news IT - Datenschutz - arrows

News

Newsflash IT / Datenschutz 

Halten Sie sich über aktuelle Entwicklungen, Entscheidungen und Nachrichten aus dem Bereich IT und Datenschutz auf dem Laufenden.

Datenschutz | Datenschutzrechtlicher Handlungsbedarf im Lichte aktueller Maßnahmen der Aufsichtsbehörden und des Rekord-Bußgeldes von 14,5 Mio. Euro

08. November 2019

Berliner Aufsichtsbehörde setzt Zeichen

Bereits im Rahmen unserer diesjährigen Veranstaltung Forum Wohnungswirtschaft im Deloitte Greenhouse in Berlin hat unsere Datenschutz-Spezialistin Dr. Söntje Julia Hilberg die praktische Anwendung der neuen Leitlinien für die Anwendung und Festsetzung von Geldbußen in Verfahren gegen Unternehmen im Anwendungsbereich der EU Datenschutzgrundverordnung („DSGVO“) erläutert. Der nachstehende Beitrag enthält weitere Einzelheiten und unsere Einschätzung zu der jüngst ergangenen Entscheidung zur Verhängung einer Geldbuße in Höhe von EUR 14,5 Mio. sowie dem sich daraus ergebenden Handlungsbedarf für Unternehmen.

50.000 Euro gegen eine Online-Bank, rund 200.000 Euro gegen einen Lieferdienst und jüngst mit einem Betrag von 14,5 Millionen Euro das bisher höchste Bußgeld in Deutschland, gegen ein Unternehmen der Immobilienwirtschaft. Die Berliner Aufsichtsbehörde hat bisher in sehr unterschiedlichen Fällen die in Deutschland bislang höchsten Bußgelder wegen Verstößen gegen das Datenschutzrecht verhängt. Nach öffentlich verfügbaren Informationen variieren nicht nur die Höhe der erlassenen Bußgelder stark, sondern auch die den Unternehmen vorgeworfenen Verstöße gegen datenschutzrechtliche Bestimmungen: So ging es inhaltlich um die Verarbeitung von Kundendaten auf „Schwarzen Listen“ über die Einhaltung von Betroffenenrechten bis hin zur Verwendung von Archivsystemen zur Speicherung von personenbezogenen Daten.

Im Folgenden beleuchten wir die Hintergründe des kürzlich verhängten Rekord-Bußgeldes und stellen sodann mit Blick auf die in letzter Zeit erkennbare Praxis der Aufsichtsbehörden den Handlungsbedarf für Unternehmen dar.

Die Entscheidung der Berliner Aufsichtsbehörde

Eine detaillierte inhaltliche rechtliche Auseinandersetzung mit dem Bußgeldbescheid ist derzeit ebenso wenig möglich wie eine abschließende Bewertung von dessen Inhalt. Denn die vollständige und mit einer fundierten Begründung versehene Bußgeldentscheidung liegt bislang nicht vor, weshalb nur eine auf die mit knappen Erläuterungen der Hintergründe versehene Pressemitteilung der Berliner Aufsichtsbehörde [Link] gestützte vorläufige Einschätzung möglich ist.

Aus der Pressemitteilung der Landesdatenschutzbeauftragten geht die Rechtsauffassung hervor, dass das betroffene Unternehmen Datenbestände gespeichert haben soll, ohne dass hierfür eine Rechtsgrundlage vorlag.

Nach Maßgabe der Pressemitteilung sei die Verhängung eines Bußgeldes wegen Verstößen gegen Art. 25 Abs. 1 DSGVO und Art. 5 DSGVO daher „zwingend“ gewesen. Die genannten Normen beinhalten Vorgaben zum Datenschutz durch technische Gestaltung und datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 1 DSGVO) sowie allgemeine Grundsätze zu den Anforderungen an Datenverarbeitungen (Art. 5 DSGVO).

Beide Normen zeichnen sich durch die Verwendung unbestimmter Rechtsbegriffe aus, die – anders als „harte Vorgaben“ der DSGVO wie beispielsweise die Pflicht zur Führung von Verarbeitungsverzeichnissen oder die Benennung von Datenschutzbeauftragten – im Einzelfall durch Gerichte auszulegen sind.

Das betroffene Unternehmen hat angekündigt, sich gegen die erhobenen und als Grundlage für die Entscheidung verwendeten Vorwürfe verteidigen und diese gerichtlich überprüfen lassen zu wollen [Link].

Für den Fall, dass es tatsächlich zu einer gerichtlichen Überprüfung kommt, ist zu erwarten, dass sich das zur Entscheidung berufene Gericht mit zwei Fragestellungen auseinandersetzen wird: Nämlich zum einen, ob die personenbezogenen Daten ohne Rechtsgrundlage gespeichert wurden oder es möglicherweise doch Aufbewahrungspflichten gab, die die Speicherung rechtfertigten. Zum anderen, ob und gegebenenfalls inwieweit Verstöße auf Basis unbestimmter Rechtsbegriffe, wie sie in Art. 5 und Art. 25 Abs. 1 DSGVO enthalten sind, überhaupt tauglicher Gegenstand von Bußgeldentscheidungen sein können.

