Die Meldung schlug letzten Donnerstag, den 16. Juli 2020 wie eine Bombe ein: Der Europäische Gerichtshof erklärt den Privacy Shield und damit den weit überwiegenden Datenverkehr zwischen amerikanischen und europäischen Unternehmen für illegal. Erst auf den zweiten Blick wird klar, dass dieses Urteil nicht nur transatlantische Konzerne betrifft, sondern auch für nahezu jeden Selbständigen, Freiberufler und Gewerbetreibenden gravierende Folgen hat.

Im folgenden Beitrag beleuchten wir den Hintergrund der Entscheidung und deren rechtliche Einordnung, zeigen die Bedeutung für Gewerbe, Unternehmen und Organisationen jeder Größe und geben Ratschläge, wie jetzt zu verfahren ist.

Hintergrund: Schrems gegen Facebook

Um zu verstehen, woher die heutige Lage stammt, muss man etwas in die jüngere Vergangenheit zurückkehren. Seit 2011 befindet sich Max Schrems, ein österreichischer Anwalt, im Rechtsstreit mit Facebook. Anlass des Konflikts ist, dass Herr Schrems bemängelt, wie Facebook, dessen Nutzer er war, seine personenbezogenen Daten verarbeitet. Insbesondere ging es ihm darum, dass Facebook ohne gültige rechtliche Grundlage Daten in die Vereinigten Staaten übertrage. Facebook hingegen war der Ansicht, das damals bestehende Safe-Harbor-Abkommen, ein Vertrag zwischen den USA und der EU, würde genau diese rechtliche Grundlage bieten. 2015 gab der Europäische Gerichtshof Herrn Schrems vollumfänglich recht und kippte Safe Harbor – nicht nur für Facebook, sondern für alle amerikanischen IT-Unternehmen, die Daten von Menschen in der EU verarbeiten.

In Folge des Urteils verhandelte die Europäische Kommission mit der amerikanischen Regierung und erfand 2016 ein neues Programm: den Privacy Shield. Mit nur wenigen Unterschieden zu Safe Harbor sollte es damit wieder eine neue rechtliche Grundlage dafür geben, dass Unternehmen in den USA und in der EU zusammenarbeiten. Bereits damals warnten Datenschützer, dass die fundamentalen Probleme, die das Gericht bereits mit Safe Harbor identifiziert hatte, weiterhin ungelöst bleiben, also auch mit einer Aufhebung des Privacy Shield gerechnet werden müsse. Wie wir heute wissen, sollten sie recht behalten. Warum eigentlich?

Datenübertragungen ins Ausland: EU und Drittländer

Die Datenschutzgrundverordnung (DSGVO) erlaubt grundsätzlich den unbeschränkten Datenverkehr zwischen allen Ländern, in denen sie selbst direkt gilt. Dazu gehören die 27 Mitgliedsstaaten der EU sowie Island, Liechtenstein und Norwegen als Mitglieder des Europäischen Wirtschaftsraums (EWR). Das ist der Grund, warum sich Unternehmen in Deutschland meist keine großen Gedanken machen müssen, wo die Server der Dienstleister, die sie beauftragen. überhaupt stehen – solange alles innerhalb dieser Region bleibt.

Für die sogenannten Drittländer gilt jedoch, dass Daten dorthin im Wesentlichen nur in einem der folgenden drei Fällen übertragen werden dürfen:

  1. Die Europäische Kommission stuft das jeweilige Land in einem langwierigen Verfahren und nach Anpassung der nationalen Rechtslage an das europäische Datenschutzniveau als „angemessen“ ein.
  2. Die an der Datenübertragung beteiligten Parteien ergreifen besondere Sicherheitsmaßnahmen, die zu einem mit der EU vergleichbaren Schutzniveau führen.
  3. Eine besondere Ausnahme kann genutzt werden, z.B. dass die betroffenen Personen explizit in die Übertragung einwilligen, nachdem sie über das Risiko aufgeklärt wurden, oder dass die Übertragung notwendig ist, um einen Vertrag zu erfüllen.

Der erste Fall ist bereits mehrfach eingetreten, so zum Beispiel für die Schweiz, Kanada oder Japan. Für diese und einige wenige weitere Länder gibt es Angemessenheitsbeschlüsse der Europäischen Kommission. Europäische Unternehmen können mit dortigen Unternehmen ohne weitere Vorkehrungen Daten austauschen und dortige Dienstleister beauftragen. Angemessenheitsbeschlüsse sind der Weg, den die DSGVO explizit und bevorzugt vorsieht, um das Datenschutzniveau, das innerhalb der Europäischen Union gilt, auch dann durchzusetzen, wenn Daten die EU verlassen.

Privacy Shield war der Versuch der Europäischen Kommission, einen beschränkten Angemessenheitsbeschluss für die USA zu erlassen: anwendbar für alle amerikanischen Unternehmen, die am Programm teilnehmen wollen und sich entsprechend zertifizieren. Statt also die ganzen USA auf ein europäisches Datenschutzniveau zu heben, sollte das zumindest für den kleinen Teil der Unternehmen möglich sein, die regelmäßig mit Daten aus der EU zu tun hatten: IT-Dienstleister wie Google, Microsoft, Dropbox, Trello, Slack, Facebook, etc. Im Privacy Shield sind Stand heute über 5.000 US-Unternehmen zertifiziert, mit einem enorm breiten Spektrum an angebotenen elektronischen Dienstleistungen und Produkten.

Ja, aber Moment mal, denken Sie vielleicht. Eine Frage drängt sich auf: Warum können die USA nicht einfach ihr Datenschutzgesetz so anpassen, dass es mit den europäischen Regeln kompatibel wird? Warum diese Umweg über eine nur teilweise Angemessenheit. Dazu muss ich kurz ausholen.

Die USA und Datenschutz: eine komplizierte Geschichte

Das amerikanische Rechtssystem kennt aus seiner Tradition heraus nur wenige Einschränkungen für behördliches Eindringen in die Privatsphäre der Bürger. Es gibt zwar schon seit 1791 verfassungsrechtliche Regelungen zum Schutz vor Durchsuchungen ohne Gerichtsbeschluss oder zum Recht auf faire Verfahren. Aber diese Regelungen reichen bei weitem nicht an die Vorgaben heran, die sich heute aus der Europäischen Menschenrechtskonvention (Artikel 8) oder der EU-Grundrechtecharta (Artikel 7 und 8) ergeben. Es gibt in den USA kein allgemeines Datenschutzgesetz und auch keine vergleichbaren allgemeinen Regelungen für Unternehmen oder für Behörden. Es gibt zwar immer wieder ein paar Initiativen zur Schaffung solcher Regelungen, aber selbst diese gehen nie so weit, wie es DSGVO und Europäischer Gerichtshof verlangen.

Hinzu kommt, dass die amerikanische Rechtsprechung im Regelfall Ausländern, die sich nicht in den USA aufhalten, wenige bis keine Rechte einräumt. Davon müsste für einen Angemessenheitsbeschluss mindestens zugunsten von Personen in der EU abgewichen werden, damit sie sich wirksam gegen amerikanische Unternehmen und Behörden wehren können, die ihre Datenschutzrechte verletzen. Angesichts der heutigen geopolitischen Lage, der anstehenden Präsidentschaftswahl in den USA, der übergroßen Bedeutung der Themen nationale Sicherheit und Terrorismusbekämpfung in der amerikanischen Politik und der dort völlig eskalierenden Corona-Pandemie ist damit jedoch bestenfalls langfristig zu rechnen.

Dass es heute jedenfalls keine adäquaten Rechtsbehelfe gibt, war Hauptursache dafür, dass der Europäische Gerichtshof jetzt so geurteilt hat, wie er es tat: EU-Bürger und -Bewohner können sich weder in den USA noch in der EU wirksam gegen Datenzugriffe amerikanischer Behörden wehren. Damit bieten die USA kein angemessenes Schutzniveau und damit dürfen personenbezogene Daten nicht in die USA übertragen werden.

Was das Urteil für europäische Unternehmen bedeutet

Die Folgen der Entscheidung wären nicht so gravierend, wenn die USA nicht der größte Exporteur elektronischer Dienstleistungen wären. Rechnet man China raus, werden die zehn meistgenutzten Websites weltweit von amerikanischen Unternehmen betrieben. Erst auf dem 20. Platz findet sich ein europäischer Betreiber. Der Cloud-Bereich wird von Amazon, Microsoft und Google dominiert, der Bereich Produktivitäts-Tools von Microsoft, Google, Adobe, Slack, Dropbox und Trello -– allesamt amerikanische Unternehmen. Egal wie man es bewertet, aber an amerikanischen Tech-Produkten und -Dienstleistungen führt bisher kaum ein Weg vorbei. Ein Weg, den der Europäische Gerichtshof vorerst versperrt hat.

Dabei sind drei Punkte des Urteils für europäische Unternehmen entscheidend:

  1. Die USA bieten selbst kein angemessenes Datenschutzniveau, weder mit noch ohne Privacy Shield.
  2. Alternative Sicherheitsmaßnahmen zur Sicherstellung des Datenschutzniveaus können nur dann angewandt werden, wenn damit tatsächlich ein ähnlicher Schutz gegeben ist, wie bei einem Angemessenheitsbeschluss – auch und gerade in Hinsicht auf den Zugriff durch amerikanische Behörden.
  3. Unternehmen, die Daten in die USA exportieren, tragen allein die volle Verantwortung dafür, sicherzustellen, dass der vorherige Punkt erfüllt ist.

Der letzte Punkt versetzt gerade kleinere Unternehmen in eine unmögliche Lage:

  • sie sollen im Einzelfall für jeden amerikanischen Dienstleister und jede Datenübertragung überprüfen, ob das amerikanische Rechtssystem Behörden einen unkontrollierten Zugriff auf diese Daten ermöglicht
  • sie sollen die amerikanische Rechtsprechung und Gesetzgebung bezüglich Änderungen beobachten, die zu einer Verschlechterung des tatsächlichen Schutzniveaus führen
  • sie dürfen sich bei ihren Prüfungen nicht auf die Aussagen der Dienstleister verlassen, weil sie immer selbst dem ruinösen Bußgeldrahmen der DSGVO ausgesetzt sind
  • sie müssen alternative Dienstleister aus Ländern finden, in denen die DSGVO direkt gilt (also EU/EWR) oder es einen Angemessenheitsbeschluss gibt

Solange es der Europäischen Kommission nicht gelingt, gemeinsam mit den Vereinigten Staaten zu einer tragfähigen Lösung zu kommen, die den Bedenken des Europäischen Gerichtshofs Rechnung trägt, kann man Unternehmen in Europa nur dazu raten, von amerikanischen Dienstleistern Abstand zu nehmen. Das gilt zumindest solange, wie diese Unternehmen kein Angebot vorweisen können, das komplett innerhalb von Ländern betrieben wird, in denen die DSGVO gilt oder es ein angemessenes Datenschutzniveau gibt. Die Datenschutzbehörden, die autonom und weisungsunabhängig agieren, haben in ihren ersten Stellungnahmen (Rheinland-Pfalz, Hamburg, Bund) bereits erklärt, dass sie das Urteil vollumfänglich umsetzen werden. Die Berliner Datenschutzbeauftragte fordert sogar wortwörtlich, dass Unternehmen „umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln“, und kündigt an, ihre Pflicht unzulässige Datenübertragungen zu untersagen ernst zu nehmen.

Was Unternehmen jeder Größe jetzt tun sollten

Wir empfehlen, dass jedes Unternehmen egal welcher Größe die folgenden Schritte durchläuft, um sich der neuen Lage zu stellen:

  1. Führen Sie eine Inventur aller genutzten Dienstleister durch und ermitteln sie, welche davon ihren Sitz in den USA haben bzw. welche Daten in den USA verarbeiten.
  2. Prüfen Sie in den jeweiligen Datenschutzbestimmungen bzw. in den geschlossenen Vereinbarungen dieser Dienstleister, ob er sich auf den Privacy Shield stützt, um Datenübertragungen in die USA rechtlich abzusichern.
  3. Überlegen Sie, ob Sie auf diesen Dienstleister verzichten können oder problemlos auf eine Alternative wechseln können. Das Urteil bietet hier gegebenenfalls auch die Möglichkeit einer fristlosen Kündigung.
  4. Kontaktieren Sie Dienstleister, auf die Sie nicht verzichten können, und fragen mit Verweis auf das Urteil und die Unwirksamkeit des Privacy Shield nach alternativen Sicherheitsmaßnahmen, beispielsweise der Verwendung der Standardvertragsklauseln, die kurzfristig umgesetzt werden können.
  5. Ist der Dienstleister nicht bereit oder nicht in der Lage, alternative Sicherheitsmaßnahmen umzusetzen, raten wir dringend, die Geschäftsbeziehung zu beenden und nach alternativen Dienstleistern mit Sitz in der EU oder einem Land mit Angemessenheitsbeschluss zu suchen. Das gilt erst recht für Plugins und Tools, die auf der eigenen Website für jedermann ersichtlich eingesetzt werden.
  6. In wenigen Fällen ist es möglich, auf die Sonderregelungen aus Art. 49 DSGVO zurückzugreifen. Zum Beispiel können Datenübertragungen in die USA auch dadurch legalisiert werden, dass die betroffenen Personen explizit zustimmen, nachdem sie umfassend über das damit verbundene Risiko aufgeklärt werden. Oder ein bestehender Vertrag mit den betroffenen Personen macht die Übertragung unabdingbar. In den meisten Fällen werden diese Sonderregelungen aus wirtschaftlichen Gründen nicht geeignet sein. Auf keinen Fall ist es zulässig, die regelmäßige Nutzung amerikanischer Dienstleister auf diese Sonderregelungen zu stützen.

