 4 Nr. 2 DSGVO stellt der Löschvorgang selbst eine Datenverarbeitung i.S.d. DSGVO dar. Da der Begriff des Löschens in der DSGVO nicht weiter definiert wird, können Löschungen auf unterschiedliche Art und Weise durchgeführt werden. Zu beachten ist hierbei, dass von der unverzüglichen und unentgeltlichen Löschpflicht des Verantwortlichen solche Daten ausgenommen sind, die vom Verantwortlichen rechtmäßig offengelegt und infolgedessen von Dritten gespeichert wurden.

Folgende Löschhandlungen kommen grundsätzlich in Betracht:

  • Überschreiben der Datenträger, die die personenbezogenen Daten speichern;
  • Physische Zerstörung der Datenträger und fachmännische Entsorgung;
  • Löschung der Verknüpfungen oder Codierungen, die eine Wahrnehmung der personenbezogenen Daten ermöglichen;
  • Auslistung (insb. bei Suchmaschinen).

Ausschlaggebend für die Umsetzung der Löschpflicht nach Art. 17 DSGVO ist der Löscherfolg. Das heißt, es muss faktisch unmöglich sein von den personenbezogenen Informationen Kenntnis zu nehmen.

Löscherfolg durch Anonymisierung

Es stellt sich mithin die Frage, ob für eine Löschung von personenbezogenen Daten eines Betroffenen nach Art. 17 Abs. 1 DSGVO eine sachgemäße Anonymisierung ausreicht. Schließlich können anonymisierte Daten keiner natürlichen Person mehr zugeordnet werden. Anonymisierte Daten weisen keinerlei Personenbezug auf, sodass sie nicht mehr den datenschutzrechtlichen Vorschriften unterfallen.

Die DSGVO enthält in diesem Zusammenhang keine praktischen Regelungen oder Definitionen im Hinblick auf anonyme Daten. Auf anonymisierte Daten wird lediglich in Erwägungsgrund 26 Bezug genommen. Danach finden datenschutzrechtliche Grundsätze keine Anwendung, wenn Informationen vorliegen, die keinen Bezug zu einer identifizierten oder identifizierbaren natürliche Person haben.

Eine absolute Anonymisierung dahingehend, dass es niemandem mehr möglich ist einen Personenbezug wiederherzustellen, wird in der Regel kaum möglich sein. Im Hinblick darauf ist es aus Sicht des Datenschutzes ausreichend, dass der Personenbezug lediglich so weit aufgehoben ist, dass es faktisch unmöglich ist, eine Re-Identifizierung vorzunehmen. Es darf faktisch auch nicht mehr möglich sein, eine natürliche Person anhand mehrerer Datensätze eines Datenbestandes oder auch unter mehreren voneinander unabhängigen Datenbeständen zu identifizieren. Dies ist regelmäßig dann der Fall, wenn Kosten und Zeitaufwand einer erneuten Identifizierung unverhältnismäßig hoch wären.

Im Hinblick auf eine sachgemäße Anonymisierung ist auf den Zeitpunkt der Durchführung sowie die zu diesem Zeitpunkt vorhandenen Technologien und technologischen Entwicklungen abzustellen. In diesem Zusammenhang obliegt es dem Verantwortlichen in regelmäßigen Abständen sicherzustellen, dass die Anonymisierung dem aktuellen Stand der Technik entspricht und jegliche Re-Identifizierungsmöglichkeit zu beseitigen.

 

Arten der Anonymisierung

Die Art. 29-Datenschutzgruppe werden mögliche Arten der Anonymisierung in folgende drei Gruppen eingeteilt:

  • Randomisierung

Dabei werden Datensätze aus dem Datenbestand zufällig herausgegriffen und isoliert. Dies kann je nach Datenbestand zu einer permanenten De-Identifikation führen. Allerdings muss dies für den konkreten Fall geprüft und sichergestellt werden.

  • Generalisierung

Hierbei werden Quasi-Identifier wie Einzelangaben und Werte so gut wie möglich zusammengefasst, sodass künstlich ein Verlust von Informationen herbeigeführt wird.

  • Kombination der Randomisierung und Generalisierung

Durch eine Kombination der genannten Varianten wird eine Verknüpfung der Datensätze in verschiedenen Datenbanken verhindert, sodass diese nicht mehr in Verbindung gebracht werden können.

 

Rechtsgrundlage der Anonymisierung

Da nach Ansicht des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) auch eine Anonymisierung eine Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 2 DSGVO in Gestalt einer Veränderung bzw. der Löschung darstellt, bedarf es auch für diese einer Rechtsgrundlage.

Grundsätzlich kommen insoweit sämtliche Rechtsgrundlagen des Art. 6 DSGVO in Betracht. In diesem Zusammenhang ist ein Rückgriff auf die Zweckänderung aus Art. 6 Abs. 4 DSGVO von besonderem Interesse. Darauf könnte die Anonymisierung  gestützt werden, sofern sie mit dem ursprünglichen Verarbeitungszweck, für den die Daten erhoben wurden, vereinbar ist.

Weiterhin wird als Rechtsgrundlage für die Anonymisierung Art. 6 Abs. 1 S. 1 lit. c) i.V.m. Art. 17 DSGVO herangezogen, da die Anonymisierung der Erfüllung der Löschpflicht des Verantwortlichen dient.

 

Geeignetheit der Anonymisierung zur Erfüllung der Löschpflicht

Unabhängig von der Frage nach der Rechtsgrundlage, auf welche die Anonymisierung gestützt werden kann, ist die Frage zu klären, ob eine Anonymisierung eine geeignete Löschhandlung zur Erfüllung der Löschpflicht des Verantwortlichen darstellt und dem Löschanspruch des Betroffenen gerecht wird. Insbesondere, da es in der Regel nur schwer feststellbar ist, wann eine sachgerechte Datenanonymisierung vorliegt.

Insoweit hat der Verantwortliche seiner Löschpflicht bereits Genüge getan, wenn es im Zeitpunkt der Vornahme der Anonymisierung faktisch unmöglich ist einen Personenbezug wiederherzustellen. In dem genannten Zeitpunkt darf es nicht möglich sein, ohne unverhältnismäßigen Aufwand eine Person zu identifizieren oder identifizierbar zu machen.

Die Löschpflicht aus Art. 17 DSGVO steht in engem Zusammenhang mit dem Grundsatz der Speicherbegrenzung aus Art. 5 Abs. 1 lit. e) DSGVO. Letzterer besagt, dass die Identifizierung oder Identifizierbarkeit einer Person nur solange möglich sein darf, bis der Verarbeitungszweck, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, erreicht ist.

Daraus folgt, dass eine Löschpflicht nach Art. 17 Abs.1 lit. a) DSGVO immer dann besteht, sobald die personenbezogenen Daten für eine zweckgebundene Datenverarbeitung nicht mehr erforderlich sind.

Daher ist die Löschpflicht immer dann ausreichend erfüllt, wenn durch eine geeignete Löschhandlung im Rahmen einer sachgemäßen Anonymisierung jeglicher Personenbezug, der eine Identifizierung oder Identifizierbarkeit ermöglicht, aufgehoben wird.

 

Ausblick

Liegt eine gesetzliche Löschpflicht vor oder machen Betroffene ihren Anspruch auf Löschung geltend, hat dies nicht unbedingt zur Folge, dass Daten vernichtet werden müssen. Auch Maßnahmen der Anonymisierung können einer Löschung im Sinne der DSGVO genügen. Diese Art der Datenverarbeitung birgt allerdings auch Risiken. Bei der Durchführung einer Anonymisierung gilt es daher unbedingt zu beachten, dass eine Rechtsgrundlage vorliegt und Sie als Verantwortlicher ihren Informationspflichten nachkommen, in dem Sie den Betroffenen umfassend über eine Anonymisierung informieren.

Da die Generierung eines anonymen Datenbestandes eine große Herausforderung für den Verantwortlichen darstellt und einige Fehlerquellen birgt, sollte in der Regel eine Risikoanalyse und gegebenenfalls eine Datenschutz-Folgenabschätzung durchgeführt werden. Findet in Ihrem Unternehmen regelmäßig eine Datenanonymisierung statt, sollten Sie die bestehende Anonymisierungen überprüfen und gegebenenfalls neu bewerten.

 

 
 
 

 

 

 

 

Datenschutz – eines der größten Haftungsrisiken

Die beste Strategie zur Vermeidung von Bußgeldern auf Grund von Datenschutzverstößen ist die umfängliche und kompromisslose Einhaltung aller Regelungen der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetztes (BDSG). Leider sind viele Regelungen der DSGVO unklar gefasst und noch immer sind zahlreiche praktische Fragen ungeklärt.

Die genauen Anforderungen an die rechtskonforme Umsetzung einzelner Datenverarbeitungen oder an das Datenschutzmanagementsystem eines Unternehmens sind ohne besondere Expertise nicht bewertbar. Für Verantwortliche ist es daher umso wichtiger, Vorkehrungen zu treffen, um das Unternehmen und sich selbst vor Haftung zu schützen.

 

Die Haftung für DSGVO-Verstöße

Die DSGVO selbst sieht als Sanktionsmöglichkeiten insbesondere Schadensersatzansprüche (Art. 82 DSGVO) sowie die Verhängung von Geldbußen bis zu 20 Millionen Euro oder 4 % des weltweiten Vorjahresumsatzes des Unternehmens / Konzerns vor.

Adressat dieser Sanktionen ist zunächst die Verantwortliche Stelle (Art. 4 Nr. 7 DSGVO). Im Falle von Unternehmen ist dies regelmäßig die juristische Person selbst und nicht deren Geschäftsführer oder Vorstände.

Allerdings kann sich für Geschäftsführer und Vorstände eine persönliche Haftung ergeben, wenn die Datenschutzverstöße auf einer Verletzung ihrer Aufsichts- und Legalitätspflichten beruhen.

Das mangelnde Hinwirken auf die Einhaltung der Regelungen des Datenschutzes stellt eine Sorgfaltspflichtverletzung im Sinne des § 43 GmbHG sowie § 93 Abs.2 AktG dar und kann zu Regressansprüchen des Unternehmens gegenüber der Leitung führen. Dabei können sich Vorstände und Geschäftsführer nicht auf die Behauptung zurückziehen, über kein ausreichendes Fachwissen zu verfügen oder die Aufgabe delegiert zu haben.

Die Unternehmensleitung ist verpflichtet, sich umfassend über die Regelungen des Datenschutzes zu informieren oder beraten zu lassen und für die ständige Einhaltung der Gesetze in ihrem Unternehmen zu sorgen.