Interessant wäre es überdies, wenn sich das zur Entscheidung berufene Gericht mit der Aussage der Aufsichtsbehörde befassen würde, dass bußgeldmindernd zu berücksichtigen ist, dass keine missbräuchlichen Zugriffe auf die Archivsysteme nachweisbar gewesen seien. Diese Aussage der Aufsichtsbehörde könnte nämlich dahin verstanden werden, dass ein besonderer Fokus auf den technischen und organisatorischen Maßnahmen (Art. 32 DSGVO) zum Schutz vor unbefugten Zugriffen liegt. Sollte dem so sein, dürften zwei (weitere) Aspekte interessant werden: Erstens wird man sich fragen dürfen, ob die Aufsichtsbehörde bestimmten Regelungsbereichen wie z. B. den technischen und organisatorischen Maßnahmen ein besonders hohes Gewicht beimessen darf und ob bei Vor-Ort-Kontrollen die Verstöße in einer bestimmten Rangfolge gewichtet werden können. Spiegelbildlich wird es dogmatisch interessant sein zu erfahren, warum die Aufsichtsbehörde bei Ausübung ihres Ermessens das Nicht-Vorliegen bestimmter Verstöße bußgeldmildernd berücksichtigt.

Erkennbare Praxis der Aufsichtsbehörden

Im Hinblick auf die bisher erkennbare Praxis der Aufsichtsbehörden sowie das am 16.10.2019 veröffentlichte Konzept der Datenschutzkonferenz zur Berechnung von Bußgeldern [LINK] ergeben sich die nachstehend umschriebenen ersten Erkenntnisse für die weitere Entwicklung und künftige Praxis.

1. Erkenntnis: Datenschutz ist nicht mehr nur „best practice“

Die „DSGVO-Warmlaufphase“ ist vorbei. Zeiten, in denen Betroffene und Aufsichtsbehörden wohlwollend „Kulanz“ walten ließen, gehören der Vergangenheit an.

Aktuell befinden wir uns in einem Stadium, das man als „Übergangsphase“ bezeichnen kann: Es ist deutlich erkennbar, dass die Beachtung grundlegender Vorgaben des Datenschutzrechts zunehmend als Selbstverständlichkeit angesehen wird, insbesondere bei zentralen Datenschutzthemen wie Betroffenenrechte oder Löschung.

Folglich gehen auch die Aufsichtsbehörden zunehmend zu systematischen Prüfungen diverser Branchen und datenschutzrechtlich relevanter Themenbereiche über.

Zugleich ist jedoch erkennbar, dass die Aufsichtsbehörden bei festgestellten Mängeln im Regelfall nicht sofort „hart durchgreifen“. Bei allen vorstehend beschriebenen Sachverhalten, die Bußgelder nach sich gezogen haben, hatten die Aufsichtsbehörden zunächst mit durchaus beträchtlicher Vorlaufzeit geprüft, beanstandet und dann Empfehlungen zur Abstellung der ermittelten datenschutzrechtlichen Missstände ausgesprochen. Dabei wurde – soweit ersichtlich – jeweils ein durchaus kooperativer Ansatz verfolgt. Erst als seitens der Verantwortlichen über längere Zeiträume keine Maßnahme getroffen worden waren, ergingen die Bußgeldbescheide. Dieses stufenweise Vorgehen der Aufsichtsbehörden ist – in gewissem Maße – als Ausfluss des Gebotes der Verhältnismäßigkeit des Exekutivhandelns durchaus im Gesetz angelegt und in der Praxis auch angezeigt.

Allerdings ist es gut vorstellbar, dass auch die nunmehr eingeleitete „Übergangsphase“ nicht allzu lange andauern wird. Es dürfte davon auszugehen sein, dass die weitere Entwicklung darin mündet, dass Aufsichtsbehörden jedenfalls bei gravierenden Verstößen zunehmend weniger das Gespräch mit den Verantwortlichen suchen und – auch aus Abschreckungsgründen – schneller „durchgreifen“ und Bußgelder verhängen.

2. Erkenntnis: Hinweise der Aufsichtsbehörden als Hilfestellung nutzen

Nimmt man den Fall des jüngst verhängten Rekordbußgeldes als Beispiel, wird schnell deutlich: Die Aufsichtsbehörden mögen (noch) Vor-Ort-Prüfungen durchführen und den Unternehmen dann in gewissem Maße aufbereiten, welche Mängel zu beheben sind. Diese „Hausaufgaben“ sollten alle datenverarbeitenden Unternehmen dann auch gründlich analysieren. Zwar sollten seitens der Aufsichtsbehörden geäußerte Rechtsauffassungen nicht dazu führen, dass Unternehmen unreflektiert Maßnahmen ergreifen, um die monierten Missstände abzustellen. Dies gilt in besonderem Maße, wenn sich nach Rücksprache mit Datenschutzexperten herausstellt, dass die Rechtslage im Streitfall von den zur Entscheidung berufenen Gerichten durchaus anders bewertet werden könnte. Gleichwohl gilt: Die Hinweise der Aufsichtsbehörden sollten jedenfalls als Anlass für die Überprüfung der Datenverarbeitung genommen werden - und in diesem Zusammenhang kann es durchaus sinnvoll sein, sich bei Bedarf weiter mit den Aufsichtsbehörden abzustimmen. Dies gilt umso mehr, wenn die Aufsichtsbehörde – wie im jüngsten Bußgeld-Fall – zu verstehen gibt, dass sie von einer bewussten Missachtung datenschutzrechtlicher Grundsätze ausgeht.

3. Erkenntnis: Unternehmen haben Einflussmöglichkeiten auf die Bemessung des Bußgeldes

Schließlich ist deutlich erkennbar, dass sich die Aufsichtsbehörden zukünftig an das von der Datenschutzkonferenz entwickelte und verabschiedete Konzept zur Bemessung von Bußgeldern halten werden und sich insofern eine systematische Sanktionspraxis entwickeln wird.

Auf der Grundlage des DSK-Konzeptes werden schematisch anhand von fünf Parametern (Unternehmensgröße, Jahresumsatz, Tagessätze, Schweregrad und Anpassung bei Vorliegen entlastender Umstände) Bußgelder errechnet.

