Unklare Regelungen und drakonische Strafen für deren Nichtbeachtung machen das Thema Datenschutz für Startups besonders schwierig. Dabei ist es auch für neugegründete innovative Unternehmen nicht wirklich schwer, den Datenschutz erfolgreich umzusetzen. Es müssen im Wesentlichen die folgenden fünf Grundsätze beachtet werden.

Keine Datenverarbeitung ohne Rechtsgrundlage

Die Datenschutzgrundverordnung (DSGVO) enthält ein grundsätzliches Verbot mit Erlaubnisvorbehalt: personenbezogene Daten dürfen nur dann verarbeitet werden, wenn es dafür eine Erlaubnis gibt, die sogenannte Rechtsgrundlage. Die Liste möglicher Rechtsgrundlagen ist limitiert auf die Folgenden:

  1. Einwilligung: die Person, deren Daten verarbeitet werden soll (die betroffene Person), hat darin eingewilligt
  2. Vertragsvorbereitung oder -erfüllung: das Unternehmen muss die Daten verarbeiten, um den Abschluss eines Vertrages mit der betroffenen Person vorzubereiten oder um Pflichten aus einem Vertrag mit der betroffenen Person zu erfüllen
  3. Rechtliche Verpflichtung: das Unternehmen muss die Daten der betroffenen Person verarbeiten, weil es rechtlich dazu verpflichtet ist
  4. Lebenswichtige Interessen: zum Schutz der lebenswichtigen Interessen der betroffenen oder einer anderen Person müssen die Daten verarbeitet werden
  5. Öffentliche Aufgabe: das Unternehmen muss die Daten verarbeiten, um eine Aufgabe im öffentlichen Interesse oder um eine übergebene staatliche Aufgabe zu erfüllen
  6. Berechtigtes Interesse: sofern gegenlaufende Interessen der betroffenen Personen nicht überwiegen, dürfen die Daten verarbeitet werden, um die berechtigten Interessen des Unternehmens oder Dritter zu wahren
  7. Beschäftigung: das Unternehmen muss die Daten verarbeiten, um einen Mitarbeiter einzustellen, eine laufende Anstellung zu verwalten oder um Pflichten aus dem Arbeitsrecht, Tarifvertrag, etc. zu erfüllen

In der Praxis werden für die meisten Startups die Einwilligung, die Vertragsvorbereitung bzw. -erfüllung, das berechtigte Interesse und (bei Bewerberrn und Mitarbeitern) die Beschäftigung die relevantesten Rechtsgrundlagen sein.

Die Wahl der richtigen Rechtsgrundlage ist elementar, weil eine nachträgliche Änderung nicht möglich ist. Die gewählte Rechtsgrundlage hat auch Auswirkungen auf die Rechte, die betroffene Personen geltend machen können. So kann eine Einwilligung jederzeit widerrufen werden, einer Datenverarbeitung aufgrund des berechtigten Interesses jedoch nur in begründeten Einzelfällen widersprochen werden. Es ist auch nicht möglich, die Einwilligung mit anderen Rechtsgrundlagen zu kombinieren.

Einwilligungen sind oft nicht die beste Lösung

Die Anforderungen an eine rechtliche wirksame Einwilligung wurden in der DSGVO bewusst hoch angesetzt. Dadurch entstehen viele Fallstricke, die bedacht werden müssen, falls auf die Einwilligung als Rechtsgrundlage gesetzt werden soll:

  1. Nachweispflicht: Das Unternehmen muss nachweisen können, dass die betroffene Person tatsächlich eingewilligt hat.
  2. Trennungsgebot: Wird die Einwilligung zur Datenverarbeitung schriftlich erteilt (beispielsweise durch ein Häkchen auf einem Fragebogen oder einem Online-Formular), muss sie separat und losgelöst von anderen Erklärungen erfolgen. Es ist daher beispielsweise nicht zulässig, die Zustimmung zu den AGB mit der Einwilligung in die Datenverarbeitung in einem Häkchen zu bündeln.
  3. Unklare stilistische Vorgaben: Die Bitte zur Einwilligung muss laut DSGVO “in verständlicher und leicht zugänglicher Form in einer klaren und und einfachen Sprache erfolgen”. Wie diese Anforderung im Einzelnen zu verstehen ist, wird nicht geregelt.
  4. Jederzeitiger Widerruf: Die Einwilligung kann jederzeit ohne Angabe von Gründen widerrufen werden. Der Widerruf muss so einfach sein, wie die Erteilung der Einwilligung. Über die Möglichkeit zum Widerruf muss zum Zeitpunkt der Einwilligung informiert werden. Wird die Einwilligung widerrufen, darf das Unternehmen die Daten nicht mehr weiter verarbeiten.
  5. Freiwilligkeit und Kopplungsverbot: Die Einwilligung muss freiwillig, das heißt insbesondere nicht als Bedingung für die Nutzung von Diensten formuliert werden, für die die Daten nicht gebraucht werden. So ist es beispielsweise unzulässig, den Benutzer einer Website aufzufordern, in die Nutzung seiner Daten für Werbezwecke einzuwilligen, bevor er die Website im vollen Umfang nutzen kann.
  6. Aktive Handlung: Die Einwilligung muss durch eine aktive Handlung der Person erfolgen, wie beispielsweise durch das Setzen eines Häkchens in einem Online-Formular. Vorausgefüllte Häkchen, die man abwählen muss, um nicht einzuwilligen (sog. Opt-Out), sind hingegen nicht zulässig. Auch Formulierungen wie “durch die weitere Nutzung dieses Dienstes willigen Sie ein” sind nicht zulässig.

Größtes Manko bei Einwilligungen: die Verletzung nur einer dieser Punkte führt dazu, dass die Einwilligung nie wirksam erteilt wurde. Die Daten wurden damit von Anfang an ohne Rechtsgrundlage verarbeitet, was sowohl Bußgelder durch die Datenschutzbehörden als auch Schadensersatz- und Schmerzensgeldansprüche von betroffenen Personen auslösen kann. Dadurch, dass die Einwilligung nicht mit anderen Rechtsgrundlagen kombiniert werden kann, gibt es für den Fall einer unwirksamen Einwilligung auch keine Alternative, auf die man dann zurückgreifen könnte.

In vielen Fällen ist es daher vorteilhaft, die Datenverarbeitung auf das berechtigte Interesse des Unternehmens zu stützen. In diesem Fall müssen die Interessen des Unternehmens und die Interessen der Person gegeneinander abgewogen werden. Die Abwägung muss dokumentiert werden. Sofern die Interessen der Person nicht überwiegen, dürfen die Daten verarbeitet werden. Betroffene Personen können nachträglich zwar der Verarbeitung widersprechen, müssen aber (von Werbezwecken abgesehen) diesen Widerspruch begründen.

Jede Datenverarbeitung braucht einen oder mehrere Zwecke

Personenbezogen Daten dürfen nur für legitime, eindeutige und festgelegte Zwecke verarbeitet werden. Zwar ist jeder Zweck, der nicht verboten ist, auch legitim. Aber die Anforderung, dass der Zweck eindeutig bestimmbar und vorher festgelegt sein muss, führt im Startup-Kontext oft zu Problemen. Denn oft ist am Anfang noch gar nicht klar, wofür die Daten später einmal verarbeitet werden sollen. Wesenskern eines Startups ist regelmäßig, dass das konkrete Geschäftsmodell und teilweise auch die konkret zu erbringenden Leistungen noch nicht feststehen.

Als Lösung bietet sich hier an, den Zweck so weit zu festzulegen, wie der Geschäftsgegenstand des Unternehmens es zulässt. Dabei sollten auch wahrscheinliche Szenarien der Weitergabe der Daten an Dritte berücksichtigt werden, wenn das zu erwarten ist.