Des Weiteren können Geschäftsführer und Vorstände gemäß § 130 Abs. 1 OWiG auch persönlich Adressaten eines Bußgeldes sein, wenn sie schuldhaft gegen Aufsichts-, Überwachungs- oder andere Sorgfaltspflichten verstoßen und es innerhalb ihres Unternehmens dadurch zur Begehung von Straftaten oder Ordnungswidrigkeiten kommt. Insbesondere der Verstoß gegen Datenschutzvorschriften stellt neben einer möglichen Strafbarkeit auch eine Ordnungswidrigkeit im Sinne der o.g. Norm dar.

 

Wie wir Ihnen helfen, die Haftung zu vermeiden

In einem ersten Schritt verschaffen wir uns in Form eines Kurzaudits einen Überblick über den Ist-Stand des Datenschutzmanagementsystems Ihres Unternehmens. Auf Grundlage dessen identifizieren wir unmittelbar dessen Schwachstellen und entwickeln gemeinsam mit Ihnen eine Roadmap, um die Haftungsrisiken in Ihrem Unternehmen entsprechend ihrer Priorität zu beheben.

Teil dieses Prozesses ist insbesondere eine umfassende Begutachtung aller in Ihrem Unternehmen durchgeführten Datenverarbeitungen, von der Erhebung bis hin zur Archivierung und Löschung. Aus dieser Begutachtung leiten wir klare Handlungsempfehlungen für Sie ab.

Sind diese umgesetzt und die Datenschutzkonformität der Verarbeitung wurde durch uns festgestellt, kann ihrem Unternehmen und Ihnen nicht mehr vorgeworfen werden, wissentlich gegen die DSGVO verstoßen zu haben. Im Rahmen des Auf- bzw. Ausbaus ihres Datenschutzmanagementsystems beraten und unterstützen wir Sie in allen Bereichen.

Von der fachlichen Überprüfung der Einführung technischer und organisatorischer Maßnahmen über die Vorbereitung und Verhandlung von Betriebsvereinbarungen mit Ihrem Betriebsrat bis hin zur Verteidigung gegen Bußgeldbescheide und Rechtsansprüche Dritter.

 
 
 

 

 

 

Der Versand von E-Mails gehört heute sowohl in der privaten Kommunikation als auch im unternehmerischen Geschäftsverkehr zum Alltag. Doch gerade beim Versenden von E-Mails kann es recht schnell zu einer Datenpanne kommen. Bereits ein Tippfehler im Adressfeld kann dazu führen, dass die Nachricht an eine falsche Person zugestellt wird. Aber auch beim Versenden vom Massen-E-Mails kann das Eintragen der Empfänger-Adressen in das falsche Feld einen Datenschutzverstoß begründen. In diesem Zusammenhang führte erst kürzlich die Versendung einer solchen Massen-E-Mail an einen größeren Personenkreis durch ein Impfzentrum zu einer schwerwiegenden Datenschutzpanne.

 

Das Wichtigste in Kürze

  • Impfzentrum veröffentlichte in einer Massen-E-Mail versehentlich knapp 1.500 Mailadressen
  • Nutzung offener E-Mail-Verteiler für das Versenden von Rundmails kann einen Verstoß gegen die DSGVO begründen
  • Eine Ausnahme offener E-Mail-Verteiler ist nur für den privaten Bereich vorgesehen
  • Für den datenschutzkonformen Versand von Rundmails sollte das Feld für die Blindkopie „Bcc“ verwendet werden

 

 

Personenbezogene Daten nach Impfterminabsage einsehbar

Nachdem im Kampf gegen das Corona-Virus das Impfen mit dem Vakzin AstraZeneca in Deutschland vorübergehend ausgesetzt wurde, verursachte eine Mitarbeiterin des Impfzentrums im Ennepe-Ruhr-Kreis bei der kurzfristigen Absage der Impftermine eine schwerwiegende Datenpanne.

Im Rahmen der Terminabsagen wurde eine Rundmail an alle knapp 1500 Impfkandidaten versendet. In der E-Mail waren für alle Empfänger neben dem Kommunikationsinhalt die Mailadressen sämtlicher Impfkandidaten, die bereits einen Impftermin vereinbart hatten, sichtbar.  Die Mitarbeiterin hatte sämtliche Adressen in das falsche Feld des Mailprogramms kopiert.

Auch bei E-Mail-Adressen handelt es sich regelmäßig um personenbezogene Daten. Somit stellt dieser Sachverhalt einen klaren Datenschutzverstoß dar, auch wenn keinerlei Gesundheitsdaten offengelegt wurden.

 

Nutzung offener E-Mail-Verteiler

Immer wieder kommt es auch im geschäftlichen Alltag vor, dass Rundmails, beispielsweise im Rahmen vom Newslettern versandt werden und zahlreiche E-Mail-Adressen offengelegt werden, weil der Absender die Adressen in das An- oder Cc-Feld des E-Mail-Programms einfügt. In einem solchen Fall ist für Empfänger erkennbar, welche E-Mail-Adressen dieselbe Nachricht erhalten haben.

Die Nutzung offener E-Mail-Verteiler für das Versenden von Massen-E-Mails kann grundsätzlich immer einen Verstoß gegen die DSGVO begründen.

Gemäß der Datenschutzgrundverordnung handelt es sich bei Vernichtung, Verlust oder, wie im vorliegenden Fall, der unbefugten Offenlegung von Daten um eine Verletzung des Schutzes personenbezogener Daten.

Sofern die Mail-Adressen mit dem Namen personalisiert sind, kann unter Umständen mit geringem Aufwand die Identität der dazugehörigen Person ermittelt werden. Enthalten demnach die im Verteiler aufgelisteten E-Mail-Adressen den eindeutigen Namen einer Person, liegen personenbezogene Daten vor. Wird die E-Mail-Adresse, die einen Namen enthält und somit einer natürlichen Person zuordenbar ist an Dritte weitergegeben, liegt darin ein meldepflichtiger Verstoß gegen die DSGVO vor. Denn personenbezogene Daten dürfen nur dann an Dritte übermittelt werden, wenn eine Einwilligung des Betroffenen vorliegt oder aber eine gesetzliche Grundlage gegeben ist.

Da im vorliegenden Fall keine Einwilligung der Betroffenen für die Offenlegung ihrer E-Mail-Adresse vorlag, wäre eine andere gesetzliche Grundlage erforderlich gewesen, die ebenso wenig vorhanden war.

Eine Ausnahme offener E-Mail-Verteiler ist nur für den privaten Bereich vorgesehen.

 

Datenschutzkonformer Versand von Rundmails

Grundsätzlich dürfen personenbezogene E-Mail-Adressen bei mehreren E-Mail-Empfängern nicht ohne deren Einwilligung in die Felder „An“ oder „Cc“ der E-Mail-Programme eingegeben werden. Insoweit sollte das Feld für die Blindkopie „Bcc“ verwendet werde. Adressen die in „Bcc“ aufgeführt sind, sind für andere Empfänger nicht sichtbar.

 

Sanktionen

Da es sich bei dem Impfzentrum um eine behördliche Einrichtung handelt, gegen die gem. § 43 Abs. 3 BDSG grundsätzliche kein Bußgeld verhängt werden kann, werden die Verantwortlichen lediglich auf den vorliegenden Datenschutzverstoß hingewiesen.

Demgegenüber kann der Versand von E-Mails mit offenen Verteilerlisten durch Privatpersonen oder Unternehmen schwerwiegende Folgen haben und mit empfindlichen Bußgeldern sanktioniert werden.

Grundsätzlich werden Bußgelder der Behörden lediglich gegenüber Unternehmen als für die Datenverarbeitung Verantwortliche ergehen. Kommt es trotz Schulungsmaßnahmen, Richtlinien und klarerer Vorgaben der Unternehmensleitung dennoch durch Verhalten eines Mitarbeiters zu einer Datenpanne, kann ausnahmsweise auch dieser mit einem Bußgeld belegt werden.

 

Ausblick

Derartige Fehler beim Versand von E-Mails, wie sie dem Impfzentrum unterlaufen sind, sind unbedingt zu vermeiden. Aus diesem Grund sollten Unternehmen ihre Mitarbeiter auch in diesem Bereich für den Datenschutz sensibilisieren. Dies gilt vor allem für Angestellte, die häufig per E-Mail nach außen kommunizieren, um beispielsweise Angebote oder Newsletter an Kunden zu versenden. Insoweit bedarf es der Schaffung klar definierter Prozesse sowie der Anweisung und Schulung sämtlicher Mitarbeiter, die im geschäftlichen Verkehr E-Mails versenden.

 
 
 

 

Bußgeld i.H.v. 475.000 € wegen verspäteter Meldung einer Datenschutzpanne

Spätestens seit der Einführung der Datenschutzgrundverordnung im Mai 2018 sollten Unternehmen die DSGVO und die dort benannten Pflichten ernst nehmen. Immer wieder verhängen die Datenschutzbehörden hohe Bußgelder wegen Missachtung datenschutzrechtlicher Grundsätze. So wurde das niederländische Portal für die Buchung von Unterkünften Booking.com mit einem Bußgeld in Höhe von 475.000 € für die verspätete Meldung einer Datenschutzpanne sanktioniert.

 

Das Wichtigste in Kürze

  • Eine Datenpanne liegt dann vor, wenn es zum Verlust, zur Vernichtung oder zur Veränderung personenbezogener Daten kommt oder unbefugte Dritte Kenntnis von den personenbezogenen Daten erlangen.

  • Art. 33 Abs. 1 DSGVO besteht die Pflicht des Verantwortlichen eine Datenpanne unverzüglich, möglichst binnen 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde zu melden.

  • Eine Ausnahme der Meldepflicht gegenüber der Aufsichtsbehörde kommt dann in Betracht, wenn die Datenschutzverletzung kein oder nur ein geringes Risiko für die Rechte und Freiheiten einer natürlichen Person darstellt.

  • Die Verletzung der Meldepflicht kann mit einer Geldbuße in Höhe von bis zu 10.000.00 Euro oder im Falle eines Unternehmens von bis zu 2 % seines weltweit erzielten Jahresumsatzes sanktioniert werden.

 

Die Datenpanne

Der Bußgeldbescheid der niederländischen Datenschutzbehörde erging infolge einer schweren Datenpanne, die sich bei dem internationalen Online-Portal für die Buchung von Übernachtungsmöglichkeiten Booking.com abgespielt hat. Im Dezember 2018 verschafften sich Cyber-Kriminelle Zugang zu personenbezogenen Daten von über 4.000 Kunden.