Für den Fall, dass ein Verstoß identifiziert wird und gegebenenfalls gar eine Bebußung droht, sollten Unternehmen grundsätzlich mit den Aufsichtsbehörden kooperieren und dabei besonderes Augenmerk auf die Einflussmöglichkeiten bei entlastenden Faktoren legen. Im Falle des jüngst verhängten Bußgeldes wurde ausweislich der Pressemitteilung insbesondere bußgeldmildernd berücksichtigt, dass (wenigstens) erste Maßnahmen mit dem Ziel der Beseitigung der festgestellten Verstöße getroffen worden waren. Damit derlei Umstände „im Ernstfall“ tatsächlich zu Gunsten des Bußgeldadressaten berücksichtigt werden können, sollten Unternehmen eingeleitete Maßnahmen fortlaufend dokumentieren. Aus den bisherigen Fällen wird ersichtlich, dass schon dokumentierte Bemühungen zur Abstellung struktureller Organisationsprobleme zu Gunsten des Unternehmens wirken können.

Eine weitere bußgeldmildernde „Stellschraube“ im jüngsten Fall war die „formal gute Zusammenarbeit“ mit der Aufsichtsbehörde. Dies darf dahin verstanden werden, dass eine gute Kooperation mit der Aufsichtsbehörde unabhängig von der inhaltlichen Bewertung oder Behebung der Verstöße dazu führen kann, dass Bußgelder niedriger ausfallen.

Es ist daher empfehlenswert, eine konstante Kommunikation mit der Aufsichtsbehörde zu gewährleisten und im Einzelfall die Kommunikation so zu gestalten, dass diese nicht in – für den konkreten Vorwurf sogar möglicherweise irrelevante – datenschutzrechtliche Grundsatzdiskussionen mündet.

In jedem Fall sollte hierzu fachlicher Rat und erforderlichenfalls anwaltlicher Beistand gesucht werden.

Fazit

Unternehmen sollten die aktuelle Entscheidung der Berliner Aufsichtsbehörde zum Anlass nehmen, zentrale Datenschutzthemen (z. B. Bestimmung der Rechtsgrundlagen für Datenverarbeitungen, Umsetzung von Löschkonzepten, Umgang mit Betroffenenanfragen und das Management von Datenschutz-Dokumenten wie Verfahrensverzeichnissen und Auftragsverarbeitungsverträgen) nochmals zu prüfen. Zwar lassen sich aus den Pressemitteilungen zu dem jüngst veröffentlichten Bußgeld nicht unmittelbar rechtliche Klarstellungen, beispielsweise zum Umgang mit „Altlasten“ in Archivsystemen, ableiten. In strategischer Hinsicht ist es Unternehmen jedoch anzuraten, sich auf eine neue Phase der Praxis der Aufsichtsbehörden einzustellen. Hierzu zählt insbesondere das Gebot, etwa im Falle von Untersuchungen durch die Aufsichtsbehörde festgestellten Mängeln gründlich nachzugehen und durch kooperatives Verhalten dazu beizutragen, dass ein Bußgeld zu Gunsten des Unternehmens möglicherweise niedriger bemessen werden kann.

 

Datenschutz | Europäischer Gerichtshof: Joint Controller-Haftung bei Verwendung von Facebook Like-Buttons

23. August 2019

In einer richtungsweisenden Entscheidung hat der EuGH festgestellt, dass Webseiten-Betreiber, die den „Gefällt mir-/Like-Button“ von Facebook einbinden, für die Einhaltung datenschutzrechtlicher Vorgaben in gleicher Weise verantwortlich sind wie Facebook selbst und ihre Nutzer über die Verwendung der Social Media Plugins informieren müssen. Die Entscheidung macht eine Überprüfung und gegebenenfalls Überarbeitung von Webseiten und zugehörigen Nutzungsbedingungen und Datenschutzerklärungen erforderlich.

Inwieweit ist ein Betreiber einer Webseite mit einem Anbieter eines sozialen Netzwerks gemeinsam verantwortlich, wenn er auf seiner Webseite einen „Gefällt mir“-Button (Social Media Plugins) einbindet und dadurch personenbezogene Daten erhebt, die er an den Anbieter weiterleitet? Welche Rechtsgrundlagen können eine Verarbeitung dieser Art rechtfertigen?

Zu diesen Fragen hat der EuGH in seiner Entscheidung (LINK) vom 29. Juli 2019 in der Rechtssache C-40/17 (so genannte Fashion ID-Entscheidung) Stellung genommen. Ausgangspunkt war ein Vorabentscheidungsersuchen des OLG Düsseldorf in einem von der Verbraucherzentrale NRW e.V. initiierten und auf Erlass einer einstweiligen Verfügung gerichteten Verfahren.

Um die Werbung für seine Produkte zu optimieren, indem diese im sozialen Netzwerk Facebook sichtbarer gemacht werden, hatte sich der Betreiber einer Webseite entschlossen, den so genannten „Gefällt mir“-Button/“Like“-Button (ein sogenanntes Social Media Plugin) von Facebook auf seiner Webseite einzubinden.

Beim Aufruf der Webseite wurden automatisch diverse Informationen, wie beispielsweise die IP-Adresse des Endgerätes (Handy, Laptop) des Besuchers erhoben und an Facebook übermittelt.

In seiner Entscheidung folgt der EuGH dem Schlußantrag des Generalanwalts Michal Bobek und stellte fest, dass ein Webseiten-Betreiber, der ein Social Media Plugin auf seiner Website einbindet, gemeinsam mit dem Anbieter des Social Plugins für die Datenverarbeitung verantwortlich ist.