Anders als die Rechtsgrundlage darf der Zweck der Datenverarbeitung auch geändert werden. Für eine rechtmäßige Zweckänderung muss jedoch, sofern dafür keine separate Einwilligung vorliegt, ein Kompatibilitätstest durchgeführt werden, der ebenfalls dokumentiert werden muss. Dabei sind mindestens diese fünf Fragen zu berücksichtigen:

  1. Wie stark ist die Verbindung zwischen dem ursprünglichen und dem neuen Zweck? Um so schwächer die Verbindung, um so unwahrscheinlicher die Kompatibilität.
  2. Ist der Zusammenhang, in dem die Daten erhoben wurden, dabei insbesondere die Beziehung zwischen dem Unternehmen und der Person, kompatibel mit der Änderung? Um so fremder der ursprüngliche Zusammenhang mit dem neuen Zweck, um so schwächer die Komptabilität.
  3. Sind die verarbeiteten Daten besonders geschützt? Die DSGVO schützt bestimmte Daten besonders, darunter Gesundheitsdaten, biometrische, und genetische Daten, aber auch Daten von Minderjährigen. Sind die Daten besonders geschützt, spricht das eher gegen eine Kompatibilität.
  4. Hat die Zweckänderung möglicherweise positive oder negative Folgen für die Person? Um so negativer die möglichen Folgen, um so schwächer die Kompatbilität.
  5. Welche besonderen Garantien wie Verschlüsselung oder Pseudonymisierung sind vorhanden? Um so stärker diese Garantien, um so stärker die Komptabilität.

Wie viele Regelungen der DSGVO verlangt auch der Komptabilitätstest eine bewusste und fundierte Entscheidung im Unternehmen, in der sowohl die eigenen Interessen als auch die Interessen der betroffenen Personen berücksichtigt werden. Diese Entscheidung muss dokumentiert werden, um im Zweifelfall nachzweisen, das sie alle wichtigen Fragen berücksichtigt hat.

Betroffene Personen müssen über die Verarbeitung ihrer Daten informiert werden

Transparenz ist eines der Grundprinzipien des Datenschutzes: betroffene Personen sollen wissen, wie und von wem ihre Daten verarbeitet werden. Nur so können sie in die Lage versetzt werden, ihre Rechte auszuüben. Aus diesem Prinzip heraus ist unter anderem die Pflicht abgeleitet, auf der Website über den Datenschutz zu informieren (die “Datenschutzerklärung”).

Die DSGVO verlangt, dass die Personen über die beabsichtigte Verarbeitung ihrer Daten informiert werden, bevor sie stattfindet. Auch bei jeder Zweckänderung müssen die Personen über diese Zweckänderung informiert werden. “Heimliche” Datenverarbeitungen sind per se rechtswidrig.

Betroffene Personen müssen auch über die Verarbeitung ihrer Daten informiert werden, wenn die Verarbeitung eigentlich “offensichtlich” oder “zu erwarten” ist und auch, wenn die Verarbeitung gesetzlich vorgeschrieben ist. Es darf beispielsweise nicht einfach unterstellt werden, Kunden wüssten, dass das Unternehmen Rechnungen an Kunden aufgrund gesetzlicher Aufbewahrungspflichten 10 Jahre und Kunden-E-Mails 6 Jahre aufbewahren muss.