Es ist bedauerlich, dass der Gerichtshof keinerlei Übergangsfristen festgelegt hat, das Urteil also sofort wirksam ist. Um so wichtiger ist es, zügig darauf zu reagieren, um Abmahnungen und weitere Verfahren von Datenschutzbehörden, Wettbewerber oder betroffene Personen erfolgreich abwehren zu können. Im BlueDatex-Team gibt es langjährige Erfahrung mit dem Datenaustausch zwischen Europa und den USA. Lassen Sie sich von uns beraten!

Gewinnspiele sind eine beliebte Methode, an personenbezogene Daten zu Werbezwecken zu gelangen. Im Austausch für die Gelegenheit einen werthaltigen Preis zu gewinnen sind viele Verbraucher bereit, ihre Daten rauszugeben und sich zu Werbezwecken kontaktieren zu lassen. Dass dabei auch vieles schiefgehen kann, zeigt sich in einem aktuellen Verfahren in Baden-Württemberg, das der örtlichen AOK ein Bußgeld in Höhe von 1.240.000 Euro eingehandelt hat.

In diesem Artikel beschreiben wir den Hintergrund des Falls, die rechtliche Einordnung, die Höhe des Bußgeldes und was das für Unternehmer heute bedeutet (Sprung direkt zu den Handlungsempfehlungen).

Hintergrund

Im Rahmen mehrerer Gewinnspiele hat die AOK zwischen 2015 und 2019 Daten gesammelt, die sie mit expliziter Einwilligung der Teilnehmer auch für Werbezwecke nutzen wollte. Dazu hat sie auf den Formularen die Möglichkeit angeboten, durch Ankreuzen die Zustimmung zur Nutzung ihrer Daten zu Werbezwecken zu erteilen.

Später wurden die Teilnehmer dieser Gewinnspiele dann angeschrieben, um sie auf Angebote der AOK Baden Württemberg aufmerksam zu machen. Dabei sollte mithilfe geeigneter interner Maßnahmen sichergestellt werden, dass solche Schreiben nur an die Teilnehmer rausgingen, die auch entsprechend zugestimmt haben. Teilnehmer, die kein Kreuzchen gesetzt hatten, sollten von den Werbeaktionen ausgenommen werden. Tatsächlich wurden die Schreiben aber auch an 500 Teilnehmer versandt, die der Nutzung für Werbezwecke nicht zugestimmt hatten.

Rechtliche Einordnung

Personenbezogene Daten dürfen nur verarbeitet werden, wenn es dafür eine Rechtsgrundlage gibt (Art. 6 DSGVO). Im Falle von Gewinnspielen kommen hierfür regelmäßig die Einwilligung, die Vertragserfüllung oder das berechtigte Interesse des Anbieters infrage. Im vorliegenden Fall hat sich die AOK für die Rechtsgrundlage der Einwilligung entschieden.

Wer personenbezogene Daten verarbeitet ist verpflichtet, durch geeignete technische und organisatorische Maßnahmen sicherzustellen, dass die Daten im gesetzlichen Umfang geschützt sind (Art 32. DSGVO). Beruht die Verarbeitung auf der Rechtsgrundlage der Einwilligung, muss gewährleistet werden, dass tatsächlich nur die Daten verarbeitet werden, für die eine Einwilligung vorliegt. Die Nachweispflicht dafür trägt das Unternehmen.

Kann ein Unternehmen nicht nachweisen, dass geeignete Maßnahmen getroffen wurden oder dass die getroffenen Maßnahmen tatsächlich geeignet sind, kann hierfür von der zuständigen Datenschutzbehörde ein Bußgeld verhängt werden (Art. 83 DSGVO).

Im vorliegenden Fall konnte festgestellt werden, dass die Daten von 500 Teilnehmern zu Werbezwecken ohne deren Einwilligung verarbeitet wurden, indem sie zu Angeboten der AOK kontaktiert wurden. Die Maßnahmen, die von der AOK getroffen wurden, waren daher im Ergebnis nicht geeignet, ein angemessenes Schutzniveau sicherzustellen.

Höhe des Bußgeldes: kein gutes Zeichen

Die Höhe von Datenschutz-Bußgeldern ist vom Einzelfall abhängig, muss jedoch immer „wirksam, verhältnismäßig und abschreckend“ sein. Zusammen mit der hier anzuwendenden Obergrenze von 2 % des Vorjahresumsatzes oder 10 Mio Euro (je nachdem, was höher ist) ergeben sich empfindliche Sanktionen, die nicht auf die leichte Schulter genommen werden können.

Auf den ersten Blick erscheinen 1,2 Mio. Euro für 500 Fälle, also 2.480 Euro pro Fall hoch: die abschreckende Wirkung wäre wohl auch gewährleistet worden, wenn nur ein Bruchteil davon festgesetzt worden wäre. Schließlich zahlt die Gesetzliche Krankenversicherung auch maximal ca. 93 Euro Provision pro vermittelten Beitragszahler, der TKP liegt sicherlich weit darunter.

Im Vergleich zum Vorjahresumsatz der AOK Baden-Württemberg (2019: 14,1 Mrd Euro) hält sich das Bußgeld aber am untersten Rand des Möglichen auf. Dafür gibt es auch einen Grund: Die Landesdatenschutzbehörde hat einige Faktoren identifiziert, die es zugunsten der AOK gewertet hat. Dazu gehörten:

  • umfassende interne Überprüfungen und Anpassungen des Umgangs mit personenbezogenen Daten durch die AOK
  • konstruktive Zusammenarbeit mit der Behörde
  • zusätzliche interne Kontrollmechanismen für Vertriebstätigkeiten
  • Bedeutung der Krankenkasse als Bestandteil des Gesundheitssystems
  • Gefährdung der gesetzlichen Pflichten der Krankenkasse durch ein zu hohes Bußgeld, auch in Bezug zur Corona-Pandemie

Insbesondere die letzten beiden Faktoren geben jedoch zu denken: Den meisten Unternehmen der Privatwirtschaft wird es nicht möglich sein, eine ähnliche öffentliche Bedeutung oder eine Gefährdung gesetzlicher Pflichten durch die Bußgeldhöhe zu beweisen. Das heißt: selbst wenn ein Unternehmen im vergleichbaren Fall umfassend intern aufgeklärt, Verbesserungen umgesetzt und vollständig mit der Behörde kooperiert hätte, müsste es mit einem höheren Bußgeld als 1,2 Mio Euro rechnen. Um so wichtiger ist es daher dafür zu sorgen, dass ein Fall wie dieser gar nicht eintreten kann.

Handlungsempfehlungen bei Gewinnspielen

Die Nutzung von Gewinnspielen zum Sammeln von Daten potenzieller Kunden ist nicht per se rechtswidrig. Im Gegenteil wird die Nutzung personenbezogener Daten für Werbezwecke explizit von der DSGVO als mögliche Grundlage eines berechtigten Interesses genannt. Der Teufel steckt jedoch im Detail.

Wer Gewinnspiele durchführen möchte, hält sich am besten an folgende Regeln:

  1. Die Teilnahme am Gewinnspiel sollte per Formular erfolgen. In diesem Formular sollten verpflichtend die Daten abgefragt werden, die für eine Kontaktaufnahme und für die Teilnahme am Gewinnspiel notwendig sind.
  2. Das Formular sollte keine allgemeine Einwilligung zur Verwendung der Daten zu Werbezwecken einfordern. Es sollte aber deutlich darauf hinweisen, dass die Daten zu Werbezwecken verwendet werden können.
  3. Das Formular sollte separate Möglichkeiten zur Kontaktaufnahme zu werblichen Zwecken per E-Mail und per Telefon enthalten, die vom Teilnehmer angekreuzt werden müssen. Hintergrund hier ist nicht die DSGVO sondern § 7 UWG, wonach sowohl Telefonanrufe als auch E-Mails (aber keine Postsendungen) zu Werbezwecken bei Verbrauchern ohne vorherige ausdrückliche Zustimmung als unzumutbare Belästigung angesehen werden.
  4. Zusammen mit dem Formular sollte eine Datenschutzbelehrung zur Verfügung gestellt werden, aus der hervorgeht, dass die Daten der Teilnehmer zur Durchführung des Gewinnspiels und zu Werbezwecken verwendet werden. Die Rechtsgrundlage hierfür ist das berechtigte Interesse des Unternehmens an der Durchführung des Gewinnspiels sowie zur Akquise neuer Kunden. Auf das unbeschränkte Widerspruchsrecht muss explizit hingewiesen werden
  5. Im CRM bzw. in der Interessentendatenbank muss sorgfältig gespeichert werden, wozu der Teilnehmer alles seine Zustimmung erteilt hat.

Wir als Partner für wirtschaftlichen Datenschutz empfehlen, den Datenschutzbeauftragten im Unternehmen oder einen externen Datenschutzbeauftragten beim Entwurf von Gewinnspielen bereits frühzeitig einzubinden. So beugen Sie Bußgeldern infolge zu Unrecht genutzter Datensätze vor und können Gewinnspiele rechtssicher zur Adressakquise nutzen.

Website-Betreiber dürfen Cookies nur mit vorheriger eindeutiger Einwilligung des Website-Besuchers speichern und auslesen. Mit diesem Urteil vor dem Bundesgerichtshof ging am 28. Mai 2020 ein seit 2014 anhängiger Rechtsstreit (Az. I ZR 7/16) zu Ende. Das Urteil bestätigt letztlich, was in der sonstigen EU schon lange galt. Damit werden viele Praktiken obsolet, die in Deutschland seit Jahren üblich sind. Im Folgenden erläutern wir den Hintergrund, geben Hinweise, was jeder Betreiber einer Website jetzt sofort tun muss, und zeigen einen besonders einfachen Weg, das Cookie-Problem zu lösen.

Rechtlicher und technischer Hintergrund

Was sind eigentlich Cookies?

Bei Cookies handelt es sich um Datensätze, die Websites im Browser eines Besuchers speichern und zu einem späteren Zeitpunkt wieder auslesen. Damit wird es ermöglicht, aufeinander folgende Besuche derselben Website zusammenzuzählen und insbesondere wiederkehrende Kunden zu identifizieren. Cookies werden aber auch dazu eingesetzt, um Besucher über mehrere Websites hinweg zu tracken und online für jeden Besucher passgenaue Werbung auszuliefern. Cookies sind zum Beispiel der Grund, warum Besucher einer Website eines Gartenbaumarktes später wiederholt Werbung für Blumenerde und Gießkannen sehen, wenn sie Facebook aufrufen.

Warum sind Cookies aus Datenschutzsicht ein Problem?

Wie wir hier ausgeführt haben, soll der Datenschutz verhindern, dass Menschen durch die Verarbeitung ihrer Daten in ihren Rechten und Freiheit verletzt werden. Grundgedanke des Datenschutzes ist daher: Jeder soll wissen, was mit seinen Daten passiert, und Daten sollen im Regelfall nicht entgegen der Interessen der jeweiligen Person verarbeitet werden. Bei Cookies besteht die Herausforderung, dass sie regelmäßig ohne das Wissen des Website-Besuchers gespeichert oder ausgelesen werden. Die meisten Menschen wissen nicht einmal, dass es Cookies gibt, geschweige denn was sie bedeuten.

Schwerwiegender ist jedoch, dass auch viele Betreiber von Websites nicht wissen, dass ihre eigene Website beim Besuch Cookies speichert oder ausliest. Wer sich mithilfe eines der unzähligen Baukastensysteme für Websites wie Jimdo, WiX oder WordPress eine neue Online-Präsenz zusammenstellt, benutzt sehr schnell Cookies, ohne es zu bemerken. Die Anbieter dieser Systeme sind nicht unbedingt transparent, was ihren eigenen Einsatz von Cookies angeht. Aber auch die Einbindung von populären Plugins wie Google Analytics, Vimeo oder Youtube führt zum Speichern und Auslesen von Cookies, ohne dass den Website-Betreibern das bewusst ist.

Warum gibt es dann auf allen möglichen Websites, Online-Shops etc. große Banner und Popups, die über Cookies sprechen und Besucher zum Akzeptieren“ auffordern?

Die Antwort der EU auf die genannte Intransparenz ist die seit 2009 geltende ePrivacy-Direktive. Sie erlegt allen Betreibern von Websites auf, Cookies nur mit Einwilligung des Nutzers zu speichern und auszulesen. In Deutschland wurde dieser Teil der Direktive in § 15 Telemediengesetz (TMG) umgesetzt. Ein Verstoß stellt eine Ordnungswidrigkeit dar, mit einem Bußgeldrahmen von bis zu 50.000 Euro.

Die ePrivacy-Direktive schreibt nicht vor, auf welche Art und Weise die Einwilligung einzuholen ist. Aber ein technisch einfacher und offensichtlicher Weg ist es, den Nutzer zu Beginn des Besuchs der Website über Cookies zu informieren und ihn das irgendwie bestätigen zu lassen. Banner oder Popups sind also schlicht der einfachste Weg, den gesetzlichen Vorgaben zu Cookies zu folgen.

Muss wirklich für jedes Cookie eine Einwilligung eingeholt werden?

Tatsächlich sieht die ePrivacy-Direktive auch eine Ausnahme vor: Cookies, die unbedingt erforderlich sind, um die Website zu betreiben, bedürfen keiner Einwilligung. Für solche Cookies ergab sich aus der Direktive nicht einmal eine Informationspflicht.

Die seit 2018 geltende DSGVO enthält aber eine solche Informationspflicht, sodass über Cookies auf jeden Fall in der Datenschutzerklärung informiert werden muss – unabhängig davon, ob eine Einwilligung erforderlich ist oder nicht.

So weit so klar. Aber worüber streitet man sich vor Gericht?