Die Verantwortlichkeit des Webseitenbetreibers sei dabei auf diejenigen Phasen der Datenverarbeitung beschränkt, für die der Webseiten-Betreiber über Zwecke und Mittel entscheidet. Vorliegend betraf dies die Erhebung und Übermittlung der Daten der Webseiten-Besucher an Facebook. Eine Verantwortung des Webseitenbetreibers sieht der EuGH allein dadurch begründet, dass der Betreiber der Webseite das Social Plugin einbindet und damit eine Datenübermittlung an Facebook wissentlich ermöglicht.

Der EuGH stellte außerdem klar, dass die durch den Aufruf der Webseite initiierte Erhebung von Informationen über die Endgeräte der Webseitenbesucher nur auf der Grundlage einer Einwilligung zulässig sei.

Obschon ohne entscheidende Relevanz für den vorliegenden Fall, stellte das Gericht überdies klar, dass Art. 6 Abs. 1 (f) DS-GVO erfordert, dass im Rahmen einer gemeinsamen Verantwortung alle beteiligten Unternehmen ein berechtigtes Interesse an der Verarbeitung der Daten nachweisen müssen.

Sofern die Datenverarbeitung auf der Grundlage einer seitens der Betroffenen erklärten Einwilligung erfolgt, muss die Einwilligungserklärung deshalb alle für die Datenverarbeitung gemeinsam verantwortlichen Unternehmen umfassen und berechtigen.

Schließlich stellt der EuGH klar, dass die Informationspflicht der im Rahmen einer gemeinsamen Verantwortung agierenden Unternehmen auf diejenigen Phasen beschränkt sei, für die die beteiligten Unternehmen tatsächlich über die Zwecke und Mittel der Datenverarbeitung entscheiden. Im vorliegenden Fall bedeutet das, dass der Webseitenbetreiber bereits im Zeitpunkt des Aufrufens der Webseite über die Erhebung und Übermittlung der personenbezogenen Daten zu informieren hat.

Folgen für die Praxis

Mit seiner lang erwarteten Entscheidung stellt der EuGH wesentliche Grundprinzipien der gemeinsamen Verantwortung klar. Er konkretisiert den Umfang der gemeinsamen Verantwortung auf diejenigen Verfahrensschritte der Verarbeitung der Daten, die von den beteiligten Unternehmen gemeinsam beeinflusst werden.

Nach Maßgabe des Urteils sind Webseitenbetreiber, die Social Media Plugins, insbesondere den Facebook Like-Button verwenden, gehalten, ihre Nutzer vor Erhebung und Übermittlung von Daten an Facebook über die geplante Datenverarbeitung zu informieren und deren Einwilligung einzuholen. Die in diesem Zusammenhang zu erteilenden Informationen und die Einwilligung selbst müssen dabei insbesondere die gemeinschaftliche Datenverarbeitung mit dem jeweiligen sozialen Netzwerk und Nutzung der Daten durch dieses umfassen.

Als technische Lösung bieten sich besondere Plugins oder so genannte 2-click-Lösungen an. Gegebenenfalls sind auch besondere Hinweise im Rahmen der Cookie-Banner denkbar, mittels derer auf die Besonderheiten und Funktionsweise der Social Media Plugins und das diesbezügliche Widerspruchsrecht hingewiesen wird. Sofern das Social Media Plugin auch Informationen über die Endgeräte der Webseitenbesucher erhebt, ist das verwendete Cookie-Banner um eine Möglichkeit zur Erklärung einer Einwilligung in diese Datenerhebung zu erweitern.

Einwilligungserklärungen und Datenschutzhinweise sind so (um-) zu gestalten, dass alle an der Datenverarbeitung beteiligten verantwortlichen Stellen in diesen benannt und durch diese berechtigt werden.

Obwohl die Entscheidung im Hinblick auf ein spezifisches Social Media Plugin, namentlich den Facebook „Like-“ Button ergehen, sind die vom EuGH festgelegten Prinzipien auch bei der Verwendung anderer Social Media Plugins zu beachten. Vor deren Einsatz sollte sorgfältig geprüft werden, welche nutzerbezogenen Daten erhoben und sozialen Netzwerken zur Verfügung gestellt und für welche Zwecke diese dort genutzt werden.

Aufgrund der Erfahrungen aus der Vergangenheit, insbesondere der Reaktion von Facebook auf die im Juni 2018 ergangene Facebook Fanpages-Entscheidung des EuGH dürfte davon auszugehen sein, dass Facebook zeitnah Joint Controller-Vereinbarungen zur Verfügung stellen wird. Es bleibt zu prüfen, ob diese Vereinbarungen dann den relevanten Anforderungen genügen werden.

Für weitere Erläuterungen stehen Ihnen unsere auf die Beratung digitaler Geschäftsmodelle und datenschutzrechtlicher Angelegenheiten spezialisierten Kolleginnen und Kollegen gerne zur Verfügung.

 

Datenschutz | Bundestag nimmt Änderungen am Datenschutzrecht vor

29. Juli 2019

Die Europäische Datenschutz-Grundverordnung (DSGVO) gilt seit dem 25. Mai 2018 und ist seitdem unmittelbar in allen Mitgliedstaaten der Europäischen Union anwendbar.

Um das deutsche Recht mit der DSGVO in Einklang zu bringen und die vielfach kritisierten Belastungen, die die DSGVO gerade für kleine und mittlere Unternehmen gebracht hat, abzumildern, hat der Bundestag am 28. Juni 2019 das zweite Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (2. DSAnpUG-EU) verabschiedet (LINK).

Das Gesetz dient der Anpassung von Begriffsbestimmungen und Rechtsgrundlagen für die Verarbeitung personenbezogener Daten sowie Regelungen zu den Betroffenenrechten.