Dafür sollen sie sich Zugangsdaten für die Booking.com-Konten von ca. 40 Hotel-Mitarbeitern in den Vereinigten Arabischen Emiraten beschafft haben.

Über die anschließende Nutzung der Plattform, konnten die Hacker auf die personenbezogenen Daten der Kunden zugreifen.

Gestohlen wurden komplette Datensätze mit Namen, Adressen sowie Zahlungsmitteln. Laut Booking.com soll es jedoch zu keiner Kompromittierung  des Codes sowie der Datenbanken gekommen sein.

Darüber hinaus konnten die Hacker telefonisch und per E-Mail, indem sie sich als Mitarbeiter der Plattform ausgaben, Kreditkartendaten abgreifen, wobei teilweise die Sicherheitsnummern einsehbar waren.

 

DSGVO-Verstoß: Verspätete Meldung der Datenpanne

Das Unternehmen mit Sitz in den Niederlanden stellte die Sicherheitsverletzung am 13. Januar 2019 fest. Eine Meldung an die Datenschutzbehörde erfolgte demgegenüber erst 25 Tage später am 7. Februar 2019, nachdem das Unternehmen drei Tage zuvor seine Kunden benachrichtigt hatte. Dieses Vorgehen stellt einen schweren Verstoß gegen die Meldepflicht aus der DSGVO dar.

 

Wann besteht eine Meldepflicht?

Gem. Art. 33 Abs. 1 DSGVO besteht die Pflicht des Verantwortlichen eine Datenpanne unverzüglich, möglichst binnen 72 Stunden nach Bekanntwerden, der zuständigen Aufsichtsbehörde zu melden.

Eine Datenpanne liegt gem. Art. 4 Nr. 12 DSGVO dann vor, wenn es zu einer Verletzung des Schutzes von personenbezogenen Daten kommt, die zum Verlust, zur Vernichtung oder zur Veränderung personenbezogener Daten führt oder zur Kenntnisnahme durch unbekannte Dritte.

Unter den Begriff der Datenschutzverletzung sind folgende Situationen zu fassen:

  • Vernichtung

Erfasst sind alle Formen der Datenlöschung, die eine unwiderrufliche Zerstörung von Daten zur Folge hat, ganz gleich, ob dies vorsätzlich oder unbeabsichtigt erfolgt.

  • Verlust

Auch Daten, die unvorhergesehen verloren gehen, ganz gleich, ob nur vorübergehend oder dauerhaft können einen Datenschutzverstoß darstellen.

  • Veränderung

Darunter ist die inhaltliche Umgestaltung von Daten zu verstehen, durch die personenbezogene Daten einen neuen Informationsgehalt aufweisen.

  • Offenlegung/Weitergabe

Insbesondere die Weitergabe von Daten an Dritte oder die Offenlegung gegenüber Dritten kann einen Datenschutzverstoß bedeuten, wenn keine Einwilligung des Betroffenen vorliegt oder eine andere Rechtsgrundlage einschlägig ist.

  • Unbefugter Zugriff

Können sich Dritte aufgrund unzureichender Sicherheitsmaßnahmen unbefugt Zugang zu personenbezogenen Daten verschaffen und von diesen Kenntnis nehmen, stellt auch dies eine Datenschutzverletzung dar.

Tritt eine dieser Situationen ein, liegt in der Regel eine meldepflichtige Datenschutzverletzung im Sinne des Art. 33 Abs. 1 DSGVO vor.

 

Frist zur Meldung einer Datenpanne

Gem. Art. 33 Abs. 1 DSGVO muss eine Datenpanne unverzüglich, möglichst binnen 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde gemeldet werden.

Die Vorgabe der 72 Stunden-Frist soll eine schnelle Meldung sowie damit einhergehende Maßnahmen zur Eindämmung des Risikos für die Rechte und Freiheiten natürlicher Personen gewährleisten.

Eine Überschreitung der Frist des Art. 33 Abs. 1 DSGVO ist nur dann zulässig, wenn für eine Meldung zu diesem Zeitpunkt nicht genügend Informationen vorliegen. Ist dies der Fall, muss bei Vornahme der Meldung eine überzeugende Begründung der Verzögerung beigefügt werden.

Sofern die inhaltlichen Mindestanforderungen nicht sofort, sondern nur schrittweise erfüllt werden können, besteht nach Art. 33 Abs. 4 DSGVO die Option, die erforderlichen Informationen nach und nach an die zuständige Behörde herauszugeben.

Für die Einhaltung der verhältnismäßig kurzen Frist ist es von großer Wichtigkeit, Datenschutzverletzungen im eigenen Unternehmen schnellstmöglich feststellen zu können. Aus diesem Grund ist es empfehlenswert, Prozesse für die Meldung von Datenpannen zu etablieren.

 

Meldepflicht des Verantwortlichen

Die Meldepflicht trifft grundsätzlich den für die Datenverarbeitung Verantwortlichen.

Sofern eine gemeinsame Verantwortlichkeit vorliegt, ist eine vorherige Festlegung der Verantwortung für eine Meldung erforderlich. Regelmäßig wird die Person, in deren Zuständigkeit die Datenschutzverletzungen dieser Art fallen, verantwortlich sein.

Kommt es im Rahmen einer Auftragsverarbeitung zu einer Datenschutzpanne, hat der Beauftragte gemäß Art. 33 Abs. 2 DSGVO unverzüglich Meldung an den Verantwortlichen zu machen, sodass dieser sich an die zuständige Aufsichtsbehörde wenden kann. Der Auftragsverarbeiter muss die Datenpanne hingegen nicht an die zuständige Aufsichtsbehörde melden.

 

Ausnahme der Meldepflicht

Eine Ausnahme der Meldepflicht gegenüber der Aufsichtsbehörde kommt dann in Betracht, wenn die Datenschutzverletzung kein oder nur ein geringes Risiko für die Rechte und Freiheiten einer natürlichen Person darstellt.

Zentraler Anknüpfungspunkt ist demnach eine zuvor vorgenommene Risikoprognose. Der Verantwortliche muss eine Bewertung des Risikos vornehmen, bei der das Verhältnis von Schwere und Eintrittswahrscheinlichkeit der Verletzung sowie der Schadenshöhe berücksichtigt wird. Dabei müssen für das Nichtvorliegen des Risikos keine Beweise vorliegen. Eine schlüssige Prognose ist ausreichend.

 

Inhaltliche Anforderungen an die Meldepflicht

Inhaltliche Mindestanforderungen einer Meldung an die Aufsichtsbehörde regelt Art. 33 Abs. 3 DSGVO.

Danach muss die Meldung eine umfassende Beschreibung der Art der Datenschutzverletzung (z.B. Zugriff unbefugter Dritter) haben. Darin muss soweit es möglich ist, eine Angabe der Kategorien (z.B. Kundendaten) und der ungefähren Zahl der Betroffenen sowie die ungefähre Zahl der betroffenen personenbezogenen Datensätze enthalten sein.

Weiterhin muss aus der Meldung der Name und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle, eine Beschreibung der wahrscheinlichen Konsequenzen der Datenschutzverletzung sowie eine Beschreibung der vom Verantwortlichen ergriffenen oder geplanten Maßnahmen zur Beseitigung der Datenschutzverletzung und gegebenenfalls zur Abmilderung der nachteiligen Auswirkungen hervorgehen.

 

Benachrichtigung Betroffener über eine Datenpanne

Weiterhin enthält die Verordnung eine abgestufte Melde- und Benachrichtigungspflicht.

So müssen Betroffene im Gegensatz zur Aufsichtsbehörde nach Art. 34 Abs. 1 DSGVO immer erst dann benachrichtigt werden, wenn die Datenschutzverletzung voraussichtlich ein hohes Risiko für ihre Rechte und Freiheiten birgt.

Anders als gegenüber der Aufsichtsbehörde muss der Verantwortliche dem Betroffenen kein umfassendes Bild der Datenschutzverletzung geben. Aus der Benachrichtigung muss lediglich die Art der Datenschutzverletzung hervorgehen, etwaige Kontaktdaten des Datenschutzbeauftragten und eine Beschreibung der wahrscheinlichen Folgen sowie der bereits ergriffenen und empfohlenen Maßnahmen.

Trifft der Verantwortliche im Vorfeld geeignete Sicherheitsvorkehrungen, die einen Zugriff Dritter auf die schützenswerten Daten effektiv verhindern (bspw. durch Verschlüsselung), muss der Betroffene entsprechend Art. 34 Abs. 3 DSGVO nicht benachrichtigt werden. Dasselbe gilt für den Fall, dass der Verantwortliche als Reaktion auf die Datenpanne Maßnahmen ergreift, die mit hoher Wahrscheinlichkeit sicherstellen, dass das hohe Risiko für die Daten des Betroffenen nicht mehr besteht.

 

Form der Meldung einer Datenpanne

Auch wenn Art. 33 DSGVO keine Vorgaben hinsichtlich der Form einer Meldung enthält, empfiehlt es sich aus Gründen des Nachweises einen schriftlichen Meldenachweis zu führen.

Denn in diesem Zusammenhang besteht eine allgemeine Dokumentationspflicht des Verantwortlichen aus der DSGVO, die zum einen der aufsichtsbehördlichen Prüfung und zum anderen dem Verantwortlichen als Nachweis dienen soll.

Entsprechende Meldeformulare sind regelmäßig auf den Webseiten der Landesdatenschutzbehörden zu finden.

 

Bußgeld wegen verspäteter Meldung der Datenpanne

Im Fall von Booking.com hat die niederländische Datenschutzbehörde zur Sanktion der zu spät eingegangenen Meldung ein Bußgeld in Höhe von 475.000 Euro verhängt.

Gem. Art. 83 Abs. 4 lit. a) DSGVO kann bei der Verletzung der Pflicht aus Art. 33 DSGVO eine Geldbuße in Höhe von bis zu 10.000.00 Euro oder im Falle eines Unternehmens von bis zu 2 % seines weltweit erzielten Jahresumsatzes gegen den Verantwortlichen verhängt werden.

 

Ausblick

Bußgelder wie im Fall von Booking.com führen deutlich vor Augen, welche Konsequenzen die mangelhafte Umsetzung der DSGVO und der aus ihr resultierenden Pflichten haben kann. Die Aufsichtsbehörden nehmen die DSGVO ernst und prüfen nicht nur, ob Unternehmen ausreichende Maßnahmen zur Prävention von Datenschutzpannen treffen, sondern sanktionieren vielmehr auch den fehlerhaften Umgang mit Datenpannen, insbesondere verspätete Meldung an die zuständige Behörde. Bereiten Sie Ihr Unternehmen jetzt auf den richtigen Umgang mit Datenschutzpannen vor, indem sie interne Richtlinien zum Vorgehen bei Datenschutzverletzungen aufstellen sowie technische Maßnahmen implementieren, um solchen vorzubeugen.