Die gesetzlichen Vorgaben sind nicht sehr detailliert und bieten viel Spielraum für Interpretationen, was zu einer Reihe von Gerichtsprozessen geführt hat. Viele davon schafften es bis zu den höchsten Gerichten der EU-Mitgliedsstaaten und zum Europäischen Gerichtshof. Eine Auswahl der Streitpunkte:

  • Welche Informationen über Cookies müssen bereitgestellt werden?
    Antwort: Jedes Cookie muss einzeln beschrieben werden samt Zweck und Speicherdauer.
  • Wenn ein Nutzer auf der Website nach unten scrollt oder auf weitere Links auf der Website klickt, die Website also weiter besucht, kann dann von einer Einwilligung ausgegangen werden?
    Antwort: Nein, von einer Einwilligung kann nur ausgegangen werden, wenn der Nutzer ausdrücklich und eindeutig zustimmt.
  • Ist es ausreichend, wenn der Nutzer der Website nur die Möglichkeit hat, allen Cookies zuzustimmen?
    Antwort: Nein, der Nutzer muss die Möglichkeit haben, Cookies je nach Zweck zuzulassen oder abzulehnen.
  • Ist eine bereits gesetzte Häkchenbox erlaubt, um die Zustimmung einzuholen? Der Nutzer müsste also das Häkchen entfernen, um Cookies abzulehnen.
    Antwort: Nein, die Zustimmung muss durch eine eindeutige ausdrückliche Handlung erteilt werden. Ohne diese Handlung darf von keiner Einwilligung ausgegangen werden.
  • Sind Cookies, die für Marketing- oder Werbezwecke verwendet werden, unbedingt notwendig und damit von der Einwilligungspflicht befreit?
    Antwort: Nein, für Marketing- und Werbe-Cookies ist auf jeden Fall die vorherige Einwilligung des Nutzers erforderlich.
  • Wäre es zulässig, erst einmal von der Einwilligung des Nutzers auszugehen, wenn man ihm später die Möglichkeit gibt zu widersprechen (sogenanntes Opt-out)?
    Antwort: Nein, die Einwilligung ist nur gegeben, nachdem der Nutzer durch eine eindeutige und ausdrückliche Handlung seine Zustimmung erteilt hat. Cookies dürfen auch erst danach gespeichert oder ausgelesen werden.

Diese Prozesse erfreuten sich erheblicher Aufmerksamkeit, insbesondere von allen, die Online-Marketing betreiben. Die Sorge: Wenn Cookies tatsächlich nur dann verwendet werden dürfen, nachdem der Nutzer aktiv eingewilligt hat, würden viele Cookies nicht mehr gesetzt werden können. Und dann wäre auch keine passgenaue Werbung über Websites hinweg mehr möglich (Stichwort Remarketing bzw. Retargeting). Salopp gesagt: keine Werbung mehr für Blumenerde oder Gießkannen auf Facebook nach dem Besuch der Website eines Gartenbaumarkts.

Wie steht das alles im Verhältnis zum Datenschutz und der DSGVO?

Zwei Dinge müssen im Verhältnis zwischen ePrivacy-Direktive und DSGVO berücksichtigt werden:

  1. Cookies gelten in der Regel als personenbezogene Daten und sind damit vom Datenschutz erfasst. Theoretisch könnten Cookies auch genutzt werden, um Daten zu speichern, die nichts mit dem Nutzer zu tun haben und damit auch nicht dem Datenschutz unterliegen. Der praktische geschäftliche Nutzen ergibt sich aber regelmäßig erst aus der individuellen Identifikationsmöglichkeit und dem Tracken zwischen Websites.
  2. Die ePrivacy-Direktive gilt in ihrer aktuellen Form seit 2009, die DSGVO trat erst 2018 in Kraft. Damit gelten seit 2018 auch für Cookies die gleichen strengen Anforderungen an Informationspflichten und wirksame Einwilligungen aus der DSGVO wie sonst auch.

Unsere Hinweise und Tipps zum Umgang mit Cookies

In den folgenden Schritten beschreiben wir, was jeder Betreiber einer Website jetzt unverzüglich tun sollte.

1. Bestandsaufnahme – Benutze ich überhaupt Cookies?

Ob eine Website Cookies einsetzt, ist regelmäßig weder für den Besucher am PC zuhause oder im Büro noch für den Betreiber einer Website selbst offensichtlich. Für Letztere ergibt sich die Problematik daraus, dass Websites oft aus verschiedenen Plugins und Erweiterungen Dritter zusammengesetzt werden und die meisten Website-Betreiber die technischen Hintergründe ihrer eigenen Website nicht wirklich verstehen.

Das ist weder verwunderlich noch wirklich zu bemängeln: Wer Visitenkarten drucken lässt, wird sich selten mit den Details des Offset-Drucks, der verwendeten Maschinen und Druckerfarben oder des Druckprozesses auseinandersetzen wollen. Man will einfach Visitenkarten, die gedruckt so aussehen, wie sie am Bildschirm entworfen wurden. Bei Websites ist das nicht anders.

Erste Aufgabe ist es also herauszufinden, ob überhaupt Cookies verwendet werden. Wer Agentur, Webdesigner oder Programmierer für die eigene Website beauftragt hat, fragt am besten diese danach. Wer sich die Website mithilfe eines Baukastens wie Jimdo, WiX oder WordPress zusammengestellt hat, bekommt gegebenenfalls Unterstützung von diesen Anbietern in Form eines Cookie-Plugins, das auch Informationen über genutzt Cookies bereitstellt. Für alle Übrigen empfiehlt sich die Beauftragung eines Web-Programmierers, die selbstständige Arbeit mit Browser-Plugins wie EditThisCookie für Chrome oder Cookie-Editor für Firefox oder auch die Nutzung unseres Website-Checks.

2. Aufräumen – Brauche ich alle Cookies wirklich?

Jede Bestandsaufnahme ist eine Gelegenheit zum Aufräumen. Manchmal sammeln sich über Jahre Plugins und Erweiterungen in Websites an, die nie benutzt werden und schlimmstenfalls die Website verlangsamen. Wir empfehlen daher dringend zu schauen, ob tatsächlich alle Cookies gebraucht werden.

So war es zum Beispiel einige Jahre „schick“, Google Maps direkt in die eigene Website einzubinden, um den Standort des Unternehmens zu verdeutlichen. Eine wesentlich bessere Lösung ist es inzwischen, nur noch ein Bild der Karte in die Website zu integrieren und das Bild mit einem Link zu Google Maps mit der richtigen Standort-Adresse zu versehen. Das hat drei Vorteile: Handy-Benutzer landen mit dem Link direkt in ihrer Google Maps App, die Ladegeschwindigkeit vieler Websites erhöht sich massiv und für Google Maps werden keine Cookies mehr auf der Website gesetzt. Ähnlich können Sie auch mit Vimeo oder Youtube verfahren.

3. Ausnahmen – Welche Cookies sind „unbedingt erforderlich“?

Cookies, die für den Betrieb der Website unbedingt erforderlich sind, bedürfen keiner Einwilligung. Ob diese Ausnahme zutrifft, hängt ganz entschieden von Funktion bzw. vom Zweck ab.

Leider enthalten die gesetzlichen Vorgaben keine Definition, was unter „unbedingt erforderlich“ zu verstehen ist. Es gibt auch kaum verbindliche Rechtsprechung zu dieser Frage. Die folgende Übersicht stellt daher nur unsere Einstufung dar, die wir hier ausdrücklich ohne Gewähr veröffentlichen. Es ist nicht auszuschließen, dass die Datenschutzaufsichtsbehörden und letztlich die Gerichte das anders sehen. Wir halten diese Einstufung jedoch für vertretbar und begründbar.

Funktion / ZweckEinwilligung erforderlich
Anmeldung / Login, Warenkorb, Sprachauswahlnein
Speichern der Einwilligung zu Cookiesnein
Load-Balancingnein
Mediensteuerung (z.B. letzte angeschaute Stelle von Videos)nein
Reichweitenmessung (z.B. mittels Matomo)nein
Remarketing / Retargetingja
Facebook Pixelja
Google Ads Conversion Trackingja
Google Analyticsja

4. Absichern – Cookie-Manager einbauen

Wenn nach Bestandsaufnahme und Aufräumen noch Cookies übrig bleiben, die nicht unbedingt erforderlich sind, empfehlen wir den Einbau eines Cookie-Managers. Es gibt eine Vielzahl von Lösungen am Markt, die sich darauf spezialisieren, die Informationspflichten über Cookies zu erfüllen und wirksame Einwilligungen einzuholen. Diese Lösungen sind nicht immer kostenlos. Hier eine nicht abschließende Auswahl von Lösungen in unsortierter Reihenfolge, die wir aus der Beratungspraxis kennen und für tauglich halten:

Bei einigen Cookie-Managern muss beachtet werden: ihre Benutzung führt dazu, dass personenbezogene Daten von Dritten (nämlich den Anbietern dieser Lösungen) verarbeitet werden. In solchen Fällen ist regelmäßig ein Auftragsverarbeitungsvertrag notwendig, den seriöse Anbieter jedoch automatisch anbieten.

Wir raten ausdrücklich davon ab, Cookie-Manager selbst zu bauen oder selbst entwickeln zu lassen. Zu groß ist das Risiko, Cookies versehentlich doch zu setzen oder auszulesen, ohne dass eine wirksame Einwilligung vorliegt.

Womit muss ich rechnen, wenn ich Nichts tue?

Wenn auf Ihrer Website keine Cookies verwendet werden, gibt es auch keinen Handlungsbedarf. Verwenden Sie jedoch Cookies, ob direkt oder indirekt mittels Plugins wie Google Analytics, Vimeo oder Youtube, und beschaffen sich nicht die notwendige Einwilligung, sind alle folgenden Konsequenzen möglich:

  • Abmahnung und ggf. Schadensersatz und Schmerzensgeldforderungen durch Nutzer
  • Abmahnung durch Wettbewerber
  • Bußgelder durch die 16 deutschen Datenschutzbehörden

Insbesondere der letzte Punkt darf nicht unterschätzt werden: Wenn die Datenschutzbehörden tätig werden, gilt ein erheblich höherer Bußgeldrahmen von bis zu 20 Mio. Euro oder 4 % des Vorjahresumsatzes, je nachdem welcher Betrag höher liegt. Solange der Rechtsstreit noch beim BGH anhängig war, durften die Datenschutzbehörden wegen der unklaren Rechtslage keine Verfahren wegen Cookies einleiten. Diese Zurückhaltung ist seit der Verkündung des Urteils am 28. Mai 2020 aber vorbei.

Gibt es nicht einen einfacheren Weg, das Thema Cookies abzuhaken?

Ja, den gibt es: Wir bieten als Experten für wirtschaftlichen Datenschutz unseren Website-Check an. Dabei prüfen wir Ihre Website auf Cookies und andere Datenschutzthemen, helfen Ihnen bei der Behebung eventueller Mängel und bestätigen schließlich die Einhaltung aller Regeln. Noch besser: Sie bekommen auch ein grafisches Siegel für Ihre eigene Website, mit dem Sie Ihren Kunden und Partnern demonstrieren, dass alle Datenschutzregeln eingehalten werden.

Nachdem seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) fast zwei Jahre vergangen sind, haben sich in unserer Beratungspraxis fünf teure Irrtümer herauskristallisiert, auf die wir immer wieder stoßen. Vermeiden Sie dringend die folgenden Punkte, damit Sie im Fall von Datenschutz-Beschwerden oder gar Anfragen von den Datenschutzbehörden nicht tief in die Tasche greifen müssen!

Irrtum 1: Wir verarbeiten gar keine Daten

Viele Unternehmen, die sich bisher nicht intensiv mit dem Datenschutz beschäftigt haben, gehen davon aus, dass sie gar keine relevanten Daten verarbeiten. Es ist zwar richtig, dass niemand Datenschutz betreiben muss, der keine personenbezogenen Daten verarbeitet. Verkannt wird aber, dass die Datenschutzgesetze jegliche Verarbeitung von Informationen erfassen, die irgendeinen Bezug zu konkreten Personen haben. Dazu gehören zum Beispiel:

  • jeder Name, jede Anschrift und jedes Geburtsdatum
  • jedes Angebot, jeder Auftrag und jeder Vertrag
  • alle E-Mails, Briefe, SMS, Text- und Sprachnachrichten
  • jede Lohabrechnung, jeder Einstellungsbogen, jede Gesprächsnotiz

Dabei spielt es keine Rolle, ob diese Daten mit dem Computer, dem Handy oder handschriftlich in Akten oder Notizbüchern erfasst werden. Solange es sich um ein halbwegs geordnetes Ablagesystem handelt, ist es vom Datenschutz erfasst.

Fazit: Ein Unternehmen, dass keinerlei personenbezogene Daten verarbeitet, ist heutzutage nicht mehr vorstellbar. Jedes Unternehmen muss die Datenschutzregeln verstehen und sie einhalten.