Die Informationspflichten umfassen regelmäßig die folgenden Angaben:

  1. Namen und Kontaktdaten des Unternehmens, das die Daten verarbeitet
  2. Kontaktdaten des Datenschutzbeauftragten (soweit vorhanden)
  3. die Zwecke der Datenverarbeitung
  4. die Rechtsgrundlage der Verarbeitung, mit jeweils unterschiedlichen Details
  5. die konkreten Interessen, die verfolgt werden, falls das berechtigte Interesse als Rechtsgrundlage verwendet wurde
  6. an wen Daten übermittelt werden (die Angabe von Kategorien von Empfängern ist möglich)
  7. ob Daten an ein Drittland oder eine internationale Organisation übertragen werden, und unter welchen Garantien
  8. die Dauer der Speicherung oder die Kriterien für die Festlegung der Speicherdauer
  9. Informationen über die Betroffenenrechte (d.h. Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit, Beschwerderecht)
  10. ob die Daten für automatische Entscheidungsfindungen (inkl. Profiling) verwendet werden und welche angestrebten Folgen das für die Person hat

Für die Erstellung einer “Datenschutzerklärung” für die Nutzung von Websites gibt es eine Reihe automatisierter Tools, die es insbesondere erleichtern, auf Plugins, Cookies und andere eingebundene Inhalte einzugehen. Für andere Datenverarbeitungen beispielsweise in Apps, technischen Geräten oder komplexen Anwendungen wird es regelmäßig notwendig sein, individuell angepasste Datenschutzhinweise zu erstellen.

Unternehmen müssen nachweisen können, dass sie betroffene Personen über die Datenverarbeitung informiert haben. Entsprechend bietet es sich regelmäßig an, sich von den Personen durch anzukreuzende Häkchen auf gedruckten oder elektronischen Formularen bestätigen zu lassen, dass die Hinweise zur Kenntnis genommen wurden. Dabei müssen aber dringend Formulierungen vermieden werden, nach denen die Person den Hinweisen “zustimmt” oder in sie “einwilligt”, um einen Vertragscharakter zu vermeiden.

Neben Kunden müssen auch Mitarbeiter, Lieferanten und Gesellschafter geschützt werden

Der Datenschutz soll alle Menschen schützen, egal in welcher Rolle sie tätig werden. Daher müssen Unternehmen beim Datenschutz nicht nur (potenzielle, tatsächliche und ehemalige) Kunden berücksichtigen, sondern auch andere Stakeholder, deren Daten das Unternehmen verarbeitet:

  • Bewerber müssen vor Eingang ihrer Bewerbung über die Verarbeitung ihrer Daten informiert werden. Dazu bietet es sich an, in der Stellenanzeige auf die Datenschutzbelehrung zu verweisen. Werden Bewerbungen per E-Mail empfangen, sollte ein Autoresponder eingerichtet werden, der über die Datenverarbeitung informiert. Wird eine eingereichte Bewerbungen nicht mehr gebraucht, muss sie gelöscht werden.
  • Mitarbeiter müssen zu Beginn ihres Anstellungsverhältnisses über die Verarbeitung ihrer Daten informiert werden. Sie müssen auch über die Pflichten ihres Arbeitsgebers zum Datenschutz (z.B. gegenüber Kunden) geschult bzw. belehrt werden. Fotos von Mitarbeitern dürfen regelmäßig nur mit Einwilligung der Mitarbeiter erstellt und im Internet (inkl. Facebook, Twitter, etc.) veröffentlicht werden.
  • Lieferanten und Partner sind zwar oft Unternehmen, sie werden aber regelmäßig von einzelnen Personen vertreten. Über die Verarbeitung ihrer Daten müssen diese Personen ebenfalls informiert werden, beispielsweise durch eine Standard-Datenschutzbelehrung, die den Vertretern von Lieferanten und Partnern unaufgefordert per E-Mail zugesandt wird.
  • Gesellschafter müssen ebenfalls über die Verarbeitung ihrer Daten informiert werden.

Wie zuvor gibt es keinen Zusammenhang zwischen Rechtsgrundlage und Informationspflicht: die Tatsache, dass eine Datenverarbeitung vielleicht offensichtlich oder zu erwarten ist oder auch gesetzlich vorgeschrieben ist, verringert nicht die Pflicht des Unternehmens, über diese Verarbeitung zu informieren – und dann auch zu dokumentieren, dass entsprechend informiert wurde.