 
 
 

 

Corona-Tests durch den Arbeitgeber: Datenschutzrechtliche und arbeitsrechtliche Perspektive

 

Auch bei der derzeitigen Entwicklung der Corona-Pandemie bleiben Arbeitgeber nach den Ergebnissen des Bund-Länder-Gipfels vom 22.03.2021 von einer Pflicht zum Anbieten von Corona-Tests in ihren Unternehmen verschont. Zuvor wurde darüber diskutiert, ob die Betriebe verpflichtet werden sollten, ihren Beschäftigten, die nach wie vor in Präsenz statt vom Homeoffice aus tätig werden, regelmäßige Testangebote zu machen. Stattdessen wird nun weiter auf die Selbstverpflichtung der Spitzenverbände der Wirtschaft gesetzt: Diese appellieren an die Unternehmen, ihren Beschäftigten Selbsttests und, wenn möglich, PoC-Antigen-Schnelltests anzubieten. Während die Schnelltests von den Mitarbeitern selbst angewendet werden, müssen PoC-Antigen-Schnelltests von medizinisch oder geeignet geschultem Personal durchgeführt werden. Die Kosten der Tests tragen jeweils die Arbeitgeber. Ob die aufgrund der Selbstverpflichtung freiwillig durchgeführten Maßnahmen ausreichen, soll Anfang April überprüft werden und sodann gegebenenfalls die Arbeitsschutzverordnung angepasst werden.

Einzelne Bundesländer sehen in diesem Rahmen schon weitergehende Verpflichtungen vor: In Sachsen sind Arbeitgeber bspw. bereits aufgrund der dort geltenden Corona-Schutz-Verordnung angewiesen, ihren Beschäftigten einmal pro Woche einen kostenfreien Selbsttest anzubieten, unter dem Vorbehalt hinreichender Verfügbarkeit der Tests.

Gleich, ob der Arbeitgeber verpflichtet ist oder freiwillig handelt – in Hinblick auf Corona-Tests am Arbeitsplatz stellt sich zunächst die Frage, ob der Arbeitgeber seinerseits den Arbeitnehmer verpflichten kann, sich testen zu lassen bzw. selbst einen Test durchzuführen. Bei Durchführung der Tests resultieren hieraus weitere datenschutzrechtliche Fragestellungen, die ebenfalls im Folgenden näher beleuchtet werden sollen.

 

Darf der Arbeitgeber verpflichtende Corona-Tests anordnen?

Die grundsätzliche Möglichkeit des Arbeitsgebers, die Durchführung eines Corona-Tests für seine Arbeitnehmer anzuordnen, ergibt sich aus seinem Weisungsrecht nach § 106 GewO. Nach dieser Vorschrift darf der Arbeitgeber die Art der Arbeitsleistung nach „billigem Ermessen“ näher bestimmen, was eine Interessenabwägung voraussetzt. Der Arbeitgeber kann sich als Grundlage für die Weisung hierbei zunächst auf seine Pflicht berufen, während der Corona-Pandemie die erforderlichen Maßnahmen zum Gesundheitsschutz in seinem Betrieb zu treffen, § 618 I BGB, §§ 3, 9 II, III ArbSchG. Auch insoweit müsste eine Verpflichtung der Arbeitnehmer zu einem Selbst- oder Schnell-Test aber verhältnismäßig sein. Voranzustellen ist insofern, dass Selbst- und Schnelltests jedenfalls einen geeigneten Weg darstellen, um eine Corona-Infektion aufzudecken. Anders zu beurteilen kann die Geeignetheit der Maßnahme bspw. bei Temperaturmessungen am Betriebseingang sein, denn es ist nicht nachgewiesen, dass Fieber ein sicherer Indikator für eine Corona-Infektion ist.

Auf Seiten des Arbeitgebers besteht sodann ein allgemeines Interesse am betrieblichen Gesundheitsschutz sowie ein Interesse an der Verhinderung von infektionsbedingten Betriebsschließungen und einem störungsfreien Arbeitsablauf. Auf Seiten der Arbeitnehmer sind das Recht auf körperliche Unversehrtheit sowie sein Persönlichkeitsrecht in die Abwägung einzustellen. Jedoch wird man wohl nur einen leichten Eingriff in die körperliche Unversehrtheit des Arbeitnehmers annehmen können, denn dieser erschöpft sich in einem unangenehmen Gefühl bei Durchführung des Tests ohne weitere Folgen und ist zudem zeitlich stark begrenzt. Vor diesem Hintergrund werden vor allem bei vermehrten Infektionsfällen im Betrieb die vorgenannten Arbeitgeberinteressen überwiegen. Auch ohne auffälliges Infektionsgeschehen im Betrieb kann dies in Hinblick auf die Testung einzelner Arbeitnehmer der Fall sein, wenn diese Krankheitssymptome aufweisen, denn dann haben sie aufgrund Nr. 4.2.11 der SARS-CoV-Arbeitsschutzregel dem Arbeitsplatz fernzubleiben. Im Übrigen kann auch regelmäßig dann von einem Überwiegen der Arbeitgeberinteressen ausgegangen werden, wenn es sich um Arbeitsplätze mit engem Personenkontakt handelt, etwa bei pflegerischen oder anderen körpernahen Dienstleistungen. Zur Anordnung völlig verdachtsunabhängiger, anlassloser Tests ist der Arbeitgeber hingegen nicht berechtigt.

Ein weiterer Gesichtspunkt, der in diesem Kontext insbesondere mit einer zunehmenden Impfquote auch in jüngeren Gesellschaftsgruppen relevant werden kann, ist, dass der Impfschutz dem Verlangen des Arbeitgebers nach einem Schnelltest nicht entgegengehalten werden kann, da noch keine fundierten Erkenntnisse darüber bestehen, inwieweit geimpfte Personen weiter infektiös bleiben.

Hat der Arbeitgeber nach den vorstehend dargestellten Grundsätzen rechtmäßig einen Corona-Test angeordnet, so bietet ein Arbeitnehmer, der den Test verweigert und somit auch kein negatives Testergebnis vorweisen kann, seine Arbeitsleistung nicht ordnungsgemäß an. Der Arbeitgeber muss dieses Arbeitsangebot folglich nicht annehmen und kann dem Arbeitnehmer stattdessen auch den Zutritt zum Betrieb verwehren. Der Arbeitgeber gerät hierdurch nicht in Annahmeverzug i.S.v. § 615 S. 1 BGB, sondern es entfällt vielmehr der Vergütungsanspruch des Arbeitnehmers.

 

Beschäftigtendatenschutz bei Durchführung von Corona-Tests durch den Arbeitgeber

Rechtsgrundlagen der Datenverarbeitung

 

Werden in einem Unternehmen nun arbeitgeberseitig angeordnete Corona-Tests durchgeführt, so müssen hierbei die datenschutzrechtlichen Anforderungen eingehalten werden.

Generell erfolgt die Verarbeitung von Beschäftigtendaten auf Grundlage der § 26 I BDSG sowie Art. 6 I f) DS-GVO. Da es sich bei den im Zusammenhang mit dem Test erhobenen Daten – insbesondere den Testergebnissen – jedoch um Gesundheitsdaten handelt, ist Art. 9 I DS-GVO heranzuziehen. Gesundheitsdaten stellen eine besondere Kategorie personenbezogener Daten dar, die vom Gesetzgeber als besonders schützenswert erachtet wird. Aus diesem Grund ist die Verarbeitung dieser Daten grundsätzlich untersagt. Ausnahmsweise ist die Verarbeitung in den engen Grenzen des Art. 9 II DS-GVO möglich.

Im Rahmen von Beschäftigungsverhältnissen kommt als Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten Art. 9 II b) DS-GVO i.V.m. § 26 III BDSG in Betracht: Die Verarbeitung von Gesundheitsdaten ist hiernach zulässig, wenn sie zur Erfüllung rechtlicher Pflichten des Arbeitsgebers aus dem Arbeitsrecht erforderlich ist und kein Grund zur Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Die „rechtliche Pflicht des Arbeitgebers“ aus dem Arbeitsrecht stellt hier die Fürsorgepflicht des Arbeitgebers gegenüber seinen Arbeitnehmern aus § 618 I BGB dar. Daneben greift die Verpflichtung des Arbeitgebers nach §§ 3, 9 II, III ArbSchG, Gesundheitsrisiken am Arbeitsplatz so weit wie möglich auszuschließen. Diese Pflichten wurden bereits in Hinblick auf die Frage, ob der Arbeitgeber Corona-Tests überhaupt anordnen darf, bedeutsam, und spielen nun auch hier als Teil des Rechtsgrunds der Datenverarbeitung eine Rolle.

Neben § 26 III BDSG ist auch nach §§ 24 II, 22 I Nr. 1 b) BDSG die Verarbeitung der vorgenannten Daten zum Zweck der Gesundheitsvorsorge und für die Beurteilung der Arbeitsfähigkeit von Beschäftigten zulässig. Dies gilt jedoch nur, wenn die Daten durch ärztliches Personal oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen, verarbeitet werden. Bei einem von einem Betriebsarzt durchgeführten Corona-Test wäre diese Voraussetzung erfüllt.

Die Verarbeitung personenbezogener Daten im Zusammenhang mit Corona-Tests kann des Weiteren auf der Rechtsgrundlage des Art. 9 II i) DS-GVO i.V.m. § 22 I Nr. 1 c) BDSG erfolgen, der die Verarbeitung besonderer Kategorien personenbezogener Daten aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren erlaubt. Hiervon wird auch der Schutz vor sich weltweit verbreitenden Pandemien umfasst, denn durch diese wird der Bereich der öffentlichen Gesundheit zweifelsohne betroffen.

Auch im Rahmen besonderer personenbezogener Daten kann die Datenverarbeitung grundsätzlich aufgrund einer Einwilligung der betroffenen Person rechtmäßig sein, die hier jedoch – anders als im Rahmen von Art. 6 I S. 1 a) DS-GVO – nicht konkludent abgegeben werden kann. Ausschließlich auf eine Einwilligung sollte die Verarbeitung von Daten bei der Durchführung von Corona-Tests jedoch besser nicht gestützt werden. Denn zu beachten ist stets, dass eine solche Einwilligung frei und informiert zu erfolgen hat. Insbesondere die Freiwilligkeit einer Einwilligung des Arbeitnehmers könnte aber aufgrund des bestehenden Abhängigkeitsverhältnisses zum Arbeitgeber zweifelhaft sein. Beim Verweigern der Einwilligung müsste der Arbeitnehmer hier befürchten, dass er den Zugang zu seinem Arbeitsplatz verwehrt bekommt und infolgedessen finanzielle Nachteile erleidet.