Irrtum 2: Unsere Kunden bzw. Mitarbeiter haben eingewilligt

Ein weiteres wiederkehrendes Missverständnis ist, wie weit Einwilligungen eigentlich gelten und unter welchen Umständen sie erteilt werden können. Es ist inzwischen zwar allgemein bekannt, dass Unternehmen personenbezogene Daten verarbeiten dürfen, wenn die davon betroffenen Personen eingewilligt haben. Dass die DSGVO jedoch sehr hohe formale Anforderungen an gültige Einwilligungen stellt, die nur mit erheblichem Aufwand erfüllt werden können, hat sich bisher nicht überall herumgesprochen:

  • Einwilligungen beim Datenschutz müssen immer ausdrücklich erteilt werden. Es gibt keine konkludenten Einwilligungen beim Datenschutz. Weder durch das Betreten bestimmter Räume oder Veranstaltungen, noch durch die Nutzung bestimmter Produkte oder Dienstleistungen, die Zustimmung zu AGB oder die Bestätigung einer Datenschutzbelehrung kann allein eine Einwilligung erteilt werden. Es bedarf immer einer eindeutigen, separaten Handlung des Betroffenen, damit eine Einwilligung vorliegt.
  • Einwilligungen sind nur gültig, wenn Betroffene genau verstehen, in welche Verarbeitungen und zu welchen Zwecken sie einwilligen. Unklar formulierte oder schwer verständliche Formulierungen führen ebenfalls zu ungültigen Einwilligungen.
  • Einwilligungen können sich immer nur auf das ob (ja/nein) der Datenverarbeitung und konkrete Zwecke beziehen. Einwilligungen, die darüber hinaus gehen, sind per unzulässig, darunter:
    • Verzicht auf Datenschutz-Rechte wie Auskunft, Berichtigung oder Löschung
    • Verzicht auf übliche Sicherheits-Standards wie z.B. Verschlüsselung oder Passwortschutz
    • Verzicht auf Löschfristen oder auf die Benachrichtigun im Falle einer Datenpanne
    • Verzicht auf die Datenschutzbelehrung
  • Einwilligungen müssen freiwillig erteilt worden sein. Entstehen den Betroffenen wesentliche Nachteile, falls sie nicht einwilligen, wird davon ausgegangen, dass sie nicht freiwillig gehandelt haben und die Einwilligung nicht gültig ist. Zusätzlich gilt im Beschäftigungskontext, dass Einwilligungen hier besonders kritisch hinterfragt werden, da ein Unleichgewicht zwischen Arbeitnehmer und Arbeitgeber unterstellt wird.
  • Zum Zeitpunkt der Einwilligung muss der bzw. die Einwilligende darüber informiert werden, dass die Einwilligung jederzeit für die Zukunft widerrufen werden kann. Dieser Widerruf darf nicht schwerer fallen, als eine Einwilligung zu erteilen.
  • Das Unternehmen muss nachweisen können, dass all diese Punkte beachtet wurden.

Fazit: Eine vermeintlich erteilte Einwilligung kann sich schnell als völlig untauglich herausstellenn, mit der Folge, dass die Verarbeitung der Daten von Anfang an rechtswidrig war. Gültige Einwilligungen einzuholen ist keine einfache Angelegenheit. Und selbst wenn eine Einwilligung vorliegt, ist sie kein datenschutzrechtlicher Freifahrtschein.

Irrtum 3: Ich brauche keine Erlaubnis

Sehr oft treffen wir auch auf Unternehmen, die sich mit dem Datenschutz nicht beschäftigen, weil sie glauben, sie bräuchten keine Erlaubnis um Daten zu verarbeiten. Hintergrund kann der Irrglaube sein, man verarbeite die Daten nur aufgrund rechtlicher oder gesetzlicher Verpflichtungen (z.B. Übermittlung von Lohnsteuerbescheinigungen an das Finanzamt) und zur Erfüllung von Pflichten braucht man schließlich keine separate Erlaubnis. Diese Annahme verkennt, dass die Datenschutz-Grundverordnung (DSGVO) direkt anwendbares europäisches Recht darstellt, dass Unternehmen und Behörden (auch das Finanzamt) gleichermaßen bindet. Und die DSGVO legt zwei Prinzipien eindeutig fest:

  • Die Verarbeitung personenbezoger Daten ist verboten, solange keine Ausnahme greift. Welche Ausnahme greift, muss jedes Unternehmen für jeden Fall selbständig auswählen und dokumentieren.
  • Die weiteren Datenschutz-Pflichten wie die Belehrung über den Datenschutz (Transparenzgebot), Löschfristen und Löschkonzepte, Erfüllung von Datenschutz-Rechten etc. existieren völlig unabhängig davon, ob bzw. welche Ausnahme greift.

Insbesondere das Transparenzgebot wird oft bei Datenverarbeitungen vergessen, die sich zwangsläufig und ohne das Zutun des Unternehmens ergeben, z.B. wenn Bewerber auf eine Stelle nach Eingang ihrer Bewerbung nicht automatisch eine Datenschutzbelehrung explizit für Bewerber erhalten.

Fazit: Wenn Daten aufgrund einer rechtlichen oder gesetzlichen Pflicht verarbeitet werden, müssen davon Betroffene dennoch informert und über ihre Rechte belehrt werden. Sie haben auch alle Rechte, die sich aus der DSGVO ergeben.

Irrtum 4: Das größte Risiko geht von den Kunden aus

Wenn man sich anschaut, woher die Mehrheit der Beschwerden bei den Aufsichtsbehörden rührt, muss man feststellen, dass sie nicht aus dem Kunden- sondern aus dem Beschäftigungskontext herrühren. Konkret können die meisten Verfahren auf eine dieser drei Situationen zurückgeführt werden:

  • Ehemalige Mitarbeiter: im Rahmen von Kündigungsschutzklagen werden von ehemaligen Mitarbeitern bzw. deren Rechtsanwälte inzwischen regelmäßig Auskunftsansprüche gemäß Art. 15 DSGVO geltend gemacht. Da dieser Anspruch sehr weit gefasst ist und grundsätzlich alle Informationen umfasst, die irgendeinen Bezug zum Mitarbeiter bzw. zur Mitarbeiterin haben, ergeben sich hier für Unternehmen erhebliche Aufwände, deren Kosten nicht vergütet werden.
  • Aktuelle Mitarbeiter. ein beachtlicher Anteil an Verfahren entsteht aufgrund echter oder vermeintlicher Datenschutz-Verstöße im Unternehmen, die von Mitarbeitern bemerkt und erfolgos gegenüber der Geschäftsführung angemerkt wurden. Klassiker sind hier Fälle wie die Video-Überwachung von Mitarbeitern, die GPS-Ortung von Firmenfahrzeugen, Zugangskontrollen mit Fingerabdrucksensoren, fehlerhafte Behandlung von Kundendaten oder auch interne Rund-Mails mit personenbezogenen Daten, die an zu viele oder die falschen Empfänger gesandt werden.
  • Abgelehnte Bewerber: wer sich auf eine Stelle bewirbt und abgelehnt wird, empfindet naturgemäß nur wenig Loyalität gegenüber dem Unternehmen, insbesondere, wenn die Entscheidung als ungerecht oder nicht nachvollziehbar wahrgenommen wird. Dazu kommt, dass gerade im Bewerbungskontext jede Menge hochsenibler Daten anfallen, die besonders geschützt werden müssen, viele Unternehmen sich dieser besonderen Pflichten aber nicht bewusst sind. Oft gibt es auch keine eingeübten Prozesse, um gegenüber Bewerbern den Pflichten zur Datenschutzbelehrung und zur Ausübung von Datenschutz-Rechten angemessen nachzukommen.

Diese Risikoen frühzeitig zu erkenne und zu managen fällt nicht wenigen Unternehmen schwer, weil der mit Abstand größte Teil der datenschutzrechtlichen Aufmerksamkeit auf Prozesse mit Kunden gerichtet wurde. Das ist angesichts der hohen medialen Aufmerksamkeit für Themen des Verbraucher-Datenschutzes und den konkreten Verfahren, über die in den letzten zwei Jahren allein schon aufgrund der einhergehenden horrenden Bußgelder berichtet wurde, nicht verwunderlich. Es ist jedoch aus wirtschaftlicher Sicht dringend geboten, sich dem Datenschutz-Risiko im Beschäftigungskontext offensiv zu widmem und d

Fazit: auch wenn der Verbraucher-Datenschutz in den Medien die größte Aufmerksamkeit erhält, enstammen die größten Datenschutz-Risiken für einzelne Unternehmen regelmäßig eher dem Beschäftigungskontext. Es lohnt sich daher, dieses Thema zu priorisieren und angemessene Maßnahmen zu ergreifen, um den Datenschutz für Mitarbeiter und Bewerber sicherzustellen.

Irrtum 5: Die gesetzliche Aufbewahrungspflicht befreit mich vom Datenschutz

Eine Reihe allgemein- und spezialgesetzlicher Regelungen (z.B. § 257 HGB, § 147 AO, etc.) legen den Unternehmen beachtliche Aufbewahrungspflichten auf. Von einigen Unternehmen werden diese Pflichten per se als Ausnahmen zu den Prinzipien des Datenschutzes verstanden mit der Folge, dass die Erfüllung der Aufbewahrungspflicht vermeintlich vor den Löschpflichten der DSGVO schützt. Der Irrtum liegt darin, dass die jeweiligen gesetzlichen Regelungen sich eben nicht gegenseitig „stechen“: sie müssen so interpretiert werden, dass ihnen beidermaßen gefolgt werden kann.

Bezüglich der DSGVO und den Aufbewahrungspflichten bedeutet das:

  • Die DSGVO verlangt, dass alle Daten, die nicht mehr benötigt werden, vom Unternehmen zu löschen sind (Art. 5, Art. 17 DSGVO).
  • Die jeweilige Aufbewahrungspflicht benennt konkrete Daten oder Dokumente, die für eine bestimmte Zeit aufbewahrt werden müssen.
  • Eine datenschutzkonforme Erfüllung der Aufbewahrungspflicht bedeutet dann:
    • Es dürfen nur genau die Daten bzw. Dokumente aufbewahrt werden, die zur Erfüllung der Aufbewahrungspflicht benötigt werden.
    • Die Daten bzw. Dokumente dürfen nur genutzt werden, um die Aufbewahrungspflicht zu erfüllen. Sie sollten separat von ständig benutzten Daten bzw. Dokumenten gelagert werden, z.B. in einem Archivsystem.
    • Zugriffsrechte auf Daten bzw. Dokumente, die nur zur Erfüllung der Aufbewahrungspflicht aufbewahrt werden, müssen eng gefasst werden. Es muss sichergestellt werden, dass eine Nutzng für andere Zwecke ausgeschlossen ist.

Die DSGVO verlangt auch von jedem Unternehmen, dass es ein Löschkonzept mit Löschfristen erarbeite, umsetzt und die Umsetzung nachweist. Das höchste jemals in Deutschland wegen Datenschutz-Verstößen verhängte Bußgeld (ca. 14,5 Millionen Euro) lässt sich fast ausschließlich darauf zurückführen, dass nicht mehr benötigte Daten nie gelöscht wurden und die gesetzliche Aufbewahrungspflicht als Befreiung vom Datenschutz betrachtet wurde. Die Datenschutzbehörden zeigen für solche Betrachtungsweisen kein Verständnis.

Fazit: Das Löschen von Daten, die objektiv nicht mehr benötigt werden, gehört zu den essenziellen Punkten eines effektiven Datenschutz-Managements. Es gibt keine Entschuldigung für das Fehlen eines effektiven und nachweisbar umgesetzten Löschkonzepts.

Unklare Regelungen und drakonische Strafen für deren Nichtbeachtung machen das Thema Datenschutz für Startups besonders schwierig. Dabei ist es auch für neugegründete innovative Unternehmen nicht wirklich schwer, den Datenschutz erfolgreich umzusetzen. Es müssen im Wesentlichen die folgenden fünf Grundsätze beachtet werden.

Keine Datenverarbeitung ohne Rechtsgrundlage

Die Datenschutzgrundverordnung (DSGVO) enthält ein grundsätzliches Verbot mit Erlaubnisvorbehalt: personenbezogene Daten dürfen nur dann verarbeitet werden, wenn es dafür eine Erlaubnis gibt, die sogenannte Rechtsgrundlage. Die Liste möglicher Rechtsgrundlagen ist limitiert auf die Folgenden:

  1. Einwilligung: die Person, deren Daten verarbeitet werden soll (die betroffene Person), hat darin eingewilligt
  2. Vertragsvorbereitung oder -erfüllung: das Unternehmen muss die Daten verarbeiten, um den Abschluss eines Vertrages mit der betroffenen Person vorzubereiten oder um Pflichten aus einem Vertrag mit der betroffenen Person zu erfüllen
  3. Rechtliche Verpflichtung: das Unternehmen muss die Daten der betroffenen Person verarbeiten, weil es rechtlich dazu verpflichtet ist
  4. Lebenswichtige Interessen: zum Schutz der lebenswichtigen Interessen der betroffenen oder einer anderen Person müssen die Daten verarbeitet werden
  5. Öffentliche Aufgabe: das Unternehmen muss die Daten verarbeiten, um eine Aufgabe im öffentlichen Interesse oder um eine übergebene staatliche Aufgabe zu erfüllen
  6. Berechtigtes Interesse: sofern gegenlaufende Interessen der betroffenen Personen nicht überwiegen, dürfen die Daten verarbeitet werden, um die berechtigten Interessen des Unternehmens oder Dritter zu wahren
  7. Beschäftigung: das Unternehmen muss die Daten verarbeiten, um einen Mitarbeiter einzustellen, eine laufende Anstellung zu verwalten oder um Pflichten aus dem Arbeitsrecht, Tarifvertrag, etc. zu erfüllen

In der Praxis werden für die meisten Startups die Einwilligung, die Vertragsvorbereitung bzw. -erfüllung, das berechtigte Interesse und (bei Bewerberrn und Mitarbeitern) die Beschäftigung die relevantesten Rechtsgrundlagen sein.

Die Wahl der richtigen Rechtsgrundlage ist elementar, weil eine nachträgliche Änderung nicht möglich ist. Die gewählte Rechtsgrundlage hat auch Auswirkungen auf die Rechte, die betroffene Personen geltend machen können. So kann eine Einwilligung jederzeit widerrufen werden, einer Datenverarbeitung aufgrund des berechtigten Interesses jedoch nur in begründeten Einzelfällen widersprochen werden. Es ist auch nicht möglich, die Einwilligung mit anderen Rechtsgrundlagen zu kombinieren.