Um so höher das Risiko, um so umfangreicher die Schutzmaßnahmen

Die Regelungen zum Datenschutz sind durchgehend risikobasiert formuliert: um so höher das Risiko für die betroffene Person, um so stärker müssen die damit verbundenen Schutzmaßnahmen ausfallen. Dabei muss nicht nur das Risiko betrachtet werden, das durch die Verarbeitung der Daten an für sich entsteht, sondern auch das Risiko, falls Daten in falsche Hände gelangen, manipuliert oder zweckentfremdet werden.

So definiert die DSGVO die Kategorie der besonders geschützten Daten:

  • Gesundheitsdaten
  • Genetische Daten
  • Biometrische Daten
  • Daten zum Sexualleben oder zur sexuellen Orientierung
  • Daten zur politischen Meinung
  • Daten zur Zugehörigkeit zu einer Gewerkschaft
  • Daten zu Religion oder Weltanschauung
  • Daten zur ethnischen Herkunft
  • Daten zu strafrechtlichen Verurteilungen und Straftaten

Für diese Daten gilt, dass sie nur verarabeitet werden dürfen, sofern zusätzlich zur Rechtsgrundlage mindestens ein besonderer Erlaubnistatbestand vorliegt, von denen für Startups in Regel nur die folgenden relevant sind:

  1. die Person hat in die Verarbeitung der besonders geschützten Daten ausdrücklich eingewilligt
  2. die Verarbeitung ist erforderlich, damit Rechte aus dem Arbeitsrecht oder dem Sozialrecht ausgeübt werden können
  3. die Verarbeitung ist aus lebenswichtigen Interessen der Person erforderlich und die Person ist nicht in der Lage einzuwilligen
  4. die Verarbeitung bezieht sich auf Daten, die von der Person bereits selbst veröffentlicht wurden
  5. die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich
  6. die Verarbeitung ist aufgrund eines konkret normierten erheblichen öffentlichen Interesses notwendig
  7. die Verarbeitung ist im Kontext der individuellen Gesundheitsversorgung erforderlich und erfolgt durch der Schweigepflicht unterliegendes medizinisches Fachpersonal
  8. die Verarbeitung ist aus Gründen der öffentlichen Gesundheit (z.B. Schutz vor Epidemien) oder zur Gewährleistung von Qualitäts- und Sicherheitsstandards im Gesundheitswesen erforderlich
  9. die Verarbeitung ist für Forschungs- und statistische Zwecke erforderlich

Neben diesem Schutz nach der Art der Daten werden auch bestimmte Zwecke als risikobehafteter als andere angesehen. Dazu gehören beispielsweise die systematische und regelmäßíge Überwachung von Personen, die Bildung von Profilen für automatisierte Entscheidungen wie Kreditscoring, die Nutzung von Sensoren zur Erfassung von Gesundheitsdaten (z.B. Fitness-Armbänder), die Markt- und Meinungsforschung, und viele mehr. In solchen Fällen sind Unternehmen verpflichtet, einen Datenschutzbeauftragten zu benennen und eine sogenannte Datenschutz-Folgenabschätzung durchzuführen.

Fazit

Den Datenschutz fest im Unternehmen zu verankern, ist in vielen Fällen mit überschaubarem Aufwand machbar. Wichtig ist, sich als Unternehmen im zumutbaren Umfang zu bemühen, die Datenschutzregeln einzuhalten, und das auch nachweisen zu können. Den Kopf in den Sand zu stecken in der Hoffnung, dass schon nichts passieren würde, wird hingegen doppelt teuer: im Beschwerdefall wird dann nicht nur der konkrete Datenschutz sanktioniert, sondern zusätzlich und separat auch das Datenschutz-Management, wie es tatsächlich gelebt ist. Gelingt es dem Unternehmen dann nicht, seiner Dokumentatonspflicht aus der DSGVO nachzukommen und zu demonstrieren, dass die Datenschutzregeln eingehalten werden, können Bußgelder von bis zu 20 Mio. Euro oder bis zu 4 % des Vorjahresumsatzes (die jeweils höhere Grenze ist entscheidend) verhängt werden.