An möglichen Rechtsgrundlagen für die Datenverarbeitung anlässlich der Durchführung von Corona-Tests fehlt es also grundsätzlich nicht.

 

Weiterer Umgang mit den Daten

 

Führt ein Betriebsarzt oder ein anderer Angehöriger einer Gruppe der Heilberufe einen PoC-Antigen-Schnelltest durch, so hat er ein positives Testergebnis nach § 8 I i.V.m. § 9 IfSG an das jeweils zuständige Gesundheitsamt zu melden. Auch wenn grundsätzlich eine Schweigepflicht des Betriebsarztes besteht, tritt aufgrund der Gefährdungslage für die Gesundheit der anderen Arbeitnehmer und Kunden durch einen mit Corona infizierten Arbeitnehmer dessen Recht auf Vertraulichkeit der Informationen zurück. Ein Betriebsarzt ist daher berechtigt, (neben dem Gesundheitsamt) auch dem Arbeitgeber ein positives Testergebnis mitzuteilen.

Bei einem Selbsttest bestehen hingegen keine Meldepflichten gegenüber dem Gesundheitsamt. Der Arbeitnehmer, der den Test selbst vornimmt, ist jedoch aufgrund seiner nebenvertraglichen Rücksichtnahmepflichten und der Treuepflicht aus § 242 BGB verpflichtet, dem Arbeitgeber ein positives Testergebnis zu melden.

Den Arbeitgeber trifft indes keine Meldepflicht gegenüber dem Gesundheitsamt; im Umkehrschluss ist eine unaufgeforderte Weitergabe der erhobenen Daten an dieses nicht vorzunehmen.

Anders stellt sich die Situation lediglich dar, wenn das Gesundheitsamt eine Offenlegung nach § 16 I, II S. 3 IfSG anordnet.

Die betroffenen Beschäftigten sind spätestens zum Zeitpunkt der Datenerhebung über die Verarbeitung ihrer Daten zu informieren, Art. 13 DS-GVO. Die Information muss sich hierbei unter anderem auf die Rechtsgrundlagen der Verarbeitung, die Verarbeitungszwecke, die Speicherdauer, die für die Datenverarbeitung Verantwortlichen sowie etwaige Empfänger bei Weitergabe der Daten beziehen.

Darüber hinaus muss der Arbeitgeber sorgsam überlegen, wie er betriebsintern mit den gewonnenen Informationen über den positiv getesteten Arbeitnehmer umgeht – er darf diese sensiblen Daten bspw. nicht ohne weiteres an die Belegschaft weitergeben, denn dies würde nach der Erhebung der Gesundheitsdaten eine weitere Datenverarbeitung darstellen, die nicht mehr durch die vorgenannten Rechtsgrundlagen gedeckt ist. Im Einzelfall kann sich eine andere Beurteilung ergeben, wenn der positiv getestete Arbeitnehmer die Tage zuvor am Arbeitsplatz zugegen und war und dort gegebenenfalls andere Personen angesteckt haben könnte. Eine Informationspflicht des Arbeitgebers ergibt sich dann aus seiner bereits angesprochenen Fürsorgepflicht gegenüber den Beschäftigten. Um die in Betracht kommenden Personen zu warnen, kann eine Offenlegung des positiven Testergebnisses und unter Umständen – zu Identifizierungszwecken, jedoch nur, wenn dies ausnahmsweise erforderlich ist, um entsprechende Vorsorgemaßnahmen ergreifen zu können – auch des Namens des betreffenden Arbeitnehmers ihnen gegenüber notwendig sein. Der Schutz der Kontaktpersonen kann insoweit das Geheimhaltungsinteresse des betreffenden Arbeitnehmers überwiegen.

Zuletzt ist einem testenden Arbeitgeber dringend zu empfehlen, den allgemein bei der Datenverarbeitung zu beachtenden Grundprinzipen Rechnung zu tragen; besonders hervorgehoben seien hier der Zweckbindungsgrundsatz aus Art. 5 I b) DS-GVO, der Grundsatz der Datensparsamkeit bzw. Datenminimierung aus Art. 5 I c) DS-GVO sowie der Grundsatz der Speicherbegrenzung aus Art. 5 I e) DS-GVO. Daraus ergibt sich, dass grundsätzlich nur so viele Daten wie nötig erhoben werden dürfen und diese auch nur so lange gespeichert werden sollten, wie sie zur Zweckerreichung erforderlich sind. Dies dürfte in Hinblick auf die Testergebnisse selbst bereits unmittelbar nach Weiterleitung durch das testende Personal an die zuständigen Stellen der Fall sein.

 

 
 
 

 

 

 

Kommt es zu Verstößen gegen die Vorgaben der Datenschutzgrundverordnung, sind die Datenschutzbehörden und damit auch die Sanktionen durch Bußgelder nicht weit. In diesem Zusammenhang wird oftmals vernachlässigt, dass DSGVO-Verstöße auch Ansprüche Betroffener, gerichtet auf immateriellen Schadensersatz aus Art. 82 DSGVO nach sich ziehen können. Tatsächlich machen immer mehr Betroffene ihre Rechte geltend, sodass die deutschen Gerichte sich zunehmend mit immateriellen Schadenersatzansprüchen aus der DSGVO befassen müssen.

Auch das AG Pforzheim musste sich im vergangenen Jahr mit einer solchen Klage auf Schadenersatz auseinandersetzten.  In seinem Urteil vom 25.3.2020 (Az. 13 C 160/19) sprach das Gericht dem Betroffenen einen immateriellen Schadensersatzanspruch in Höhe von 4.000 € nach Art. 82 Abs. 1 DSGVO, wegen unrechtmäßiger Weitergabe sensibler Daten zu. Das AG stellte insbesondere fest, dass eine Datenübermittlung an Prozessbevollmächtigte zur Einbringung in gerichtliche Verfahren nicht ohne Weiteres erfolgen darf.

 

1. Hintergrund

Im streitgegenständlichen Verfahren verklagte der Betroffene einen Psychotherapeuten auf immateriellen Schadensersatz in Höhe von 5.000 €.

Die Frau des Klägers berichtete im Rahmen ihrer Behandlung beim Beklagten über Eheprobleme mit dem Kläger. Unter anderem erzählte sie von dessen Drogen- und Alkoholkonsum sowie von ungewöhnlichen Verhaltensauffälligkeiten. Infolgedessen bat der Beklagte den Betroffenen, sich in der Praxis vorzustellen. Der Betroffene kam der bitte nach, sodass ein Gespräch zwischen den beiden Parteien stattfand.

Sämtliche Informationen die der Beklagte von der Ehefrau sowie vom Kläger selbst im Rahmen des Gesprächs zu dessen Person erhielt sowie die daraus gestellte Diagnose wurden im Praxissystem dokumentiert. Nachdem es zur Trennung des Ehepaares gekommen war, wandte sich der Prozessbevollmächtigte der Ehefrau im Rahmen eines Umgangsverfahrens bezüglich der gemeinsamen Kinder an den Beklagten.

In diesem Zusammenhang übermittelte der Beklagte ein Schreiben an den Bevollmächtigten der Frau, das eine ausführliche Anamnese des Betroffenen samt Diagnose einer narzisstischen Persönlichkeitsstörung enthielt.

Diese Stellungnahme wurde in das Umgangsverfahren eingeführt, wodurch sämtliche am Prozess Beteiligte vom Inhalt des Schreibens Kenntnis erlangten.  Infolgedessen, erhob der Betroffene Klage gegen den Therapeuten auf immateriellen Schadensersatz in Höhe von 5.000 € auf Grund unbefugter Übermittlung von Gesundheitsdaten an Dritte.

 

2. Verstoß gegen die DSGVO

Gesundheitsdaten sind besonders sensible Daten, deren Verarbeitung grundsätzlich nach Art. 9 Abs. 1 DSGVO untersagt ist, es sei denn, es liegt einer der gesetzlichen Ausnahmetatbestände des Art. 9 Abs. 2 DSGVO vor. Dies ist dann der Fall, wenn der Betroffene beispielsweise in die Verarbeitung einwilligt oder diese – zum Beispiel im Rahmen eines medizinischen Behandlungsvertrages – für die Behandlung des Betroffenen als Patienten erforderlich ist.

Im vorliegenden Fall hatte der Betroffene weder eine Einwilligung zur Datenübermittlung an Dritte erteilt, noch lag einer der anderen Erlaubnistatbestände vor.

Die Datenübermittlung an den Prozessbevollmächtigten der Ehefrau diente allein der Einführung in das familienrechtliche Umgangsverfahren.

Obgleich die Beweggründe des Beklagten, aufgrund der psychischen Probleme des Ehemannes seiner Patientin auf den ersten Blick menschlich nachvollziehbar erscheinen, ist dennoch zu berücksichtigen, dass der Betroffene sich nicht in Behandlung des Psychotherapeuten befand und der Prozessbevollmächtigte der Ehefrau einen im Sinne der DSGVO außenstehenden Dritten darstellt.

Eine Datenübermittlung darf jedoch auch an Prozessbevollmächtigte nicht ohne Weiteres erfolgen. Das gilt umso mehr, wenn die Daten in einer den Betroffenen belastenden Weise in einen Prozess eingeführt werden sollen und dies zusätzlich die Offenlegung der Daten gegenüber weiteren Personen zur Folge hat

 

3. Berechnung der Höhe des Schadensersatzes

Grundsätzlich stellt nicht bereits der jeweilige Verstoß als solcher einen immateriellen Schaden dar. Vielmehr muss vom Betroffenen ein konkret eingetretener Nachteil als Folge des Datenschutzverstoßes vorgetragen werden. Maßgeblich für die Berechnung der Höhe des Schadensersatzanspruchs war im vorliegenden Fall, dass es sich bei den betroffenen Daten um Gesundheitsdaten handelt. Diese sind gem. Art. 9 Abs. 1 DSGVO besonders sensible Daten.