Einwilligungen sind oft nicht die beste Lösung

Die Anforderungen an eine rechtliche wirksame Einwilligung wurden in der DSGVO bewusst hoch angesetzt. Dadurch entstehen viele Fallstricke, die bedacht werden müssen, falls auf die Einwilligung als Rechtsgrundlage gesetzt werden soll:

  1. Nachweispflicht: Das Unternehmen muss nachweisen können, dass die betroffene Person tatsächlich eingewilligt hat.
  2. Trennungsgebot: Wird die Einwilligung zur Datenverarbeitung schriftlich erteilt (beispielsweise durch ein Häkchen auf einem Fragebogen oder einem Online-Formular), muss sie separat und losgelöst von anderen Erklärungen erfolgen. Es ist daher beispielsweise nicht zulässig, die Zustimmung zu den AGB mit der Einwilligung in die Datenverarbeitung in einem Häkchen zu bündeln.
  3. Unklare stilistische Vorgaben: Die Bitte zur Einwilligung muss laut DSGVO „in verständlicher und leicht zugänglicher Form in einer klaren und und einfachen Sprache erfolgen“. Wie diese Anforderung im Einzelnen zu verstehen ist, wird nicht geregelt.
  4. Jederzeitiger Widerruf: Die Einwilligung kann jederzeit ohne Angabe von Gründen widerrufen werden. Der Widerruf muss so einfach sein, wie die Erteilung der Einwilligung. Über die Möglichkeit zum Widerruf muss zum Zeitpunkt der Einwilligung informiert werden. Wird die Einwilligung widerrufen, darf das Unternehmen die Daten nicht mehr weiter verarbeiten.
  5. Freiwilligkeit und Kopplungsverbot: Die Einwilligung muss freiwillig, das heißt insbesondere nicht als Bedingung für die Nutzung von Diensten formuliert werden, für die die Daten nicht gebraucht werden. So ist es beispielsweise unzulässig, den Benutzer einer Website aufzufordern, in die Nutzung seiner Daten für Werbezwecke einzuwilligen, bevor er die Website im vollen Umfang nutzen kann.
  6. Aktive Handlung: Die Einwilligung muss durch eine aktive Handlung der Person erfolgen, wie beispielsweise durch das Setzen eines Häkchens in einem Online-Formular. Vorausgefüllte Häkchen, die man abwählen muss, um nicht einzuwilligen (sog. Opt-Out), sind hingegen nicht zulässig. Auch Formulierungen wie „durch die weitere Nutzung dieses Dienstes willigen Sie ein“ sind nicht zulässig.

Größtes Manko bei Einwilligungen: die Verletzung nur einer dieser Punkte führt dazu, dass die Einwilligung nie wirksam erteilt wurde. Die Daten wurden damit von Anfang an ohne Rechtsgrundlage verarbeitet, was sowohl Bußgelder durch die Datenschutzbehörden als auch Schadensersatz- und Schmerzensgeldansprüche von betroffenen Personen auslösen kann. Dadurch, dass die Einwilligung nicht mit anderen Rechtsgrundlagen kombiniert werden kann, gibt es für den Fall einer unwirksamen Einwilligung auch keine Alternative, auf die man dann zurückgreifen könnte.

In vielen Fällen ist es daher vorteilhaft, die Datenverarbeitung auf das berechtigte Interesse des Unternehmens zu stützen. In diesem Fall müssen die Interessen des Unternehmens und die Interessen der Person gegeneinander abgewogen werden. Die Abwägung muss dokumentiert werden. Sofern die Interessen der Person nicht überwiegen, dürfen die Daten verarbeitet werden. Betroffene Personen können nachträglich zwar der Verarbeitung widersprechen, müssen aber (von Werbezwecken abgesehen) diesen Widerspruch begründen.

Jede Datenverarbeitung braucht einen oder mehrere Zwecke

Personenbezogen Daten dürfen nur für legitime, eindeutige und festgelegte Zwecke verarbeitet werden. Zwar ist jeder Zweck, der nicht verboten ist, auch legitim. Aber die Anforderung, dass der Zweck eindeutig bestimmbar und vorher festgelegt sein muss, führt im Startup-Kontext oft zu Problemen. Denn oft ist am Anfang noch gar nicht klar, wofür die Daten später einmal verarbeitet werden sollen. Wesenskern eines Startups ist regelmäßig, dass das konkrete Geschäftsmodell und teilweise auch die konkret zu erbringenden Leistungen noch nicht feststehen.

Als Lösung bietet sich hier an, den Zweck so weit zu festzulegen, wie der Geschäftsgegenstand des Unternehmens es zulässt. Dabei sollten auch wahrscheinliche Szenarien der Weitergabe der Daten an Dritte berücksichtigt werden, wenn das zu erwarten ist.

Anders als die Rechtsgrundlage darf der Zweck der Datenverarbeitung auch geändert werden. Für eine rechtmäßige Zweckänderung muss jedoch, sofern dafür keine separate Einwilligung vorliegt, ein Kompatibilitätstest durchgeführt werden, der ebenfalls dokumentiert werden muss. Dabei sind mindestens diese fünf Fragen zu berücksichtigen:

  1. Wie stark ist die Verbindung zwischen dem ursprünglichen und dem neuen Zweck? Um so schwächer die Verbindung, um so unwahrscheinlicher die Kompatibilität.
  2. Ist der Zusammenhang, in dem die Daten erhoben wurden, dabei insbesondere die Beziehung zwischen dem Unternehmen und der Person, kompatibel mit der Änderung? Um so fremder der ursprüngliche Zusammenhang mit dem neuen Zweck, um so schwächer die Komptabilität.
  3. Sind die verarbeiteten Daten besonders geschützt? Die DSGVO schützt bestimmte Daten besonders, darunter Gesundheitsdaten, biometrische, und genetische Daten, aber auch Daten von Minderjährigen. Sind die Daten besonders geschützt, spricht das eher gegen eine Kompatibilität.
  4. Hat die Zweckänderung möglicherweise positive oder negative Folgen für die Person? Um so negativer die möglichen Folgen, um so schwächer die Kompatbilität.
  5. Welche besonderen Garantien wie Verschlüsselung oder Pseudonymisierung sind vorhanden? Um so stärker diese Garantien, um so stärker die Komptabilität.

Wie viele Regelungen der DSGVO verlangt auch der Komptabilitätstest eine bewusste und fundierte Entscheidung im Unternehmen, in der sowohl die eigenen Interessen als auch die Interessen der betroffenen Personen berücksichtigt werden. Diese Entscheidung muss dokumentiert werden, um im Zweifelfall nachzweisen, das sie alle wichtigen Fragen berücksichtigt hat.

Betroffene Personen müssen über die Verarbeitung ihrer Daten informiert werden

Transparenz ist eines der Grundprinzipien des Datenschutzes: betroffene Personen sollen wissen, wie und von wem ihre Daten verarbeitet werden. Nur so können sie in die Lage versetzt werden, ihre Rechte auszuüben. Aus diesem Prinzip heraus ist unter anderem die Pflicht abgeleitet, auf der Website über den Datenschutz zu informieren (die „Datenschutzerklärung“).

Die DSGVO verlangt, dass die Personen über die beabsichtigte Verarbeitung ihrer Daten informiert werden, bevor sie stattfindet. Auch bei jeder Zweckänderung müssen die Personen über diese Zweckänderung informiert werden. „Heimliche“ Datenverarbeitungen sind per se rechtswidrig.

Betroffene Personen müssen auch über die Verarbeitung ihrer Daten informiert werden, wenn die Verarbeitung eigentlich „offensichtlich“ oder „zu erwarten“ ist und auch, wenn die Verarbeitung gesetzlich vorgeschrieben ist. Es darf beispielsweise nicht einfach unterstellt werden, Kunden wüssten, dass das Unternehmen Rechnungen an Kunden aufgrund gesetzlicher Aufbewahrungspflichten 10 Jahre und Kunden-E-Mails 6 Jahre aufbewahren muss.

Die Informationspflichten umfassen regelmäßig die folgenden Angaben:

  1. Namen und Kontaktdaten des Unternehmens, das die Daten verarbeitet
  2. Kontaktdaten des Datenschutzbeauftragten (soweit vorhanden)
  3. die Zwecke der Datenverarbeitung
  4. die Rechtsgrundlage der Verarbeitung, mit jeweils unterschiedlichen Details
  5. die konkreten Interessen, die verfolgt werden, falls das berechtigte Interesse als Rechtsgrundlage verwendet wurde
  6. an wen Daten übermittelt werden (die Angabe von Kategorien von Empfängern ist möglich)
  7. ob Daten an ein Drittland oder eine internationale Organisation übertragen werden, und unter welchen Garantien
  8. die Dauer der Speicherung oder die Kriterien für die Festlegung der Speicherdauer
  9. Informationen über die Betroffenenrechte (d.h. Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit, Beschwerderecht)
  10. ob die Daten für automatische Entscheidungsfindungen (inkl. Profiling) verwendet werden und welche angestrebten Folgen das für die Person hat

Für die Erstellung einer „Datenschutzerklärung“ für die Nutzung von Websites gibt es eine Reihe automatisierter Tools, die es insbesondere erleichtern, auf Plugins, Cookies und andere eingebundene Inhalte einzugehen. Für andere Datenverarbeitungen beispielsweise in Apps, technischen Geräten oder komplexen Anwendungen wird es regelmäßig notwendig sein, individuell angepasste Datenschutzhinweise zu erstellen.

Unternehmen müssen nachweisen können, dass sie betroffene Personen über die Datenverarbeitung informiert haben. Entsprechend bietet es sich regelmäßig an, sich von den Personen durch anzukreuzende Häkchen auf gedruckten oder elektronischen Formularen bestätigen zu lassen, dass die Hinweise zur Kenntnis genommen wurden. Dabei müssen aber dringend Formulierungen vermieden werden, nach denen die Person den Hinweisen „zustimmt“ oder in sie „einwilligt“, um einen Vertragscharakter zu vermeiden.

Neben Kunden müssen auch Mitarbeiter, Lieferanten und Gesellschafter geschützt werden

Der Datenschutz soll alle Menschen schützen, egal in welcher Rolle sie tätig werden. Daher müssen Unternehmen beim Datenschutz nicht nur (potenzielle, tatsächliche und ehemalige) Kunden berücksichtigen, sondern auch andere Stakeholder, deren Daten das Unternehmen verarbeitet:

  • Bewerber müssen vor Eingang ihrer Bewerbung über die Verarbeitung ihrer Daten informiert werden. Dazu bietet es sich an, in der Stellenanzeige auf die Datenschutzbelehrung zu verweisen. Werden Bewerbungen per E-Mail empfangen, sollte ein Autoresponder eingerichtet werden, der über die Datenverarbeitung informiert. Wird eine eingereichte Bewerbungen nicht mehr gebraucht, muss sie gelöscht werden.
  • Mitarbeiter müssen zu Beginn ihres Anstellungsverhältnisses über die Verarbeitung ihrer Daten informiert werden. Sie müssen auch über die Pflichten ihres Arbeitsgebers zum Datenschutz (z.B. gegenüber Kunden) geschult bzw. belehrt werden. Fotos von Mitarbeitern dürfen regelmäßig nur mit Einwilligung der Mitarbeiter erstellt und im Internet (inkl. Facebook, Twitter, etc.) veröffentlicht werden.
  • Lieferanten und Partner sind zwar oft Unternehmen, sie werden aber regelmäßig von einzelnen Personen vertreten. Über die Verarbeitung ihrer Daten müssen diese Personen ebenfalls informiert werden, beispielsweise durch eine Standard-Datenschutzbelehrung, die den Vertretern von Lieferanten und Partnern unaufgefordert per E-Mail zugesandt wird.
  • Gesellschafter müssen ebenfalls über die Verarbeitung ihrer Daten informiert werden.

Wie zuvor gibt es keinen Zusammenhang zwischen Rechtsgrundlage und Informationspflicht: die Tatsache, dass eine Datenverarbeitung vielleicht offensichtlich oder zu erwarten ist oder auch gesetzlich vorgeschrieben ist, verringert nicht die Pflicht des Unternehmens, über diese Verarbeitung zu informieren – und dann auch zu dokumentieren, dass entsprechend informiert wurde.

Um so höher das Risiko, um so umfangreicher die Schutzmaßnahmen

Die Regelungen zum Datenschutz sind durchgehend risikobasiert formuliert: um so höher das Risiko für die betroffene Person, um so stärker müssen die damit verbundenen Schutzmaßnahmen ausfallen. Dabei muss nicht nur das Risiko betrachtet werden, das durch die Verarbeitung der Daten an für sich entsteht, sondern auch das Risiko, falls Daten in falsche Hände gelangen, manipuliert oder zweckentfremdet werden.