Neben der Verabschiedung zahlreicher Anpassungen redaktioneller Art und der Anpassung unterschiedlicher Rechtsgrundlagen für die Verarbeitung personenbezogener Daten, sieht das 2. DSAnpUG-EU auch Änderungen vor, die das Bundesdatenschutzgesetz (BDSG) betreffen und praktische Auswirkungen für Unternehmen haben werden.

Dabei wurden die Voraussetzungen zur Benennung eines Datenschutzbeauftragten mit dem Ziel erleichtert, eine Entlastung kleiner und mittlerer Unternehmen zu schaffen.

Aufgrund der Öffnungsklausel des Art. 37 Abs. 4 DSGVO hat der deutsche Gesetzgeber die Verantwortlichen und die Auftragsverarbeiter bislang zur Benennung eines Datenschutzbeauftragten verpflichtet, „soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigten“ (§ 38 Abs. 1 S.1 BDSG). Die 2. DSAnpUG-EU hat nun diesen Schwellenwert von 10 auf 20 angehoben, was zur Folge hat, dass fortan zahlreiche Unternehmen von der Benennungspflicht befreit werden.

Trotz dieser Lockerung bleiben für Verantwortliche und/oder Auftragsverarbeiter jedoch weiterhin andere Vorgaben bestehen, die eine Bestellungspflicht vorsehen.

Nehmen diese etwa Datenverarbeitungen vor, die einer Datenschutz-Folgenabschätzung gem. Art. 35 der DSGVO unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, so haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einen Datenschutzbeauftragten zu benennen (§ 38 Abs. 1 S. 2 BDSG).

Eine Pflicht zur Bestellung eines Datenschutzbeauftragten kann sich zudem aus den Vorschriften und Bestimmungen der DSGVO ergeben. Diese sieht in Art. 37 Abs. 1 bereits Fälle vor, in denen ein Datenschutzbeauftragter zu benennen ist. Dies ist etwa der Fall, wenn die Verarbeitung eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht oder wenn die Kerntätigkeit des Verantwortlichen in der umfangreichen Verarbeitung über die strafrechtlichen Verurteilungen und Straftaten besteht.

Unternehmen sollten daher prüfen, ob sie aus den in Art. 37 Abs. 1 DSGVO aufgeführten Gründen zur Benennung eines Datenschutzbeauftragten verpflichtet sind, oder ob es aus präventiven Überlegungen ratsam wäre, einen solchen zu benennen.

Da es sich hier um ein zustimmungspflichtiges Gesetz handelt, muss nun der Bundesrat noch seine Zustimmung zum endgültigen Gesetz erteilen.

 

Datenschutz | Haftung von Unternehmen für Datenschutzverletzungen ihrer Mitarbeiter

7. Juni 2019

Die Datenschutzkonferenz positioniert sich zur Haftung von Unternehmen für Datenschutzverletzungen ihrer Mitarbeiter - und fordert eine Ausweitung der Zurechnungstatbestände auf sämtliche Mitarbeiter

Die Datenschutzkonferenz (DSK), ein Zusammenschluss der unabhängigen Datenschutzbehörden des Bundes und der Länder, veröffentlicht regelmäßig Entschließungen und Orientierungshilfen, die eine einheitliche Anwendung des Datenschutzrechts innerhalb Deutschlands und der Europäischen Union fördern sollen.

Vor kurzem hat die DSK eine Entschließung veröffentlicht, in der sie sich zur Frage der Verhängung von Bußgeldern gegen Unternehmen für Datenschutzverletzungen ihrer Mitarbeiter positioniert (Link).

Nach Auffassung der DSK sollen Unternehmen im Rahmen von Art. 83 der Datenschutzgrundverordnung (DSGVO) für jegliche von Mitarbeitern des jeweiligen Unternehmens begangene Datenschutzverstöße verantwortlich sein, ohne dass es - zum Beispiel - auf die Position des jeweiligen Mitarbeiters im Unternehmen oder die Verletzung von Aufsichtspflichten durch den Unternehmensinhaber ankäme.

Adressat von in diesem Zusammenhang ergehenden Bußgeldbescheiden soll nach Auffassung der DSK das Unternehmen selbst sein, nicht der jeweilige Mitarbeiter.

Eine Ausnahme soll sei nur angezeigt, wenn der von dem Mitarbeiter begangene Datenschutzverstoß einen sogenannten „Exzess“ darstellt. So soll beispielsweise ein vorsätzlich datenschutzwidriges Verhalten eines Mitarbeiters dem Unternehmen nicht zugerechnet werden. Ein Beispielsfall wäre der Verkauf von Patientendaten durch den Mitarbeiter eines Krankenhauses mit dem Ziel der persönlichen Bereicherung.

Die DSK begründet ihre Auffassung mit dem in der DSGVO angelegten „funktionalen Unternehmensbegriff“ des Europäischen Primärrechts, wonach Unternehmen für zurechenbare Verstöße aller Mitarbeiter haften sollen.

Dieses Verständnis weicht von der nationalen Regelung in § 41 Bundesdatenschutzgesetz (BDSG) ab. Diese verweist im Rahmen der Sanktion von Datenschutzverstößen auf das Gesetz über Ordnungswidrigkeiten (OWiG). Nach § 130 Abs. 1 OWiG kann der Inhaber eines Unternehmens mit einem Bußgeld für Datenschutzverstöße von Mitarbeitern belegt werden, sofern diese auf der Verletzung von Aufsichtspflichten beruhen. Diese Ordnungswidrigkeit erstreckt sich über § 30 OWiG dann wiederum auf das Unternehmen. Das deutsche Ordnungswidrigkeitenrecht unterscheidet sich jedoch in einer Vielzahl von Fragen vom Sanktionsregime der DSGVO. Inwieweit etwa der dort zugrunde gelegte (funktionale) Unternehmensbegriff dem des OWiG entspricht ist nach wie vor umstritten, was insbesondere bei Konzernstrukturen zu Unklarheiten führt.