Aktuelle rechtliche Grundlage des Datenschutzes ist die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union. Sie gilt seit 2018 und wurde mit dem Zweck beschlossen
zu verhindern, dass Menschen durch die Verarbeitung ihrer Daten in ihren Rechten und Freiheit verletzt werden .
Das klingt vage und ist auch so gemeint. Warum?

Anders als die meisten anderen normativen Gesetze, die konkrete Vorgaben machen, was wie wann zu tun ist und was bestraft wird, wenn es nicht so bis dahin getan wird, ist die Datenschutz-Grundverordnung prinzipienorientiert: sie enthält viele Grundsätze, die beachtet werden müssen, ohne im Text selbst genau festzulegen, wie sie im Detail umgesetzt werden müssen.

Das hat zur Folge, dass jeder, der personenbezogene Daten verarbeiten möchte, eine Reihe von Entscheidungen selbständig treffen muss, um den geforderten Schutz zu gewährleisten. Es gibt beispielsweise kein vorgegebenes Muster für eine Datenschutzbelehrung (anders als beispielsweise beim Widerrufsrecht), kein Entscheidungsschema und keine Whitelist für die Interessenabwägung, keine Formulierungsvorgaben für Einwilligungen (anders als die Verbraucherschutzrichtlinie mit ihrem “Kostenpflichtig bestellen”) und auch keine Liste von konkreten technischen Maßnahmen (wie Passwortschutz, SSL/TLS-Verschlüsselung, Rechtemanagement, etc.), die zwingend umgesetzt werden müssen. Aber es gibt sehr wohl Vorgaben, dass über den Datenschutz zu belehren, Interessen abzuwägen, Einwilligungen eindeutig und transparent zu formulieren und technische Maßnahmen zum Schutz der Daten auf dem Stand der Technik zu ergreifen sind.

Dabei haben die Datenschutzregeln transformatorischen Charakter: sie sollen dazu führen, dass Unternehmen sich grundsätzlich auf eine bestimmte Art und Weise verhalten, wenn es um personenbezogene Daten geht. Da die Verarbeitung personenbezogener Daten heutzutage nicht mehr wegzudenken ist und alle Beziehungen mit Stakeholdern (d.h. Kunden, Lieferanten, Mitarbeiter, Gesellschafter, Behörden etc.) davon betroffen sind, führt die konsequente Umsetzung des Datenschutzes zwangsläufig zu Anpassungen in fast allen Kern- und Nebentätigkeiten eines Unternehmens.

Warum wurden die Bestimmungen vage gehalten? Damit die Datenschutzregeln für alle Branchen und alle Situationen, in denen Daten verarbeitet werden, gleichermßanen funktionieren können. Die EU-Gremien haben sich dazu entschlossen, ein einzelnes Regelwerk zu schaffen, das in allen EU-Mitgliedsstaaten (mit wenigen Ausnahmen) gleich funktioniert. Es sollen dieselben Grundregeln für Apotheke und für Bäcker, für Hedge Fonds und für Kaninchenzüchtervereine, für Automobilkonzerne und für Tech Startups gelten.

Die unbestimmten Regelungen sollen aber nicht darüber hinwegtäuschen: deren Nichtbeachtung kann existenzbedrohende Folgen haben. Den Datenschutzbehörden steht ein umfangreicher Katalog an Sanktionsmöglichkeiten zur Verfügung, der neben erheblichen Bußgeldern auch Handlungs-, Löschungs- und Untersagungsverfügungen, Widerruf von Zertifizierungen und Verbot der Übermittlung von Daten an Dritte enthält. Zusätzlich dürfen aber auch Personen, deren Daten entgegen der Datenschutzregeln verarbeitet werden, zivilrechtlich dagegen vorgehen und Schadensersatz sowie Schmerzensgeld einklagen.