Da die Anmerkungen des Beklagten zur Person des Betroffenen Rückschlüsse auf die Psyche des Betroffenen zulassen und daher geeignet seien das Bild des Betroffenen gegenüber Dritten in negativer Hinsicht zu beeinträchtigen und dessen Selbstbild zu schädigen, ist dem Betroffenen durch die Offenlegung bereits ein konkreter Schaden eingetreten. Darin liege ein erheblicher Eingriff in die höchstpersönliche Sphäre des Betroffenen vor.

Obgleich die Daten nur einem abgrenzbaren Publikum – den Verfahrensbeteiligten und dem unmittelbaren Umfeld des Betroffenen – offengelegt wurden, vermag dies an der Entscheidung des Gerichts nichts zu ändern.

Demgegenüber dürfe nicht vernachlässigt werden, dass die offengelegten Informationen gerade im Rahmen eines familienrechtlichen Umgangsverfahrens als besonders sensibel einzustufen sind, da sie in erheblichem Maße geeignet sind, Einfluss auf die Entscheidung des Gerichts und die Entscheidung der Ehefrau über die Einräumung eines Umgangsrechts des Betroffenen mit den gemeinsamen Kindern zu nehmen.

Unter Abwägung dieser Gesichtspunkte bezifferte das Gericht in diesem Fall den Schadensersatzanspruch des Betroffenen auf 4.000 €. Da die Datenweitergabe in die höchstpersönliche Sphäre des Betroffenen eingriff und der Rechtsverletzung durch die Einführung im Umgangsprozess eine gewisse Außenwirkung zukommt, kann von einer bloßen Bagatelle nicht mehr die Rede sein. Die Höhe sei sowohl ausreichend als auch erforderlich, um die von der DSGVO geforderte Abschreckungswirkung zu erzielen und zugleich die Genugtuungsfunktion, die der Entschädigung des Betroffenen dient, zu gewährleisten.

 

4. Ausblick

Die bisher ergangenen Entscheidungen zeigen, dass deutsche Gerichte Art. 82 Abs. 1 DSGVO beim Zuspruch immateriellen Schadensersatzes tendenziell restriktiv Anwenden und sich an den bisher bewährten Grundsätzen des Schadensrechts orientieren. Zwar sieht Art. 82 Abs. 1 DSGVO eine Entschädigung des Betroffenen für immaterielle Schäden vor. Eine Verletzung der DSGVO – Vorschriften begründet allerdings nicht automatisch einen Anspruch auf Schadensersatz.

Insoweit muss der Betroffene einen konkreten, in seiner Person unmittelbar aufgetretenen Schaden darlegen. Ein solcher Nachteil ist stets anzunehmen, wenn dem Betroffenen aus der Datenschutzverletzung spürbare Nachteile entstehen und diese objektiv nachvollziehbar persönliche Belange des Betroffenen in erheblichem Maß beeinträchtigen und diese Beeinträchtigung nicht in anderer Weise befriedigend aufgefangen werden kann.

Davon abzugrenzen sind bloße Bagatellverstöße, die lediglich eine individuell empfundene Unannehmlichkeit des Anspruchsstellers darstellen. Sofern dem Betroffenen allerdings die Darlegung einer konkreten Beeinträchtigung gelingt, sind Beträge in Höhe mehrerer tausend Euro durchaus denkbar, wie das Urteil des AG Pforzheim erneut zeigt. Ob es bei einer restriktiven Anwendung des Art. 82 Abs. 1 DSGVO verbleibt, bleibt abzuwarten. Was dieser Fall allerdings wieder einmal bestätigt ist, dass Datenschutz heutzutage nicht nur elementarer Bestandteil der Compliance eines Großunternehmens darstellt, sondern auch vom selbstständigen Kleinunternehmer und Freiberufler ernst genommen werden sollte.

 
 
 

 

Seit der Datenschutz-Grundverordnung (DSGVO) müssen auch Websitebetreiber verstärkt auf den Datenschutz achten. Handelt es sich bei den auf der Internetseite erhobenen und verarbeiteten Daten um personenbezogene Daten natürlicher Personen, sind die Vorgaben der DSGVO zu beachten, unabhängig davon, welche Art von Website betrieben wird. 

 

Das Wichtigste in Kürze: 

  • Unabhängig davon, welche Art von Website betrieben wird sind die Vorgaben der DSGVO einzuhalten 
  • Eine Datenschutzerklärung stellt einen obligatorischen Bestandteil einer jeden Website dar 
  • In einer Datenschutzerklärung sind Websitebesucher umfassend über Art und Weise der Verarbeitung ihrer Daten, sowie ihre damit zusammenhängenden Rechte zu informieren 
  • Lässt ein Websitebetreiber personenbezogene Daten durch einen externen Dienstleister verarbeiten, ist ein Auftragsverarbeitungsvertrag erforderlich 
  • Bei einer Website, auf der personenbezogene Daten erhoben und verarbeitet werden, muss eine verschlüsselte Datenübertragung gewährleistet werden  

 

Unter personenbezogenen Daten sind alle Informationen zu verstehen, die sich auf eine identifizierbare oder identifizierte natürliche Person beziehen. Darunter fallen im Falle einer Website unter anderem folgende Daten: 

  • IP-Adressen und sonstige User-Daten wie beispielsweise der Bestellverlauf in einem OnlineShop, Daten über das Surfverhalten, Suchanfragen, der Browserverlauf 
  • Name und Anschrift 
  • E-Mail-Adressen 
  • Daten, die mithilfe von Tracking-Software, wie beispielsweise Google-Analytics, oder Matomo erhoben werden 

 

1. Datenschutzerklärung 

Vor allem ist eine rechtskonforme Datenschutzerklärung verpflichtend, die alle nach der DSGVO erforderlichen Angaben enthält. Sie stellt einen obligatorischen Bestandteil einer jeden Website dar, sobald durch diese personenbezogene Daten verarbeitet werden. Durch eine Datenschutzerklärung werden die Websitebesucher umfassend über Art und Weise der Verarbeitung ihrer personenbezogenen Daten, sowie ihre damit zusammenhängenden Rechte unterrichtet. Ohne die ordentliche Umsetzung der Bestimmungen der DSGVO im Zusammenhang mit der Datenschutzerklärung können Websitebetreibern Abmahnungen, Bußgelder oder auch Schadenersatzansprüche drohen.  

 

Eine Datenschutzerklärung sollte demnach mindestens folgende Angaben enthalten:  

  • Benennung des Verantwortlichen für die Datenverarbeitung und des Datenschutzbeauftragten, sofern einer ernannt wurde, sowie Angabe der Kontaktdaten 
  • Beschreibung des Zwecks der Datenverarbeitung 
  • Benennung der Rechtsgrundlage auf welcher die Datenverarbeitung erfolgt: 

Im Datenschutzrecht gilt der Grundsatz des Verbots mit Erlaubnisvorbehalt. Demnach dürfen personenbezogene Daten nicht erhoben, verarbeitet oder gespeichert werden, es sei denn der Betroffene stimmt dem ausdrücklich zu oder das Gesetz gestattet dies. Im Hinblick auf das Betreiben einer Website ist insbesondere die „Wahrung berechtigter Interessen“ nach Art. 6 Abs.1 S.1 lit. f) DSGVO zu nennen oder die Notwendigkeit der Datenverarbeitung zur Vertragserfüllung nach Art. 6 Abs. 1 S. 1 lit. b) DSGVO, beispielsweise im Falle eines Online-Shops. Auf die Rechtsgrundlage „Wahrung berechtigter Interessen“ lassen sich insbesondere solche Verarbeitungen stützen, die für die Gewährleistung der Sicherheit der Website erforderlich sind. Darunter fällt beispielsweise die temporäre Speicherung von IP-Adressen. 

  • Angabe über die Speicherung der Daten sowie die Speicherdauer 
  • Angaben über eine eventuelle Übermittlung an Dritte 
  • Angaben über eine eventuelle Übermittlung an Drittstaaten 
  • Aufklärung über Rechte der betroffenen Personen, wie z.B. Widerruflichkeit von Einwilligungen, Auskunft, Berichtigung, Recht auf Löschung,  

 

Je nachdem welche Software oder Tools der Websitebetreiber einsetzt oder ob er mit externen Dienstleistern zusammenarbeitet, kann die Datenschutzerklärung einen erheblichen Umfang haben. Zudem muss die Erklärung in einfacher und verständlicher Sprache abgefasst und dem Websitebesucher leicht zugänglich sein. 


2. Hosting 

Oftmals speichern Unternehmen die Daten die auf ihrer Website erhoben und verarbeitet werden nicht auf eigenen Servern, sondern nehmen einen entsprechenden Service externer IT-Dienstleister, sogenannte IT-Hoster in Anspruch. In diesem Fall ist ein Auftragsverarbeitungsvertrag erforderlichBetreiben Unternehmen ihre Server selbst, lassen diesen allerdings durch externe Dienstleister warten, ist ebenso ein Auftragsverarbeitungsvertrag erforderlich, sofern der Dienstleister im Rahmen der Wartung Zugriff auf personenbezogene Daten hat. 


3. Log-Dateien 

Unter Log-Dateien sind solche Daten zu verstehen, die dem Betreiber der Internetseite ermöglichen die Aktivität der Websitebesucher zu erfassen. Hierbei kommt das berechtigte Interesse des Websitebetreibers für statistische Auswertungen als Rechtsgrundlage in Betracht. Auf dieser Grundlage gilt, dass eine Datenverarbeitung erfolgen darf, sofern sie für die Sicherheit und Funktionsfähigkeit der Internetseite erforderlich ist 


4. Verschlüsselung 

Beim Betreiben einer Website, auf der Daten erhoben und verarbeitet werden, muss eine sichere Datenübertragung zwischen Nutzer und dem Website betreibenden Server gewährleistet werden. Insbesondere, wenn auf einer Website eine Registrierung oder bei einem Bestellvorgang die Angabe von Zahlungs- und Adressdaten erfolgt. Die Verschlüsselung sollte stets dem neusten Stand der Technik entsprechen.  


5. Kontaktformular 

Oftmals stellen Websitebetreiber ein Kontaktformular zur Verfügung, um Seitenbesuchern die Kontaktaufnahme mit dem Websitebetreiber zu erleichtern. Da hierbei personenbezogene Daten wie Name sowie Kontaktdaten abgefragt werden, erfolgt eine Datenerhebung. Grundsätzlich dürfen nur notwendige Daten abgefragt werben. Zudem sollten bei der Datenabfrage optionale Angaben als freiwillig gekennzeichnet werden. 