Die DSK fordert den Bundesgesetzgeber daher auf, bei der Anpassung des nationalen Datenschutzrechts entsprechende Änderungen vorzunehmen.

Zwar stellen die Entschließungen der DSK keine rechtsverbindlichen Akte dar und haben somit lediglich empfehlenden Charakter. Allerdings weist die DSK zutreffend darauf hin, dass bereits der Koalitionsvertrag (Link) vorsieht, das Sanktionsrecht im Bereich der Wirtschaftskriminalität zu verschärfen, indem die Zurechnungstatbestände ausgeweitet werden.

Eine zukünftige Anpassung der nationalen Regelungen zur Sanktionierung von Unternehmen im Sinne der von der Datenschutzkonferenz vertretenen Auffassung ist daher nicht auszuschließen.

Zur Vermeidung von Datenschutzverstößen sind Unternehmen gehalten, sämtliche Mitarbeiter intensiv mit den Bestimmungen des Datenschutzrechts vertraut zu machen und sie fortlaufend auf neue datenschutzrechtliche Entwicklungen hinzuweisen.

 

Datenschutz | Verordnung über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten

6. Mai 2019

Die rechtlichen Anforderungen an die Verarbeitung personenbezogener Daten sind mit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) verstärkt in den Fokus der Öffentlichkeit geraten. Ein anderes Thema von erheblicher kommerzieller Bedeutung ist dabei in den Hintergrund getreten: Die Verarbeitung nicht-personenbezogener Daten. Nicht-personenbezogene Daten sind solche Daten, die im Gegensatz zu personenbezogenen Daten keinen unmittelbaren oder mittelbaren Rückschluss auf natürliche Personen geben. Beispiele hierfür sind anonymisierte Daten, Angaben zur Leistungsfähigkeit von Maschinen oder betriebswirtschaftliche Daten wie Jahresumsätze oder Mitarbeiteranzahl. Die Möglichkeit der ungehinderten Übertragung von Daten ist ein Schlüsselfaktor, um die Auswahlmöglichkeiten der Nutzer und einen wirksamen Wettbewerb auf den Märkten der Datenverarbeitungsdienste zu fördern. Die grenzüberschreitende Übertragung von Daten war jedoch bislang durch tatsächliche oder vermeintliche Schwierigkeiten gekennzeichnet, insbesondere nationale Vorschriften, die ein Vorhalten bestimmter Daten im jeweiligen EU-Mitgliedstaat vorsahen.

Mit der Verordnung über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union (Link) wurde ein Instrument für eine wettbewerbsorientierte europäische Datenwirtschaft geschaffen. Die Verordnung wird ab dem 19. Juni 2019 unmittelbar gelten.

Bis zum Erlass der Verordnung war der freie Verkehr nicht-personenbezogener Daten insbesondere durch sogenannte „Datenlokalisierungsauflagen“ beschränkt. Diese Auflagen verpflichteten Unternehmen und Behörden häufig dazu, ihre nicht-personenbezogenen Daten trotz kostengünstiger Alternative im EU-Ausland im Inland zu verarbeiten und zu speichern. Ein Rückgriff auf Cloud-Anbieter, die die Daten im Ausland speichern, war somit in vielen Fällen nicht zulässig. Im deutschen Recht finden sich derartige Auflagen beispielsweise im Einkommenssteuergesetz und im Handelsgesetzbuch.

Mit der Verordnung werden diese Einschränkungen weitgehend entfallen. Zukünftig sind Datenlokalisierungsauflagen unzulässig, es sei denn, sie sind aus Gründen der öffentlichen Sicherheit unter Achtung des Grundsatzes der Verhältnismäßigkeit gerechtfertigt. Die EU-Mitgliedstaaten sind verpflichtet, derzeit noch gültige Datenlokalisierungsauflagen, die diesen neuen Anforderungen nicht entsprechen, bis zum 30. Mai 2021 aufzuheben. Außerdem werden die EU-Mitgliedstaaten verpflichtet, der Kommission alle Entwürfe von Vorschriften mitzuteilen, welche Datenlokalisierungsauflagen enthalten oder bestehende Datenlokalisierungsauflagen ändern.

Daneben werden die Mitgliedstaaten verpflichtet, die Einzelheiten sämtlicher in ihrem Hoheitsgebiet geltenden, durch allgemeine Rechts- oder Verwaltungsvorschriften geregelten Datenlokalisierungsauflagen über eine nationale einheitliche Online-Informationsstelle öffentlich verfügbar zu machen und auf dem neuesten Stand zu halten.

Damit wird es Unternehmen und Behörden zukünftig freistehen, den grenzüberschreitenden Wettbewerb der Cloud-Anbieter zu nutzen und so von einer effizienten und kostengünstigen Datenspeicherung und Verarbeitung zu profitieren. Besondere praktische Bedeutung wird diese Liberalisierung mit Blick auf den immer wichtiger werdenden Aufbau und die Nutzung von branchenübergreifenden Plattformen und Datenpools („Data Sharing“) haben. Nationale Datenlokalisierungsauflagen, die nach dem Wunsch eines Mitgliedstaates auch nach Ablauf der Übergangsfrist bis 30. Mai 2021 fortbestehen sollen und deren Fortbestehen von der Kommission gutgeheißen wird, werden zukünftig zentral verfügbar gemacht – auch dies ist ein erheblicher Fortschritt für diese Splittermaterie, die unterschiedlichste Akteure betrifft und dabei mehrere Schutzrichtungen verfolgt.