Die Kombination aus Regeln, die primär Grundsätze festlegen und vor Details zurückschrecken, verbunden mit empfindlichen Sanktionierungsmöglichjeiten hat zwei wichtige Folgen:

  • Wer sich nachweislich nachhaltig und im zumutbaren Umfang bemüht, die Prinzipien der Datenschutz-Grundverordnung zu beachten, kann dafür nicht bestraft werden, selbst wenn es einmal zu einem Datenleck kommt.
  • Wer nur das Mindeste tut, nur Checklisten abarbeitet und Datenschutz nur als einmalig zu erledigende Aufgabe versteht, wird es im Konfliktfall mit den Aufsichtsbehörden oder mit betroffenen Personen schwer haben, nicht in finanzielle und ggf. auch wirtschaftliche Notlage zu geraten.

Ein laufendes Datenschutzmanagement, dass kontinuierlich Auswirkungen auf die Geschäftstätigkeit hat, ist daher für jedes Unternehmen unersetzlich.

Nach den aufsehenerregenden Datenschutz-Sanktionen gegen Deutsche Wohnen (wegen nicht gelöschter Interessentendaten) und Lieferheld (wegen Newsletter-Versand trotz Abmeldung) wurde nunmehr das erste sechsstellige Bußgeld im Gesundheitssektor verhängt.

Wie der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland Pfalz am 3. Dezember 2019 mitteilte, wurden in Folge einer (!) Patientenverwechslung gravierende technische und organisatorische Mängel beim Datenschutz in einem Krankenhaus festgestellt. Zwar hat die Behörde die Bemühungen der Einrichtung, ihr Datenschutzmangement fortzuentwickeln und zu verbessern, positiv gewürdigt. Dennoch hilt sie es für notwendig und angemessen, die Datenschutzverstöße mit einer Geldstrafe in Höhe von 105.000 Euro zu belegen.

In ihrer Pressemitteilung machte die Behörde deutlich, dass es bei Bußgeldern neben der Sanktionierung des eigentlichen Verstoßes auch um eine abschreckende Wirkung geht:

“Mir kommt es darauf an, dass mit Blick auf die besondere Sensibilität der Daten beim Gesundheitsdatenschutz substanzielle Fortschritte erzielt werden. Daher hoffe ich, dass die Geldbuße auch als Signal gewertet wird, dass die Datenschutzaufsichtsbehörden auf dem Feld des Umgangs mit Daten im Gesundheitswesen besondere Wachsamkeit an den Tag legen.”

Prof. Dr. Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz

Patientenunterlagen in vielen Fällen falsch versandt

Dabei kommt es gar nicht so selten vor, dass Patientenunterlagen in falsche Hände gelangen. Zeitgleich zur Mitteilung der rheinland-pfälzischen Aufsichtsbehörde veröffentlichte der NDR einen Bericht über massenhaftes Fehlversenden von Patientendokumenten. Den Angaben des NDR zufolge wurden seit Inkrafttreten der DSGVO im Mai 2018 mehr als 850 Fälle von Datenpannen an die Behörden gemeldet, bei denen Patientenunterlagen von Kliniken, Arztpraxen, Laboren und Abrechnungsstellen an die falschen Empfänger versandt wurden. Ursache war regelmäßig menschliches Versagen: falsche Adressierung oder Kuvertierung, Tippfehler, Verwechslungen von Patienten und Ärzten. Die meisten gemeldeten Fälle gab es demnach in Bayern (383), die wenigsten in Bremen (21).