So definiert die DSGVO die Kategorie der besonders geschützten Daten:

  • Gesundheitsdaten
  • Genetische Daten
  • Biometrische Daten
  • Daten zum Sexualleben oder zur sexuellen Orientierung
  • Daten zur politischen Meinung
  • Daten zur Zugehörigkeit zu einer Gewerkschaft
  • Daten zu Religion oder Weltanschauung
  • Daten zur ethnischen Herkunft
  • Daten zu strafrechtlichen Verurteilungen und Straftaten

Für diese Daten gilt, dass sie nur verarabeitet werden dürfen, sofern zusätzlich zur Rechtsgrundlage mindestens ein besonderer Erlaubnistatbestand vorliegt, von denen für Startups in Regel nur die folgenden relevant sind:

  1. die Person hat in die Verarbeitung der besonders geschützten Daten ausdrücklich eingewilligt
  2. die Verarbeitung ist erforderlich, damit Rechte aus dem Arbeitsrecht oder dem Sozialrecht ausgeübt werden können
  3. die Verarbeitung ist aus lebenswichtigen Interessen der Person erforderlich und die Person ist nicht in der Lage einzuwilligen
  4. die Verarbeitung bezieht sich auf Daten, die von der Person bereits selbst veröffentlicht wurden
  5. die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich
  6. die Verarbeitung ist aufgrund eines konkret normierten erheblichen öffentlichen Interesses notwendig
  7. die Verarbeitung ist im Kontext der individuellen Gesundheitsversorgung erforderlich und erfolgt durch der Schweigepflicht unterliegendes medizinisches Fachpersonal
  8. die Verarbeitung ist aus Gründen der öffentlichen Gesundheit (z.B. Schutz vor Epidemien) oder zur Gewährleistung von Qualitäts- und Sicherheitsstandards im Gesundheitswesen erforderlich
  9. die Verarbeitung ist für Forschungs- und statistische Zwecke erforderlich

Neben diesem Schutz nach der Art der Daten werden auch bestimmte Zwecke als risikobehafteter als andere angesehen. Dazu gehören beispielsweise die systematische und regelmäßíge Überwachung von Personen, die Bildung von Profilen für automatisierte Entscheidungen wie Kreditscoring, die Nutzung von Sensoren zur Erfassung von Gesundheitsdaten (z.B. Fitness-Armbänder), die Markt- und Meinungsforschung, und viele mehr. In solchen Fällen sind Unternehmen verpflichtet, einen Datenschutzbeauftragten zu benennen und eine sogenannte Datenschutz-Folgenabschätzung durchzuführen.

Fazit

Den Datenschutz fest im Unternehmen zu verankern, ist in vielen Fällen mit überschaubarem Aufwand machbar. Wichtig ist, sich als Unternehmen im zumutbaren Umfang zu bemühen, die Datenschutzregeln einzuhalten, und das auch nachweisen zu können. Den Kopf in den Sand zu stecken in der Hoffnung, dass schon nichts passieren würde, wird hingegen doppelt teuer: im Beschwerdefall wird dann nicht nur der konkrete Datenschutz sanktioniert, sondern zusätzlich und separat auch das Datenschutz-Management, wie es tatsächlich gelebt ist. Gelingt es dem Unternehmen dann nicht, seiner Dokumentatonspflicht aus der DSGVO nachzukommen und zu demonstrieren, dass die Datenschutzregeln eingehalten werden, können Bußgelder von bis zu 20 Mio. Euro oder bis zu 4 % des Vorjahresumsatzes (die jeweils höhere Grenze ist entscheidend) verhängt werden.

Aktuelle rechtliche Grundlage des Datenschutzes ist die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union. Sie gilt seit 2018 und wurde mit dem Zweck beschlossen zu verhindern, dass Menschen durch die Verarbeitung ihrer Daten in ihren Rechten und Freiheit verletzt werden. Das klingt vage und ist auch so vage gemeint. Warum?

Die meisten Gesetze, mit denen man in Berührung kommt, sind normativ: sie geben genau vor, was zu tun oder zu lassen ist. Ein Beispiel aus dem Alltag:

Zum Parken ist der rechte Seitenstreifen, dazu gehören auch entlang der Fahrbahn angelegte Parkstreifen, zu benutzen, wenn er dazu ausreichend befestigt ist, sonst ist an den rechten Fahrbahnrand heranzufahren.

§ 12 Abs. 4 Satz 1 STVO

Wer diese Vorschrift kennt, muss sich bei der Anwendung in der Regel keine Gedanken machen, warum das Parken nur an den genannten Stellen erlaubt ist. Es ist in normativen Gesetzen einfach so festgelegt.

Im Gegensatz dazu ist die Datenschutz-Grundverordnung in weiteen Teilen prinzipienorientiert: sie enthält viele Grundsätze, die beachtet werden müssen, ohne im Text selbst genau festzulegen, wie sie im Detail umgesetzt werden müssen. Diese Details muss derjenige, der personenbezogene Daten verarbeiten will, auf Basis seines Verständnisses der Grundsätze selbst erarbeiten und entwickeln.

Was die DSGVO nicht enthältWas die DSGVO stattdessen vorgibt
vorgegebene Muster für eine Datenschutzbelehrungbetroffene Personen müssen über die Datenverarbeitung und ihre Rechte belehrt werden (Art. 13 und 14 DSGVO)
Entscheidungsschema und Whitelist für die Interessenabwägungdie Interessenabwägung muss die berechtigten Interessen des Unternehmens mit denen der betroffenen Personen abwägen (Art. 6 DSGVO)
Formulierungsvorgabe für EinwilligungenEinwilligungen müssen eindeutig und transparent formuliert werden (Art. 4 und 7 DSGVO)
Vorgaben für komplexe Passwörter, SSL-Verschlüsselung, Rechtemanagementzum Schutz der Daten müssen technische Maßnahmen auf dem Stand der Technik ergriffen werden (Art. 24 und 25 DSGVO)

Wäre das Parken in der Straßenverkehrsordnung ähnlich prinzipienorientiert formuliert, würde es dem Autofahrer wohl nur die Pflicht übertragen, beim längerfristigen Abstellen das Fahrzeug so abzustellen, dass der restliche Verkehr nicht behindert wird. Es wäre dann am Fahrer zu entscheiden, was das im konkreten Einzelfall bedeutet.

Diese prinzipienorientierten Vorschriften des Datenschutzes sollen transformatorischen, also verändernden Charakter haben. Sie sollen dazu führen, dass Unternehmen sich grundsätzlich auf eine bestimmte Art und Weise verhalten, wenn es um personenbezogene Daten geht. Da die Verarbeitung personenbezogener Daten heutzutage nicht mehr wegzudenken ist und alle Beziehungen mit Stakeholdern (d.h. Kunden, Lieferanten, Mitarbeiter, Gesellschafter, Behörden etc.) davon betroffen sind, führt die konsequente Umsetzung des Datenschutzes zwangsläufig zu Anpassungen in fast allen Kern- und Nebentätigkeiten eines Unternehmens.

Warum wurden die Bestimmungen vage gehalten? Damit die Datenschutzregeln für alle Branchen und alle Situationen, in denen Daten verarbeitet werden, gleichermßanen funktionieren können. Die EU-Gremien haben sich dazu entschlossen, ein einzelnes Regelwerk zu schaffen, das in allen EU-Mitgliedsstaaten (mit wenigen Ausnahmen) gleich funktioniert. Von den Grundregeln her soll für Apotheke und für Bäcker, für Hedge Fonds und für Kaninchenzüchtervereine, für Automobilkonzerne und für Tech Startups dasselbe gelten.

Die unbestimmten Regelungen dürfen aber nicht darüber hinwegtäuschen: ihre Nichtbeachtung kann existenzbedrohende Folgen haben. Den Datenschutzbehörden steht ein umfangreicher Katalog an Sanktionsmöglichkeiten zur Verfügung, der neben erheblichen Bußgeldern auch Handlungs-, Löschungs- und Untersagungsverfügungen, Widerruf von Zertifizierungen und Verbot der Übermittlung von Daten an Dritte enthält. Zusätzlich darf auch jede einzelne Person, deren Daten entgegen der Datenschutzregeln verarbeitet werden, zivilrechtlich dagegen vorgehen und Schadensersatz sowie Schmerzensgeld einklagen.

Die Kombination aus Regeln, die primär Grundsätze festlegen und vor Details zurückschrecken, verbunden mit empfindlichen Sanktionierungsmöglichjeiten hat zwei wichtige Folgen:

  • Wer sich nachweislich nachhaltig und im zumutbaren Umfang bemüht, die Prinzipien der Datenschutz-Grundverordnung zu beachten, kann dafür nicht bestraft werden, selbst wenn es einmal zu einem Datenleck kommt.
  • Wer nur das Mindeste tut, nur Checklisten abarbeitet und Datenschutz nur als einmalig zu erledigende Aufgabe versteht, wird es im Konfliktfall mit den Aufsichtsbehörden oder mit betroffenen Personen schwer haben, nicht in finanzielle und ggf. auch wirtschaftliche Notlage zu geraten.

Ein laufendes Datenschutzmanagement, dass kontinuierlich Auswirkungen auf die Geschäftstätigkeit hat und getroffene Entscheidungen und Abwägungen umfassend dokumentiert, ist daher für jedes Unternehmen unersetzlich. Denn nur so kann der oben genannte Nachweis gegenüber den Behörden und den betroffenen Personen erbracht werden.

Nach den aufsehenerregenden Datenschutz-Sanktionen gegen Deutsche Wohnen (wegen nicht gelöschter Interessentendaten) und Lieferheld (wegen Newsletter-Versand trotz Abmeldung) wurde nunmehr das erste sechsstellige Bußgeld im Gesundheitssektor verhängt.

Wie der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland Pfalz am 3. Dezember 2019 mitteilte, wurden in Folge einer (!) Patientenverwechslung gravierende technische und organisatorische Mängel beim Datenschutz in einem Krankenhaus festgestellt. Zwar hat die Behörde die Bemühungen der Einrichtung, ihr Datenschutzmangement fortzuentwickeln und zu verbessern, positiv gewürdigt. Dennoch hilt sie es für notwendig und angemessen, die Datenschutzverstöße mit einer Geldstrafe in Höhe von 105.000 Euro zu belegen.

In ihrer Pressemitteilung machte die Behörde deutlich, dass es bei Bußgeldern neben der Sanktionierung des eigentlichen Verstoßes auch um eine abschreckende Wirkung geht:

„Mir kommt es darauf an, dass mit Blick auf die besondere Sensibilität der Daten beim Gesundheitsdatenschutz substanzielle Fortschritte erzielt werden. Daher hoffe ich, dass die Geldbuße auch als Signal gewertet wird, dass die Datenschutzaufsichtsbehörden auf dem Feld des Umgangs mit Daten im Gesundheitswesen besondere Wachsamkeit an den Tag legen.“

Prof. Dr. Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz

Patientenunterlagen in vielen Fällen falsch versandt

Dabei kommt es gar nicht so selten vor, dass Patientenunterlagen in falsche Hände gelangen. Zeitgleich zur Mitteilung der rheinland-pfälzischen Aufsichtsbehörde veröffentlichte der NDR einen Bericht über massenhaftes Fehlversenden von Patientendokumenten. Den Angaben des NDR zufolge wurden seit Inkrafttreten der DSGVO im Mai 2018 mehr als 850 Fälle von Datenpannen an die Behörden gemeldet, bei denen Patientenunterlagen von Kliniken, Arztpraxen, Laboren und Abrechnungsstellen an die falschen Empfänger versandt wurden. Ursache war regelmäßig menschliches Versagen: falsche Adressierung oder Kuvertierung, Tippfehler, Verwechslungen von Patienten und Ärzten. Die meisten gemeldeten Fälle gab es demnach in Bayern (383), die wenigsten in Bremen (21).

Effektives Datenschutzmanagement dringend geboten

Für Betreiber von Krankenhäusern und MVZ bedeuten diese Vorfälle und die damit verbundene Aufmerksamkeit der Datenschutzbehörden, dass ein effektives Datenschutzmanagement dringend geboten ist. Dazu gehört die Erfüllung der formalen Anforderungen wie die Pflege eines Verzeichnisses der Verarbeitungstätigkeiten, die Belehrung der Patienten zum Datenschutz sowie das Abschließen von Vereinbarungen zur Auftragsverarbeitun oder zur Datenübermittlung.

Aber mindestens genauso wichtig ist die nachweislich erfolgreiche Umsetzung technischer und organisatorischer Maßnahmen (TOM) zur Sicherstellung eines angemessenen Schutzniveaus nach Art. 24 DSGVO. Die zuletzt immer höheren Bußgelder zeigen, dass sich die Behörden die tatsächlichen Gegebenheiten in den Einrichtungen im Detail anschauen und unzulängliche Maßnahmen rigoros sanktioniren.

Helfen kann dabei neben der Einschaltung eines externen Datenschutzbeauftragten auch ein Datenschutz-Audit zur Erkennung und Beseitigung von Schwachstellen im Datenschutzmanagement.

Am 5. November 2019 teilte die Berliner Beauftragte für Datenschutz und Informationsfreiheit per Pressemitteilung mit, dass sie gegen Deutsche Wohnen SE ein Bußgeld in Höhe von 14,5 Millionen Euro verhängt hat. Mit dieser Sanktion durchbricht die Behörde alle bisherigen Rekorde in Deutschland, was Bußgelder wegen Verstößen gegen die Datenschutzgrundverordnung (DSGVO) angeht. Zum Vergleich: das bisher höchste Bußgeld in Deutschland lag bei „nur“ knapp 190.000 Euro.

Welche Lehren können Unternehmen und Organisationen nun aus dem Verfahren ziehen, um ähnlich drastische Strafen zu vermeiden? Schließlich sieht die DSGVO Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 % des Jahresumsatzes vor, je nachdem welche Grenze höher (!) ist.

1. Auflagen der Aufsichtsbehörden sind ernst zu nehmen

Einer der Hauptgründe dafür, dass das Bußgeld überhaupt so hoch ausfiel, war, dass die Behörde bereits im Juni 2017 bei einem Vor-Ort-Termin erhebliche Mängel festgestellt und Vorgaben zru Behebung gemacht hatte. Bis zur nächsten Prüfung im März 2019 ist dann aber nicht viel geschehen. Die eineinhalb Jahre Umsetzungszeitraum wurden nach Aussage der Behörde zwar für „Vorbereitungen zur Beseitigung der aufgefundenen Missstände“ genutzt. Gleichwohl führten die getroffenen Maßnahmen nicht zur „Herstellung eines rechtmäßigen Zustands bei der Speicherung personenbezogener Daten“.