6. Tracking- und Analyse-Software 

Um den eigenen Internetauftritt zielgruppenorientiert auszurichten, können Tracking- und Analyse-Tools wie Google Analytics und Matomo eingesetzt werden, die dem Websitebetreiber die Möglichkeit geben das Nutzungsverhalten ihrer Besucher zu erfassen. Problematisch ist in diesem Zusammenhang, dass mit der Nutzung solcher Analyse-Tools auf der Website automatisch die IP-Adresse der Websitebesucher verarbeitet wird. Da IP-Adressen personenbezogene Daten im Sinne der DSGVO darstellen sind die Datenschutzbestimmungen einzuhalten. Gegebenenfalls muss vor deAktivierung solcher Tools, eine Einwilligung der Nutzer eingeholt werden. 


7. Social Media Plugins 

Social Media Plugins sind die auf einer Website eingebundenen Elemente, die von den Servern ihrer jeweiligen Anbieter („Drittanbieter“) bezogen werden. Dies können beispielsweise Grafiken, Videos oder interaktive Schaltflächen sein, die es Nutzern unter anderem ermöglichen Websiteinhalte mittels eines Klicks auf Social Media Plattformen, wie Facebook oder Twitter zu teilen oder zu empfehlen. Solche Plugins ermöglichen den Betreibern, die Reichweite der Website zu erhöhen. Problematisch dabei ist, dass Plugins personenbezogene Daten verarbeiten und Drittanbieter dabei Persönlichkeitsprofile erstellen ohne, dass der Nutzer darüber informiert ist. Aus diesem Grund muss eine datenschutzkonforme Einbindung von Social Media Plugins gewährleistet werden.  


8. Cookies 

Unter Cookies sind kleine Textdateien zu verstehen, die eine Website auf dem Computer des Websitebesuchers ablegt. Dadurch lassen sich Websitebesucher identifizieren und bei einem erneuten Seitenbesuch wiedererkennen, sodass beispielsweise nicht bei jedem Websitebesuch erneut Anmeldedaten eingegeben werden müssen. Grundsätzlich kann der Einsatz von Cookies auf ein berechtigtes Interesse des Websitebetreibers gestützt werden, soweit diese beispielsweise für eine notwendige Funktion erforderlich sind. Abgesehen davon ist für den Einsatz von Cookies stets vorab die Einwilligung des Websitebesuchers einzuholen. 


9. Fazit 

Auch bei der Gestaltung ihres Internetauftritts müssen sowohl Unternehmen als auch Privatpersonen den Bestimmungen der DSGVO Folge leisten. Dies ist oftmals keine leichte Aufgabe und bereitet den Verantwortlichen regelmäßig Schwierigkeiten. Aus diesem Grund empfiehlt es sich stets Experten mit Fachwissen in den Bereichen IT- und Datenschutzrecht mit der Überprüfung oder Gestaltung der eigenen Website und insbesondere der Erstellung einer Datenschutzerklärung zu beauftragen, um Datenschutzverstöße zu vermeiden. 

 
 
 

 

Mit dem Urteil vom 28.05.2020 hat der Bundesgerichtshof eine Entscheidung des Europäischen Gerichtshofs bestätigt und damit das Erfordernis einer aktiven Zustimmung des Websitenutzers nach ausführlichem Cookie-Hinweis bejaht. Spätestens seit dieser Entscheidung, die weitrechende Auswirkungen auf die Ausgestaltung von Cookie-Hinweisen hat, sollten Websitebetreiber sich mit diesem Thema umfassend auseinandersetzen, um eine datenschutzkonforme Nutzung ihrer Website zu ermöglichen.  


Das Wichtigste in Kürze: 

  • Cookies sind kleine Textdateien, die eine Website auf dem Rechner des Websitebesuchers ablegt, um diesen beim nächsten Seitenaufruf identifizieren zu können 
  • Auf die Verwendung von Cookies muss vom Websitebetreiber hingewiesen werden  
  • Für eine legitime Verwendung von Cookies, ist grundsätzlich eine Rechtsgrundlage erforderlich 
  • Ist eine Einwilligung des Websitenutzers erforderlich, kann diese mithilfe eines Cookie-Consent-Banners eingeholt werden 
  • Websitebesucher sind in der Datenschutzerklärung umfassend über Art, Umfang, Zwecke sowie Speicherdauer der verwendeten Cookies zu informieren 

 

1. Was sind Cookies? 

Unter Cookies sind kleine Textdateien zu verstehen, die eine Website auf dem Computer des Websitebesuchers ablegt. Sofern ein entsprechender Cookie gesetzt und die Aktivität des Nutzers dokumentiert wurde, lassen sich dadurch Websitebesucher identifizieren und bei einem erneuten Seitenbesuch wiedererkennen, sodass nicht bei jedem Websitebesuch erneut Anmeldedaten eingegeben werden müssen. Abgesehen davon, dass der Cookie-Einsatz für den Nutzer von Vorteil ist, da dieser nicht bei jedem erneuten Aufruf seine Daten angeben muss, können Websitebetreiber diese zum Erstellen von Besucherprofilen nutzen, die sie anschließend für Marketingzwecke verwenden können. 

Grundsätzlich muss zwischen technisch notwendigen und nicht notwendigen Cookies unterscheiden werden. Technisch notwendige Cookies sind solche, die für die Funktion einer Webseite unabdingbar sind. Demgegenüber sind nicht notwendige Cookies solche, die nicht allein der Funktionsfähigkeit der Website dienen, sondern auch für andere Zwecke Daten erheben, wie beispielsweise, Tracking-. Analyse-Cookies oder Cookies von Social-Media-Websites. Darunter fallen beispielsweise Cookies aus Social-Media Plug-ins wie Facebook, Instagram und Tracking- und Analyse-Tools wie zum Beispiel Google Analytics .

 

2. Welche Probleme bestehen im Zusammenhang mit Cookies? 

Problematisch im Zusammenhang mit der Verwendung von Cookies ist, dass die  Erhebung personenbezogener Daten ohne vorherige  Zustimmung der Websitenutzer in den meisten Fällen nicht gestattet ist. Denn mittlerweile werden Cookies nicht nur zwecks angenehmer Bedienbarkeit verwendet, sondern auch als Werbe,-Tracking- oder Analyse-Cookies eingesetzt, die Daten über das Nutzerverhalten sammeln. In diesem Zusammenhang besteht auch die Möglichkeit, dass durch Cookies personenbezogene Daten der Nutzer an Unternehmen und Werbetreibende übermittelt werden können. Sofern Daten wie beispielsweise die Bankverbindung oder eine Telefonnummer gespeichert werden, kann sich für den Nutzer daraus ein Sicherheitsrisiko ergeben. 

 

3. Auf welche rechtliche Grundlage kann der Cookie-Einsatz gestützt werden? 

Bereits seit 2009 existiert die sogenannte Cookie-Richtlinie, die europaweit geltende Bestimmungen im Zusammenhang mit dem Umgang mit Cookies enthält. Diese Richtlinie, wurde vom deutschen Gesetzgeber jedoch nicht umgesetzt, sodass insbesondere die Umsetzung der Cookie-Hinweispflicht als problematisch angesehen wird. Die EU-Kommission verweist in diesem Zusammenhang auf § 13 ff. des Telemediengesetztes (TMG), die die Pflichten eines Dienstanbieters regeln. Allerdings enthält das TMG keine ausdrückliche Regelung im Hinblick auf die Hinweispflicht bei der Verwendung von Cookies. Ohnehin werden die Regelungen des TMG von denjenigen der DSGVO verdrängt 

Da mithilfe von Cookies personenbezogene Daten analysiert, gespeichert, weiterverarbeitet oder an Dritte weitergeleitet werden, ist für eine legitime Verarbeitung entsprechend der DSGVO eine Rechtsgrundlage erforderlich. Grundsätzlich ist der Einsatz von Cookies zulässig und kann auf ein berechtigtes Interesse des Websitebetreibers im Sinne des Art. 6 Abs.1 lit. f) DSGVO gestützt werden, soweit diese beispielsweise für eine notwendige oder nützliche technische Funktion erforderlich sind. Demnach dürfen diese von Anfang an auch ohne vorherige Zustimmung des Nutzers eingesetzt werden.  

Werden demgegenüber über das erforderliche Maß Nutzerdaten gespeichert, ist zwingend eine Einwilligung des Websitebesuchers erforderlich nach Art. 6 Abs. 1 lit. a) DSGVO.  

 

4. Wie kann eine wirksame Einwilligung eingeholt werden? 

Im Übrigen kann für den Einsatz solcher Cookies ein Cookie-Consent-Banner verwendet werden, über den vorab die Einwilligung des Websitebesuchers eingeholt werden kann. Durch den Einsatz eines solchen Banners soll dem Seitenbesucher eine Möglichkeit eingeräumt werden, seine vorherige Zustimmung zur Verwendung bestimmter Cookies zu erteilen oder zu ändern. Insoweit muss die Gestaltung der Cookie-Hinweise mit detaillierten Cookie-Auswahl-Optionen erfolgen, sodass der Nutzer eine Wahl hat nur die erforderlichen Cookies zuzulassen. Das Banner erscheint beim ersten Websitebesuch und blockiert unmittelbar alle weiteren Anwendungen, solange der Nutzer nicht aktiv ausgesucht hat, welche Cookies zugelassen werden sollen. Sobald der Nutzer sein Einverständnis bestätigt, schließt sich der Consent-Banner und die Website kann normal weitergenutzt werden.  

Die Einwilligung des Websitebesuchers muss auf Basis einer freiwilligen, informierten und bewussten Entscheidung erfolgen. Dabei ist ein sogenanntes Opt-in-Verfahren zu verwenden, wobei der Nutzer durch das aktive Anklicken eines Kästchens und damit dem Setzen eines Häkchens oder auch der Bedienung eines Schiebereglers seine Zustimmung gibt. Demgegenüber ist ein Cookie-Banner das bereits voreingestellt ist und nur weggeklickt werden kann nicht ausreichend. Weiterscrollen, Streichen oder das fortgesetzte Surfen auf der Website erfüllt ebenso wenig die DSGVO-Anforderungen für eine eindeutige aktive vorherige Zustimmung. Gleichzeitig darf dem Nutzer infolge einer fehlenden Zustimmung nicht der Besuch der Website verweigert werden.  

In jedem Fall ist bei dem Einsatz von Cookies über Art, Umfang, Zwecke sowie die  Speicherdauer in einer Datenschutzerklärung umfassend zu informieren. Dem Besucher muss klar sein, wozu er konkret seine Zustimmung erteilt. Dafür wird ein Informationstext im Cookie-Banner hinterlegt, der sämtliche Informationen enthält, die transparent und verständlich formuliert sind. Der Informationstext muss zudem einen Hinweis auf die Möglichkeit des Widerrufs seiner Einwilligung, sowie einen Hinweis mit Link auf weitere Informationsmöglichkeit in der Datenschutzerklärung enthalten. In der Datenschutzerklärung muss auf jeden Cookie der gesetzt wird, hingewiesen werden.  