Wie sich die Verordnung und Umsetzung in der Praxis entwickelt wird weiter zu verfolgen sein. Praktische Bedeutung hat auch das Zusammenspiel der Verordnung mit der DSGVO, insbesondere im Umgang mit gemischten Datensätzen. Denn die Verordnung sieht hier ausdrücklich die Anwendbarkeit der DSGVO auf den personenbezogenen Teil vor. Zur Frage der Wechselwirkungen beider Verordnungen, insbesondere im Hinblick auf gemischte Datensätze, soll die Kommission laut Verordnung bis zum 29. Mai 2019 informierende Leitlinien herausgeben.

 

Datenschutz | Bundestag verabschiedet Gesetz zum Schutz von Geschäftsgeheimnissen

4. April 2019

Der Bundestag hat vor kurzem das Gesetz zum Schutz von Geschäftsgeheimnissen beschlossen, welches voraussichtlich noch im April dieses Jahres in Kraft treten wird (Link).

Damit hat Deutschland die europarechtlichen Vorgaben aus der Richtlinie über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Link) in nationales Recht umgesetzt und erstmals den Schutz von Geschäftsgeheimnissen umfassend geregelt.

Wesentliche Neuerung ist vor allem die gesetzliche Definition des Geschäftsgeheimnisses. So ist nicht nur die Vertraulichkeit der Information ausschlaggebend, sondern auch, ob angemessene Geheimhaltungsmaßnahmen getroffen wurden. Auf den subjektiven Geheimhaltungswillen kommt es für den Informationsschutz somit nicht mehr an. Weitere Neuerung sind die erweiterten Ansprüche bei Geheimnisverletzung: Neben den Ansprüchen auf Unterlassung, Schadensersatz und Auskunft, stehen dem Berechtigten nun auch Ansprüche auf Vernichtung, Rückruf und Herausgabe der Informationen zu.

Zu spezifischen Fragen rund um die Auswirkungen der Richtlinie und des Umsetzungsaktes auf den Schutz von Algorithmen in Big-Data-Anwendungen verweisen wir auf den Beitrag unserer Kollegin Katharina Scheja.

Unternehmen wird empfohlen, bereits jetzt zu prüfen, ob ihre Geschäftsgeheimnisse angemessen geschützt sind und somit unter den Schutz des Gesetzes fallen.

 

Datenschutz | Bundeskartellamt weist Facebook in die Schranken und begrenzt Datensammlung

25. Februar 2019

Das Bundeskartellamt hat sich der Sammlung von Nutzerdaten durch Facebook angenommen. Die Behörde stellt dabei zunächst fest, dass das Unternehmen innerhalb der sozialen Netzwerke in Deutschland eine marktbeherrschende Stellung einnimmt. Diese Machtstellung werde durch Facebook missbraucht, wenn ohne datenschutzkonforme Einwilligung der Betroffenen eine uneingeschränkte Sammlung und Zusammenführung von Daten aus Tochterunternehmen wie Instagram und WhatsApp oder auch Drittseiten mit Bezug zu Facebook (bspw. durch die Verwendung der „Gefällt mir“- Buttons) stattfindet. Durch die Entscheidung wird Facebook dazu verpflichtet, innerhalb von zwölf Monaten Maßnahmen vorzunehmen, durch die eine – unter Berücksichtigung dieser Vorgaben – gesetzeskonforme Datenverarbeitung sichergestellt wird.

Die Entscheidungen stößt vor allem bei Verbraucherschutzorganisationen auf Zustimmung. Kritische Stimmen bemängeln jedoch das Vorgehen des Bundeskartellamts als „eigenmächtig“ und widersprechen einer Kompetenz der Behörde so weitreichende Aussagen zu datenschutzrechtlichen Angelegenheiten zu tätigen. Auch wird auf die Möglichkeit einer rechtskonformen Datenverarbeitung ohne Einwilligung auf Grundlage berechtigter Interessen oder zum Zwecke der Vertragserfüllung hingewiesen.

Das vorliegende Verfahren zeigt einmal mehr, dass es bei der Umsetzung der EU-Datenschutzgrundverordnung (DSGVO) noch immer grundlegende klärungsbedürftige Fragen gibt. Vor allem das Thema Einwilligung führt immer wieder zu Unsicherheiten bei der Umsetzung digitaler Geschäftsmodelle. So zeigt beispielsweise auch das aktuelle Ergebnis einer Datenschutzprüfung digitaler Dienste durch das Bayerische Landesamt für Datenschutzaufsicht vom 05. Februar 2019, dass auf keiner der vierzig geprüften Webseiten eine den Vorgaben der DSGVO entsprechende Einwilligung für den Einsatz von Tracking-Tools eingeholt wurde.  

 

Datenschutz | Formulierungshilfen zu Einwilligungserklärungen und Auftragsverarbeitungsverträgen

15. Februar 2019

Die Auseinandersetzung mit den Anforderungen der EU-Datenschutzgrundverordnung („DSGVO“) bringt für viele Unternehmen erheblichen Aufwand mit sich. In der Praxis wird insbesondere beklagt, dass sich die im Hinblick auf bestimmte Sachverhalte bestehenden Pflichten nicht immer eindeutig feststellen lassen. Angesichts teilweise auslegungsbedürftiger Formulierungen und hierzu vertretenen unterschiedlichen Auffassungen fällt vielen Unternehmen häufig bereits die Umsetzung elementarer gesetzlicher Vorgaben der DSGVO schwer. Vor diesem Hintergrund wünschen sich viele Unternehmen mehr Klarheit hinsichtlich der für sie bestehenden datenschutzrechtlichen Pflichten und Gestaltungsmöglichkeiten.