Im Artikel 83 der DSGVO werden allgemeine Grundregeln für die Verhängung von Bußgeldern festgelegt. Dabei soll eine ganz entscheidende Rolle spielen, inwiefern Unternehmen Maßnahmen zur Verringerung und Vermeidung von Schäden für betroffene Personen ergriffen habel, in welchem Umfang sie bei der Behebung des Datenschutzverstoßes mit der Aufsichtsbehörde zusammengearbeitet haben und ob ausdrückliche Vorgaben der Aufsichtsbehörde eingehalten wurden. Diese Punkte müssen alle angemessen strafmindernd berücksichtigt werden, oder halt strafverschärfend, wenn sie ausbleiben. Die DSGVO gibt also schon einen Weg vor, wie das Bußgeldrisiko noch verringert werden kann, selbst wenn Mängel bereits identifiziert wurden.

Lehre: Wenn Aufsichtsbehörden in Prüfungen Mängel beim Datenschutz feststellen, sind Unternehmen gut beraten diese umgehend zu beheben. Für den Fall, dass ein Unternehmen die Feststellungen der Behörde als fehlerhaft betrachtet, sollten Einsprüche eingelegt und ggf. eine rechtlich bindende Einschätzung vor Gericht erstritten werden. Eine Taktik, die im Ergebnis auf eine Hinauszögern von Maßnahmen abzielt, erhöht das Bußgeldrisiko hingegen immens.

2. Gesetzliche Aufbewahrungsfristen sind kein Freifahrschein für unbeschränktes Speichern von Daten

Kern der Auseinandersetzung im vorliegenden Fall ist der Einsatz eines Archivsystems für Dokumente, das eine tatsächliche Löschung technisch schlicht nicht vorsieht. Als Begründung hierfür werden die Revisionssicherheit (d.h. die Nachvollziehbarkeit aller Änderungen und Unmöglichkeit von Datenverlusten) und die Erfüllung gesetzlicher Aufbewahrungsfristen genannt. So sieht beispielsweise § 257 HGB vor, dass u.a. Handelsbücher, Jahresabschlüsse, aber auch Belege für Buchungen 10 Jahre, empfangene und versandte Geschäftsbriefe 6 Jahre aufzubewahren sind. Einfach alle Dokumente ohne zeitliche Beschränkung aufzuheben erscheint unter diesem Gesichtspunkt auf dem ersten Blick unproblematisch, zumal Art. 6 Abs. 1 lit c DSGVO die Erfüllung rechtlicher Verpflichtungen, zu denen gesetzliche Aufbewahrungspflichten gehören, explizit als erlaubte Rechtsgrundlage aufführt.

Jedoch, so einfach ist das nicht. Die in der DSGVO genannten Rechtsgrundlagen für die Verarbeitung personenbezogener Daten stellen Ausnahme in einem Regel-Ausnahme-Konstrukt dar und sind daher immer eng auszulegen. Die Regel ist, dass personenbezogene Daten grundsätzlich nicht verarbeitet werden dürfen. Die Ausnahme ist, dass es unter ganz bestimmten eng umfassten Umständen (z.B. zur Erfüllung gesetzlicher Aufbewahrungsfristen) eben doch erlaubt ist. Aber auch unter diesen Umständen muss sich die Verarbeitung auf diesen Zweck beschränken und es müssen technisch-organisatorische Maßnahmen ergriffen werden, die verhindern, dass eine Verarbeitung auch zu anderen Zwecken erfolgen kann. Die Grundsätze der DSGVO aus Artikel 5 wie Zweckbindung, Datenminimierung und Speicherbegrenzung müssen beachtet werden, selbst wenn das Speichern der Daten gesetzlich vorgeschrieben ist.

Lehre: Wenn ein Unternehmen ein Archivsystem für Dokumente einsetzen möchte, muss darauf geachtet werden, dass es DSGVO-konform genutzt werden kann und auch so genutzt wird. Dazu gehört, dass die Grundprinzipien aus Art. 5 DSGVO von der Software vollumfänglich unterstützt werden müssen.

3. Personenbezogene Daten, die nicht mehr benötigt werden, müssen gelöscht werden

Ein Archivsystem, dass keine wirkliche Löschung von Daten vorsieht, ist per se ungeeignet, personenbezogene Daten zu verwalten. Die DSGVO sieht nun einmal vor, dass Daten nur so lange verarbeitet werden dürfen, wie sie für den jeweiligen Zweck benötigt werden. Das heißt auch: Daten müssen unverzüglich gelöscht werden, wenn sie für den jeweiligen Zweck nicht mehr gebraucht werden. Der Gesetzgeber hat sich bewusst dagegen entschieden, Unternehmen den Aufbau großer Datensilos quasi „auf Vorrat“ zu erlauben, für den Fall der Fälle, dass sie einmal nützlich sein könnten. Neben der wegfallenden Notwendigkeit gibt es aber auch noch eine Reihe weiterer in Artikel 17 beschriebener Umstände, bei deren Eintreffen Daten gelöscht werden müssen, so beispielsweise bei Widerruf einer erteilten Einwilligung oder bei einem berechtigten Widerspruch.

Lehre: Unternehmen müssen ein Löschkonzept entwickeln und weitere technisch-organisatorische Maßnahmen treffen, die eine (endgültige!) Löschung nach Wegfall der Rechtsgrundlage für die Speicherung sicherstellen.

Es gibt mehrere Gründe, warum Sie einen Datenschutzbeauftragten benennen sollten. Oft ist die Benennung eines Datenschutzbeauftragten aufgrund gesetzlicher Vorgaben verpflichtend. In bestimmten Branchen wie beispielsweise im Gesundheitswesen kann sich die freiwillige Benennung eines Datenschutzbeauftragten positiv sowohl auf die Ertragslage als auch Ihr Image als Arbeitgeber auswirken.

Pflicht zur Benennung eines Datenschutzbeauftragten

Es ist nicht immer auf den ersten Blick offensichtlich, ob ein Unternehmen oder eine Organisation einen Datenschutzbeauftragten bestellen muss. Gab es unter altem Datenschutzrecht bis 2018 nur eine Handvoll Kriterien, so ist die Zahl der Fälle, in denen eine Pflicht zur Bestellung besteht, mit dem Inkrafttreten der DSGVO und des neuen Bundesdatenschutzgesetzes förmlich explodiert.

Folgende Entscheidungshilfe soll Ihnen einen Überblick geben, ob für Sie eine gesetzliche Pflicht zur Benennung eines Datenschutzbeauftragten besteht. Sobald mindestens eines der genannten Kriterien auf Sie zutrifft, sind Sie verpflichtet einen Datenschutzbeauftragten zu bestellen:

 KriteriumBeispiele
1Sie sind eine Behörde oder andere öffentliche Stelle.Finanzamt, Stadtverwaltung, Verkehrsbetriebe
2Sie beschäftigen regelmäßig mindestens 20 Personen, die automatisiert personenbezogene Daten verarbeiten. 
3Sie verarbeiten Daten auf eine Art, in einem Umfang oder zu einem Zweck, für die eine umfangreiche regelmäßige und systematische Überwachung von Personen erforderlich ist.Sicherheitsdienste
4Sie verarbeiten auf umfangreiche Art und Weise eine oder mehrere Arten folgender besonders geschützter Daten:

  1. Gesundheitsdaten
  2. Genetische Daten
  3. Biometrische Daten
  4. Daten zum Sexualleben oder zur sexuellen Orientierung
  5. Daten zur politischen Meinung
  6. Daten zur Zugehörigkeit zu einer Gewerkschaft
  7. Daten zu Religion oder Weltanschauung
  8. Daten zur ethnischen Herkunft
  9. Daten zu strafrechtlichen Verurteilungen und Straftaten
  10. Daten, die dem Sozial-, Berufs- oder Amtsgeheimnis unterliegen
  11. Daten zum vorübergehenden oder permanenten Aufenthalt von Personen
Krankenhäuser, Parteien, Träger großer sozialer Einrichtungen, Betrieb eines Insolvenzverzeichnisses, Große Anwaltssozietät, Tracking von Kundenbewegungen in Warenhäusern, Verkehrsstromanalysen
5Sie verarbeiten (egal in welchem Umfang) eine oder mehrere Arten besonders geschützter Daten und eines oder mehrere der folgenden Kriterien trifft zu:

  1. Sie erheben diese Daten nicht nur einmalig mittels der innovativen Nutzung von Sensoren oder mobilen Anwendungen und empfangen und bereiten diese Daten an einer zentralen Stelle auf.
  2. Als Anbieter neuer Technologien verwenden Sie die Daten, um die Leistungsfähigkeit von Personen zu bestimmen.
Telemedizin, Auswertungen von Fitness-Armbändern
6Sie verarbeiten (egal in welchem Umfang) Daten zu einen oder mehreren der folgenden Zwecke

  1. anonyme oder nicht-anonyme Übermittlung an Dritte
  2. Marktforschung
  3. Meinungsforschung
 
7Sie verarbeiten (egal in welchem Unfang) biometrische oder genetische Daten und eines oder mehrere der folgenden Kriterien trifft zu:

  1. Verarbeitung von Daten zu schutzbedürftigen Personen
  2. Systematische Überwachung
  3. Innovative Nutzung neuer technologischer oder organisatorischer Lösungen
  4. Bewerten oder Einstufen (Scoring)
  5. Abgleichen oder Zusammenführen von Datensätzen
  6. Automatisierte Entscheidungsfindung mit erheblicher Wirkung auf natürliche Personen
  7. Verhinderung der Ausübung eines Rechts, der Nutzung eines Dienstes oder der Durchführung eines Vertrages
Verwendung biometrischer Systeme zur Zutrittskontrolle, Früherkennung von Erbkrankheiten bei Neugeborenen, Genetische Datenbank zur Abstammungsforschung
8Sie bewerten, ausgehend von automatisierten Verarbeitungen (z.B. durch Profiling, Bewertungsportalen, Artbeitnehmerüberwachung), persönliche Aspekte einer Person systematisch und umfassend, um Entscheidungen zu treffen, die erhebliche Auswirkungen auf diese oder andere Personen haben.Systeme zur Betrugsverhinderung, Scoring durch Auskunfteien, Banken und Versicherungen
9Sie erheben und veröffentlichen oder übermitteln in umfangreicher Art und Weise Daten, die zur Bewertung des Verhaltens oder anderer persönlicher Aspekte von Personen dienen und von Dritten genutzt werden, um Entscheidungen mit erheblicher Wirkung auf diese Personen zu treffen.Betrieb von Bewertungsportalen, Inkassodienstleisterd
10Sie verarbeiten in umfangreicher Art und Weise Daten über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit eingesetzt werden können, aus denen sich eine erhebliche Wirkung auf diese Personen ergibt.Einsatz von Data-Loss-Prevention-Systemen, Geolokalisierung von Beschäftigten
11Sie erfassen in großem Umfang und auf optisch-elektronische Art und Weise Daten in öffentlichen Bereichen.Daten aus den Umgebungssensoren von Fahrzeugen
12Sie verarbeiten Daten zur Erstellung umfassender Profile über die Interessen, die persönlichen Beziehungen oder die Persönlichkeit einer oder mehrerer Personen.Betrieb von Dating- und Kontaktportalen oder sozialen Netzwerken
13Zur Entdeckung vorher unbekannter Zusammenhänge für nicht im Vorhinein bestimmte Zwecke:

  1. führen Sie in großem Umfang Daten aus verschiedenen Quellen zusammen,
  2. verarbeiten diese zu Zwecken, für welche die Daten nicht direkt bei den betroffenen Personen erhoben wurden, und
  3. wenden einen für die betroffenen Personen nicht nachvollziehbaren Algorithmus an.
Big-Data-Analyse von Kundendaten, die mit Angaben aus Drittquellen angereichert wurden
13Sie setzen Systeme mit künstlicher Intelligenz ein, um personenbezogen Daten zur Steuerung der Interaktion mit Personen oder zur Bewertung persönlicher Aspekte zu verarbeiten.Einsatz von Chat-Bots im Support
14Sie nutzen Sensoren eines Mobilfunkgeräts oder die Funksignale, die von solchen Geräten versendet werden, um den Aufenthalt oder die Bewegung von Personen über einen erheblichen Zeitraum zu bestimmen.Offline-Tracking von Kundenbewegungen in Warenhäusern, Verkehrsstromanalyse auf der Grundlage von Standortdaten des öffentlichen Mobilfunknetzes
15Sie werten Bild- oder Tonaufnahmen automatisiert aus, um die Persönlichkeit von Personen zu bewerten.Telefongespräch-Auswertung mittels Algorithmen
16Sie erstellen umfassende Profile über Bewegung oder Kaufverhalten.Erfassung des Kaufverhaltens unterschiedlicher Personenkreise zur Profilbildung und Kundenbindung unter Zuhilfenahme von Preisen, Preisnachlässen und Rabatten.
17Sie anonymisieren besonders geschützte Daten zum Zweck der Übermittlung an Dritte.Patientendaten werden durch ein Apothekenrechenzentrum oder eine Versicherung anonymisiert und zu anderen Zwecken selbst verarbeitet oder an Dritte weitergegeben
18Sie verarbeiten Daten, insbesondere bei Verwendung neuer Technologien, in einer Art, in einem Umfang, unter Umständen oder zu einem Zweck, der voraussichtlich ein hohes Risiko für die betroffenen Personen zur Folge hat. 

Wie zählt man die regelmäßig beschäftigten Personen, die automatisiert Daten verarbeiten?

Zu zählen sind alle Personen:

  1. die im Unternehmen bzw in der Organisation ständig beschäftigt sind, unabhängig von ihrem vertraglichen Status oder des Umfangs geleisteter Arbeit (also auch alle Praktikanten, Auszubildenden, Ehrenamtlichen, Geschäftsführer, Organträger, etc.), und
  2. die personenbezogene Daten automatisiert verarbeiten zum Beispiel durch das Abrufen, Lesen und Versenden von E-Mails auf einem PC oder durch das Bearbeiten von Kunden- oder Mitarbeiterdaten in einer Datenbank

Was bedeutet „umfangreiche Art und Weise“?