Problematisch sind in insoweit sogenannte Dark Patterns. Dabei wird ein möglichst unklares Webdesign verwendet, um Websitebesuchern eine bestimmte Handlung, wie beispielsweise eine Einwilligung in Marketing-Cookies aufzudrängen.  

 

5. Fazit 

Auch wenn die Rechtslage in Sachen Cookies in Deutschland noch nicht ganz klar ist, steht fest, dass bei der Erhebung und Verarbeitung personenbezogener Daten mithilfe von Cookies zuvor die aktive Zustimmung des jeweiligen Nutzers eingeholt werden muss, sofern es sich nicht um technisch notwendige Cookies handelt. Da es im Hinblick auf die Frage, welche Cookies als notwendig anzusehen sind noch keine eindeutige Antwort gibt, sollte im Zweifel eine Einwilligung eingeholt werden.  

 

 
 
 
 

Mit der Einführung der europäischen Datenschutzgrundverordnung wurde auch das Instrument der Datenschutz-Folgenabschätzung (DSFA) als besondere Form der Risikoanalyse in Art. 35 DSGVO eingeführt. Sie dient der Bewertung potenzieller Risiken und deren Folgen für die Rechte und Freiheiten betroffener Personen. 


Das Wichtigste auf einen Blick: 

  • Die Datenschutz-Folgenabschätzung ist eine Risikoanalyse die vor einer geplanten Datenverarbeitung stattfindet  
  • Sie ist verpflichtend, wenn die Verarbeitung mit einem erhöhten Risiko für die Rechte und Freiheiten natürlicher Personen verbunden ist  
  • Den Mindestinhalt regelt Art. 35 Abs. 7 DSGVO. Darunter fällt unter anderem die systematische Beschreibung der geplanten Verarbeitungsvorgänge sowie der Verarbeitungszwecke 
  • Die Datenschutz-Folgenabschätzung ist vom Verantwortlichen durchzuführen 
  • Verstöße gegen Vorgaben im Zusammenhang mit der Datenschutz-Folgenabschätzung können mit Bußgeldern mit bis zu 2 % des Jahresumsatzes sanktioniert werden 

 

1. Was ist eine Datenschutz-Folgenabschätzung? 

Die in Art. 35 DSGVO geregelte DSFA, ist eine besondere Form der Risikoanalyse und dient als Vorabkontrolle der Analyse und Bewertung von Risiken und der daraus resultierenden Folgen für die persönlichen Rechte und Freiheiten der betroffenen Personen. Ihr Ziel ist es, Risiken für Betroffene zu analysieren, indem potenzielle Schäden sowie die dafür möglichen Ursachen identifiziert werden, sodass geeignete Maßnahmen getroffen werden können, um diese Risiken zu minimieren und damit Datenschutzgrundverordnung eingehalten wird.   


2. Wann muss eine Datenschutz-Folgenabschätzung durchgeführt werden?  

Wann die Durchführung einer Datenschutz-Folgenabschätzung erforderlich ist, hängt insbesondere von der jeweiligen Verarbeitungsform ab. Sie ist stets im Vorfeld der jeweiligen Datenverarbeitung durchzuführen und zu dokumentieren, wenn die geplante Verarbeitung wahrscheinlich ein hohes Risiko mit sich bringt. Dies ist insbesondere dann der Fall, wenn bei der datenverarbeitenden Tätigkeit neue Technologien verwendet werden,  welche nach Art, Umfang, Umstände und Zwecke ein solches Risiko begründen. 

Art 35 DSGVO enthält eine nicht abschließende Auflistung der Verarbeitungen, für welche eine Datenschutz-Folgenabschätzung verpflichtend sei. Unter anderem dann, wenn eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen auf Grundlage einer automatisierten Datenverarbeitung erfolgt, die eine Grundlage für Entscheidungen darstellt, die gegenüber natürlichen Personen rechtliche Wirkung entfalten oder diese in vergleichbarer Weise antasten.  

Eine Datenschutz-Folgenabschätzung ist auch dann verpflichtend, sobald eine umfangreiche Verarbeitung besonderer Datenkategorien im Sinne von Art. 9 DSGVO oder von Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 DSGVO stattfindet. Auch im Falle einer systematisch ausgiebigen Überwachung öffentlich zugänglicher Bereiche ist eine Datenschutz-Folgenabschätzung erforderlich.  

Oftmals ist es schwierig zu ermitteln, ob eine Datenschutz-Folgenabschätzung erforderlich ist. Aus diesem hat die Aufsichtsbehörde eine Liste solcher Verarbeitungsvorgänge erstellt, für die eine DSFA verpflichtend ist (sog. „Blacklist“) 


3. Wie sieht eine Datenschutz-Folgenabschätzung aus? 

Den Mindestinhalt einer solche Datenschutz-Folgenabschätzung bestimmt Art. 35 Abs. 7 DSGVO. Zunächst werden die beabsichtigten Verarbeitungsvorgänge erfasst und in Bezug auf die Vorgehensweise sowie den verfolgten Zweck möglichst genau systematisch beschrieben. Es sollte genauestens beschrieben werden, weshalb eine bestimmte Datenverarbeitung erfolgt. Dabei ist unter Umständen das berechtigte Interessen, das vom Verantwortlichen verfolgt wird, zu berücksichtigen. Erfolgen mehrere vergleichbare Vorgänge, so können diese in einer Datenschutz-Folgenabschätzung zusammengefasst werden.  

Anschließend ist eine Prüfung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge im Hinblick auf den verfolgten Zweck vorzunehmen. Danach erfolgt eine Betrachtung des Verhältnisses des Verarbeitungszwecks zu den Risiken für die Rechte und Freiheiten der Betroffenen. Erstwenn Verarbeitungsvorgang und Verarbeitungszweck in einem angemessenen Verhältnis zu den Risiken stehen, ist der Verarbeitungsvorgang vor dem Hintergrund seines Zwecks geeignet, erforderlich und angemessen.  

Andernfalls sind Abhilfemaßnahmen zur Bewältigung der erwarteten Risiken, sowie Garantien, Sicherheitsvorkehrungen und Verfahrensweisen festzulegen, die den Schutz personenbezogener Daten gewährleisten und einen Nachweis über die Einhaltung des Datenschutzes erbringen. Diese Risikobehandlungsmaßnahmen müssen an die jeweiligen Risikofaktoren angepasst sein.  

Generell ist die Datenschutz-Folgenabschätzung nicht als einmaliger Vorgang, sondern ein ständiger Prozess. Kommt es zu entscheidenden Änderungen der Datenverarbeitungsabläufe und ergeben sich daraus neue Risiken, muss überprüft werden, ob diese bereits von einer bestehenden Datenschutz-Folgenabschätzung umfasst sind oder gegebenenfalls eine Aktualisierung erforderlich ist.  

Grundsätzlich kann der Verantwortliche im Rahmen datenschutzrechtlicher Mindestanforderungen selbstständig entscheiden, wie und mit welcheMethoden eine solche Risikoanalyse durchgeführt wird. In der Regel empfiehlt es sich eine Richtlinie mit Regeln für die Durchführung einer DSFA zu erstellen, um eine einheitliche und datenschutzkonforme Risikoeinschätzung der unternehmensinternen Datenverarbeitungsvorgänge zu gewährleisten.  


4. Wer ist für die Durchführung einer DSFA verantwortlich? 

Eine Datenschutz-Folgenabschätzung ist stets von dem für die Datenverarbeitung Verantwortlichen durchzuführen, Art. 35 Abs. 1 DSGVO. Zudem ist in Art. 35 Abs. 2 DSGVO festgelegt, dass der Verantwortliche Beratung des Datenschutzbeauftragten in Anspruch nehmen muss, sofern einer benannt wurde. Wann die Benennung eines Datenschutzbeauftragten erforderlich ist, lesen Sie hier (Link).  

Werden Datenverarbeitungen von Auftragsverarbeitern durchgeführt, ist dennoch der Verantwortliche für die Durchführung einer DSFA zuständig. Der Auftragsverarbeiter hat ihn allerdings dabei zu unterstützen. 

Unter Umständen muss die Aufsichtsbehörde vor dem Beginn einer Verarbeitung konsultiert werden, Art. 36 Abs. 1 DSGVO. Dies ist dann der Fall, wenn ein hohes Risiko festgestellt wird, die erforderlichen Schutzmaßnahmen praktisch oder auf andere Weise nicht umsetzbar oder nur mit unzumutbaren Kosten verbunden sind.  

Darüber hinaus ist zu beachten, dass gegebenenfalls im Vorfeld der Standpunkt der betroffenen Personen eingeholt werden sollte, Art. 35 Abs. 9 DSGVO. Dieses Erfordernis ist allerdings nur in wenigen Bereichen von praktischer Relevanz.   


5. Welche Konsequenzen hat das Fehlen einer erforderlichen DSFA? 

Ist eine Datenschutz-Folgenabschätzung zwingend erforderlich und wird diese trotzdem nicht durchgeführt, drohen Bußgelder nach Art. 83 ff. DSGVO. Dementsprechend können Verstöße gegen Vorgaben im Hinblick auf die Datenschutz-Folgenabschätzung nach Maßgabe des Art. 83 Abs. 4 DSGVO mit Geldbuße i.H.v. bis zu 10 Mio. Euro oder im Falle eines Unternehmens bis zu 2 % des weltweit erzielten gesamten Jahresumsatzes des vergangenen Geschäftsjahres, je nachdem welche Summe höher ist, sanktioniert werden.  


6. Fazit 

Zusammenfassend lässt sich festhalten, dass jeder Datenverarbeitungsprozess  einzelfallbezogen betrachtet und datenschutzrechtlich evaluiert werden muss. Werden Risiken nicht eingedämmt, kann es zu Datenschutzverletzungen kommen. Dies können sowohl für das eigene Unternehmen, als auch für Kunden oder Geschäftspartner, aber vor allem für die Betroffenen gravierende Folgen haben und gegebenenfalls sogar Schadenersatzansprüche oder Bußgelder nach sich ziehen. Es empfiehlt sich daher stets Experten mit Kompetenzen in den Bereichen Datenschutz, Risikoermittlung und Fachprozesse zurate zu ziehen.  

 
 
 
Call Now ButtonKontakt aufnehmen