Da der Versuch, alle Regeln einzuhalten, häufig mit erheblichem Aufwand einhergeht, sind Vorlagen, die eine erste Orientierung bieten und die datenschutzrechtlich vorgeschriebenen Elemente aufgreifen, für Mitarbeiter von Rechtsabteilungen und Datenschutzbeauftragte häufig von erheblichem Wert.

In diesem Zusammenhang ist zu beachten, dass die Datenschutzbehörden in regelmäßigen Abständen hilfreiche Informationen, Mustervorlagen und Stellungnahmen zu diversen datenschutzrechtlichen Themen veröffentlichen. So wurden auf der Seite des hessischen Landesdatenschutzbeauftragten unlängst eine Formulierungshilfe für einen Auftragsverarbeitungsvertrag sowie auf der Seite des Thüringer Landesdatenschutzbeauftragten vor kurzem ein Beispiel eines Formulars für eine Einwilligungserklärung zur Datenverarbeitung veröffentlicht.

Ungeachtet der Tatsache, dass die Verwendung von Vorlagen zu einer effizienten und rechtssicheren Umsetzung datenschutzrechtlicher Vorgaben beitragen kann, sollte allerdings stets im Einzelfall geprüft werden, ob die Vorlagen für den jeweiligen Verwendungszweck geeignet und ob und inwieweit sie vor dem Hintergrund der jeweiligen Fallkonstellation anzupassen sind.

So ist im Hinblick auf die Einwilligung in die Datenverarbeitung insbesondere zu beachten, dass diese nur wirksam ist, wenn sie freiwillig erfolgt. Hierauf ist deshalb insbesondere in Arbeitsverhältnissen aufgrund der typischerweise bestehenden Abhängigkeit des Arbeitnehmers vom Arbeitgeber ein besonderes Augenmerk zu legen. Besonders sorgfältig sollte auch vorgegangen werden, wenn eine Einwilligung im Hinblick auf die Verarbeitung besonderer Datenkategorien (z. B. Gesundheitsdaten oder biometrische Daten) eingeholt werden soll. Hier ist stets eine ausdrückliche Erklärung notwendig.

Angesichts dieser besonderen Anforderungen bietet es sich immer an, zu prüfen, ob zur Begründung der Zulässigkeit der Datenverarbeitung nicht auch andere Rechtsgrundlagen als die Einwilligung in Betracht kommen. Je nach Sachverhalt kann die Datenverarbeitung beispielsweise dadurch gerechtfertigt werden, dass sie der Erfüllung eines Vertrages dient oder zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Letzteres kann allerdings mit einem erhöhten Begründungs- und Dokumentationsaufwand einhergehen.

Auch Vorlagen für Auftragsverarbeitungsverträge können hilfreiche Orientierungs- und Formulierungshilfen darstellen. Allerdings sollte vor einer Verwendung in bestimmten Fallkonstellationen kritisch geprüft werden, ob die in der Vorlage vorgesehenen Regelungen für den jeweiligen Einzelfall passen. Insbesondere beim Abschluss von konzerninternen Auftragsverarbeitungsverträgen ist sorgsam abzuwägen, ob das Vertragswerk allgemein zu Gunsten oder zu Lasten einer der Parteien gestaltet werden sollte oder ob sich ausgewogene Regelungen empfehlen. Gerade bei konzerninternen Vereinbarungen kann es sich zudem anbieten, beispielsweise Regelungen zu Inspektionsrechten des Auftraggebers, zur Vergütung des Auftragnehmers und zur Haftung der Parteien entsprechend den unternehmensinternen Gepflogenheiten anzupassen.

Datenschutz | Angemessenheitsbeschluss der Europäische Kommission: Japan ist sicheres Drittland

29. Januar 2019

Seit rund einem dreiviertel Jahr ist die Datenschutzgrundverordnung (DSGVO) innerhalb der EU unmittelbar geltendes Recht. Nach den Vorgaben der DSGVO ist ein Datentransfer an Staaten außerhalb des Europäischen Wirtschaftsraums ist nur zulässig, soweit die Beteiligten geeignete Garantien zum Schutz der personenbezogenen Daten sicherstellen oder ein sogenannter Angemessenheitsbeschluss vorliegt. Ein solcher Angemessenheitsbeschluss wird von der Europäischen Kommission im Hinblick auf Staaten erteilt, die ein angemessenes Schutzniveau bieten.

Innerhalb des letzten Jahres hat Japan sein Datenschutzrecht durch den Erlass von Schutzvorschriften- und verfahren verstärkt und dem Niveau der europäischen angenähert bzw. Regulation angepasst. Auf Grundlage dieser Entwicklung wurde Japan nun durch einen Angemessenheitsbeschluss der Europäische Kommission als sicheres Drittland eingestuft. Damit wird der Datenverkehr zwischen der EU und Japan wesentlich erleichtert. Für europäische Unternehmen, die personenbezogene Daten nach Japan transferieren und für international agierende Konzerne, die bei ihrer Tätigkeit auf den konzerninternen Datenaustausch zwischen ihren europäischen und japanischen Gesellschaften angewiesen sind, stellt der Beschluss ganz im Sinne des zwischen der EU und Japan geschlossenen Freihandelsabkommens eine enorme Erleichterung dar. Trotz diverser unverändert bestehender Pflichten (insbesondere Information der Betroffenen über den Datentransfer nach Japan, Sicherstellung einer Rechtsgrundlage für die Datenverarbeitung oder Abschluss eines Auftragsverarbeitungsvertrages) werden die am Drittlandtransfer beteiligten Unternehmen von der Pflicht zur Sicherstellung geeigneter Garantien befreit.

Die Entscheidung wird nach zwei Jahren erneut einer Prüfung durch die EU unterzogen werden.

Ältere Nachrichten finden Sie in unserem Newsflash Archiv.

Did you find this useful?

Related topics