Wie oben dargestellt sind einige Kriterien nur relevant, sofern die Verarbeitung in umfangreicher Art und Weise geschieht. Die gesetzlichen Bestimmungen geben jedoch keine festen Grenzen vor, ab wann eine Verarbeitung als umfangreich betrachtet werden muss. Es werden auch seitens der Aufsichtsbehörden nur Anhaltspunkte genannt, deren hohes Zutreffen für eine „umfangreiche“ Verarbeitung spricht:

  • Menge der verarbeiteten personenbezogenen Daten (Volumen),
  • Verarbeitung auf regionaler, nationaler oder supranationaler Ebene (geografischer Aspekt)
  • Anzahl der betroffenen Personen (absolute Zahl oder in Prozent zur relevanten Bezugsgröße)
  • Dauer der Verarbeitung (zeitlicher Aspekt)

Zusätzlich werden noch folgende Konstellationen genannt, in denen regelmäßig nicht von einer umfangreichen Verarbeitung ausgegangen wird.

  • Verarbeitung von Patientendaten durch einen einzelnen Arzt oder sonstigen Angehörigen eines Gesundheitsberufs
  • Verarbeitung von Mandantendaten durch einen einzelnen Anwalt

Ultimativ liegt es in der Verantwortung des Unternehmens bzw. der Organisation zu entscheiden, ob sie einen Datenschutzbeauftragten ernennt oder nicht. Wird jedoch kein Datenschutzbeauftragter bestellt, obwohl nach dem Gesetz einer bestellt werden müsste, so greifen die drakonischen Bußgeldvorschriften der DSGVO.

Wenn Sie sich unsicher sind, ob Sie einen Datenschutzbeauftragten brauchen oder nicht, kontaktieren Sie uns. Wir beraten Sie gern!

Durch das Inkrafttreten der DSGVO soll der Umgang mit besonders sensiblen persönlichen Daten der Betroffenen – hier also der Patienten – gewahrt werden. Ärzte benötigen hierfür ein Datenschutzmanagement, um sicherzustellen und dokumentiert nachweisen zu können, dass sie den Datenschutz in Ihrer Arztpraxis entsprechend der DSGVO anwenden.

Was muss ich tun? Wo fange ich am besten an? Brauche ich überhaupt einen Datenschutzbeauftragten?

Der Datenschutzbeauftragte: Wer ist das? Was macht er? Wer braucht ihn?

Die Rolle des Datenschutzbeauftragten als zentrale Anlaufstelle für Betroffene, Verantwortliche, Auftragsverarbeiter und Aufsichtsbehörden ist durch die DSGVO gestärkt worden. Sie ist zugleich Ausdruck des in Art. 5 DSGVO verankerten datenschutzrechtlichen Transparenzgrundsatzes. Der Datenschutzbeauftragte in der Arztpraxis hat die Aufgabe, den verantwortlichen Arzt über die Pflichten im Umgang mit Daten nach den neusten Regeln zu informieren und ihn zu beraten. Zudem überprüft er, ob die Regelungen zum Datenschutz in der Arztpraxis bei den internen Datenschutzverarbeitungsvorgängen eingehalten werden.

Besteht das Praxisteam aus mehr als 20 Personen, sollte also ein Datenschutzbeauftragter darunter sein.

Bei der Ermittlung der Personenanzahl kommt es allein auf die tatsächliche Anzahl der tätigen Personen an. Die Art der Beschäftigung (z. B. Voll- oder Teilzeit, Auszubildende, Praktikanten, Leiharbeit) ist hierfür unerheblich. Vereinfacht gesagt sind„Köpfe“ zu zählen. Die Anzahl von mindestens 20 Beschäftigten, die auf Dauer personenbezogene Daten automatisiert verarbeiten, muss „in der Regel“ gegeben sein. Vorübergehende Änderungen (Überschreitungen oder Unterschreitungen) des Personalbestands sind daher unschädlich. Ausgenommen werden können deshalb Personen, die nur zufällig im Rahmen der Erledigung anderer Aufgaben mit der Verarbeitung personenbezogener Daten zu tun haben (z. B. Wartungstechniker; kurzfristiger Entlastungsassistent; Mitarbeiter eines externen Dentallabors). Die automatisierte Verarbeitung personenbezogener Daten muss aber nicht Hauptaufgabe der beschäftigten Person sein, um „ständig“ zur Personenanzahl hinzugezählt werden zu müssen. Auf den Anteil bzw. Umfang der Verarbeitung an der gesamten Arbeit kommt es nicht an. Mitarbeiter sollten daher auch berücksichtigt werden, die über einen PC- Arbeitsplatz oder PC-Zugang verfügen. Für eine „ständige“ Beschäftigung müssen die Mitarbeiter ihre Aufgaben auf unbestimmte bzw. längere Zeit ausüben, d. h. immer, wenn sie anfällt.

Die Benennung eines Datenschutzbeauftragten sollte unverzüglich erfolgen, sobald die Pflicht zur Benennung besteht. Als Datenschutzbeauftragter kommen Mitarbeiter der Praxis in Betracht, die besonders geschult sein müssen. Ebenso besteht die Möglichkeit, einen externen Dienstleister zu beauftragen. Bei der Beauftragung des externen Datenschutzbeauftragten fallen zusätzliche Kosten an, zugleich wird das Haftungsrisiko minimiert, denn bei Fehlern im Umgang mit dem Datenschutz haftet dieser. Auf jeden Fall muss der interne oder externe Datenschutzbeauftragte daher über die erforderliche Sachkunde verfügen.

Der Praxisinhaber selbst oder Gesellschafter in einer BAG kommt hierfür nicht in Betracht, da eine Selbstüberwachung in diesem Bereich nicht vorgesehen ist.

Überprüfung aller internen Verarbeitungsvorgänge, Anpassung Verträge/Formulare und Verarbeitungsverzeichnisse

Alle wesentlichen Verarbeitungsvorgänge (beispielsweise Lohn- und Gehaltsabrechnungen der Mitarbeiter, Verarbeitung der Patientendaten zur Behandlung, Verarbeitung der Patientendaten zur Abrechnung, Betrieb der Website mit der Online-Terminbuchungsmöglichkeit) sind auf die datenschutzrechtliche Konformität zu prüfen. Die bislang verwendeten Verträge und Formulare sind an die DSGVO anzupassen. Einwilligungserklärungen müssen zudem den Hinweis der Widerrufbarkeit enthalten.

Sinn und Zweck dieser Bestandsaufnahme soll sein, zu prüfen, welche Daten auf welcher Rechtsgrundlage verarbeitet werden. Alle Arztpraxen haben ein entsprechendes Verzeichnis für die Verarbeitungstätigkeiten zu führen (Art. 30 DSGVO). Beispielsweise in Bezug auf Patienten die gesundheitliche Behandlung, Diagnose und Therapie. Auf Verlangen der Aufsichtsbehörde ist dieses Verzeichnis vorzulegen. Es ist anzunehmen, dass die Anforderung des Verarbeitungsverzeichnisses ein Mittel sein wird, zu dem die Aufsichtsbehörden gerne greifen werden. Sollte dieses nicht innerhalb der gesetzten Frist vorgelegt werden können, muss mit weiteren Nachforschungen der Aufsichtsbehörde rechnen.

Sicherheit in der Datenverarbeitung

Die Sicherheitsrisiken in einer Praxis müssen grundsätzlich als hoch eingestuft werden, da mit den Gesundheitsdaten hochsensible und von Art. 9 DSGVO geschützte Daten erhoben werden. Hier gilt grundsätzlich Vorsicht ist besser als Nachsicht. Durch geeignete technisch-organisierte Maßnahmen (Erarbeitung einer internen Datenschutzrichtlinie durch klare Verantwortlichkeiten oder Zutritts-, Zugangs-, Zugriffsbeschränkungen für Mitarbeiter, Passworthygiene oder Verschlüsselungsmaßnahmen) ist die Sicherheit der Datenverarbeitung zu gewährleisten.

Die DSGVO formuliert u.a. auch die Erwartung, dass die Systeme wiederherstellbar sind, wenn es zur Störung kommt, Störanfälle automatisch gemeldet und die personenbezogenen Daten nicht beschädigt werden.

Informationspflichten gegenüber Patienten

Die Datenschutzgrundverordnung bringt weitreichende Informationspflichten mit sich. Wichtigste Verpflichtung ist nach Art. 13 DSGVO jedem Patienten bei der erstmaligen Datenerhebung eine Datenschutzerklärung zu übergeben. Die entsprechende Erklärung ist dem Patienten bei Erstaufnahme zu übergeben. Zu benennen sind dabei u.a. der Datenschutzbeauftragte, die Empfänger der Daten (KZV und private Abrechnungsstellen, der Hausarzt oder Fachärzte), die Speicherdauer (bei Zahnärzten grundsätzlich 10 Jahre) und die Aufsichtsbehörde sowie das Beschwerderecht.

Auskunftsrecht des Patienten

Gemäß Art. 15 DSGVO haben Patienten das Auskunftsrecht, wonach sie vom Arzt Auskunft über die zu ihrer Person ggf. gespeicherten Daten verlangen können. Hierfür sollte in einer internen Datenschutzrichtlinie ein bestimmtes Verfahren eingerichtet werden, um entsprechende Anfragen schnell beantworten zu können. Zu beachten ist, dass kein Anspruch des Patienten besteht, Auskunft über personenbedingte Danten anderer Dritter zu erhalten.

Recht auf Löschung

Auch das Thema Löschung von Patientendaten gehört zum Datenschutz in der Arztpraxis. Nach Art. 17 DSGVO sind Löschungsfristen zu berücksichtigen. Auch hier sollte intern ein bestimmtes Verfahren festgelegt werden (wann und durch wen).

Verhältnis zu externen Dienstleistern und Dritten

Soweit Verträge mit externen Dienstleistern, z.B. mit Privaten Verrechnungsstellen, bestehen oder abgeschlossen werden sollen, müssen diese Verträge auf ihre Vereinbarkeit mit den neuen datenschutzrechtlichen Vorschriften sowie mit den strafrechtlichen Bestimmungen zur ärztlichen Schweigepflicht überprüft werden. Der zwischen Praxisinhaber und allen Auftragsdatenverarbeitern zu schließende Vertrag hat bestimmte Mindestinhalte, die sich aus Art. 28 Abs. 3 DSGVO ergeben, im Detail aber ganz unterschiedlich sein können. Auch die Vorlage der nötigen ADV-Verträge gehört zu den denkbaren Abfragen der Aufsichtsbehörde, bei der Praxisinhaber künftig auf dem falschen Fuß erwischt werden könnten.

Mitarbeiterschulungen und praxiseigene Datenschutzrichtlinie

Damit jeder einzelne Mitarbeiter zum Datenschutz in der Arztpraxis auf den neusten Stand und it der Sicherheitstechnik vertraut ist, sollten regelmäßig Schulungen besucht und abgehalten werden. Zudem sollten die wichtigsten Regelungen transparent in einer praxiseigenen Datenschutzrichtlinie festgehalten werden. Es soll so sichergestellt werden, dass keine Fehler passieren, die auf den Praxisinhaber zurückzuführen sind, und er seiner Aufsichts- und Anleitungspflicht vollumfassend nachgekommen ist.

Was ist ein Datenschutzvorfall? Meldepflicht bei Verstößen!

Der Datenschutz in der Arztpraxis hat höchste Priorität. Trotzdem kann es zu einem Verlust des Praxis-Laptops, einem Hackerangriff oder einer unbewussten Veröffentlichung von personenbezogenen Daten im Internet kommen. Von einem Datenschutzvorfall spricht man, wenn die Sicherheit der personenbezogenen Daten, für die der Arzt verantwortlich ist, verletzt wird oder andere Unregelmäßigkeiten bei der Verarbeitung der Daten auftreten – also die Daten nicht mehr sicher sind. Dabei spielt es keine Rolle, ob die Verletzung der Sicherheit absichtlich oder unbeabsichtigt erfolgt ist.

Bei einem Datenschutzvorfall besteht eine Meldepflicht. Das bedeutet, dass der Praxisinhaber die Verletzung des Schutzes innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde – im Regelfall dem Landesdatenschutzbeauftragten – mitteilen muss.

Außerdem kann es sein, dass die Meldung der Verletzung des Schutzes personenbezogener Daten auch an den betroffenen Patienten weitergegeben werden muss.

Die Meldepflicht ist problematisch, sofern der Verantwortliche sich selbst belasten würde, einen Verstoß gegen die ärztliche Schweigepflicht begangen zu haben. Die Meldung ist dann zwar vorzunehmen. Es besteht aber ein prozessuales Verwertungsverbot und die Meldung kann in einem Strafverfahren oder Ordnungswidrigkeitenverfahren nur mit Zustimmung des Arztes verwendet werden.

Haftungsrisiken und Bußgelder

Sollten die Anforderungen an den Datenschutz in der Arztpraxis nicht erfüllt werden, so drohen dem Praxisinhaber erhebliche Haftungsrisiken und Bußgelder. Der Praxisinhaber haftet gegenüber den Patienten gem. Art. 82 Abs. 1, 2 DSGVO für den Schaden, der durch die rechtswidrige Verarbeitung personenbezogener Daten entstanden ist.

Die Verordnung sieht zudem Bußgelder für verschiedene Verstöße vor, die die Behörde verhängen kann. So kann, je nach Schwere und Folgen des Verstoßes, ein Bußgeld bis zur Höhe von 20. Mio. EUR drohen.