Effektives Datenschutzmanagement dringend geboten

Für Betreiber von Krankenhäusern und MVZ bedeuten diese Vorfälle und die damit verbundene Aufmerksamkeit der Datenschutzbehörden, dass ein effektives Datenschutzmanagement dringend geboten ist. Dazu gehört die Erfüllung der formalen Anforderungen wie die Pflege eines Verzeichnisses der Verarbeitungstätigkeiten, die Belehrung der Patienten zum Datenschutz sowie das Abschließen von Vereinbarungen zur Auftragsverarbeitun oder zur Datenübermittlung.

Aber mindestens genauso wichtig ist die nachweislich erfolgreiche Umsetzung technischer und organisatorischer Maßnahmen (TOM) zur Sicherstellung eines angemessenen Schutzniveaus nach Art. 24 DSGVO. Die zuletzt immer höheren Bußgelder zeigen, dass sich die Behörden die tatsächlichen Gegebenheiten in den Einrichtungen im Detail anschauen und unzulängliche Maßnahmen rigoros sanktioniren.

Helfen kann dabei neben der Einschaltung eines externen Datenschutzbeauftragten auch ein Datenschutz-Audit zur Erkennung und Beseitigung von Schwachstellen im Datenschutzmanagement.

Am 5. November 2019 teilte die Berliner Beauftragte für Datenschutz und Informationsfreiheit per Pressemitteilung mit, dass sie gegen Deutsche Wohnen SE ein Bußgeld in Höhe von 14,5 Millionen Euro verhängt hat. Mit dieser Sanktion durchbricht die Behörde alle bisherigen Rekorde in Deutschland, was Bußgelder wegen Verstößen gegen die Datenschutzgrundverordnung (DSGVO) angeht. Zum Vergleich: das bisher höchste Bußgeld in Deutschland lag bei “nur” knapp 190.000 Euro.

Welche Lehren können Unternehmen und Organisationen nun aus dem Verfahren ziehen, um ähnlich drastische Strafen zu vermeiden? Schließlich sieht die DSGVO Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 % des Jahresumsatzes vor, je nachdem welche Grenze höher (!) ist.

1. Auflagen der Aufsichtsbehörden sind ernst zu nehmen

Einer der Hauptgründe dafür, dass das Bußgeld überhaupt so hoch ausfiel, war, dass die Behörde bereits im Juni 2017 bei einem Vor-Ort-Termin erhebliche Mängel festgestellt und Vorgaben zru Behebung gemacht hatte. Bis zur nächsten Prüfung im März 2019 ist dann aber nicht viel geschehen. Die eineinhalb Jahre Umsetzungszeitraum wurden nach Aussage der Behörde zwar für “Vorbereitungen zur Beseitigung der aufgefundenen Missstände” genutzt. Gleichwohl führten die getroffenen Maßnahmen nicht zur “Herstellung eines rechtmäßigen Zustands bei der Speicherung personenbezogener Daten”.

Im Artikel 83 der DSGVO werden allgemeine Grundregeln für die Verhängung von Bußgeldern festgelegt. Dabei soll eine ganz entscheidende Rolle spielen, inwiefern Unternehmen Maßnahmen zur Verringerung und Vermeidung von Schäden für betroffene Personen ergriffen habel, in welchem Umfang sie bei der Behebung des Datenschutzverstoßes mit der Aufsichtsbehörde zusammengearbeitet haben und ob ausdrückliche Vorgaben der Aufsichtsbehörde eingehalten wurden. Diese Punkte müssen alle angemessen strafmindernd berücksichtigt werden, oder halt strafverschärfend, wenn sie ausbleiben. Die DSGVO gibt also schon einen Weg vor, wie das Bußgeldrisiko noch verringert werden kann, selbst wenn Mängel bereits identifiziert wurden.

Lehre: Wenn Aufsichtsbehörden in Prüfungen Mängel beim Datenschutz feststellen, sind Unternehmen gut beraten diese umgehend zu beheben. Für den Fall, dass ein Unternehmen die Feststellungen der Behörde als fehlerhaft betrachtet, sollten Einsprüche eingelegt und ggf. eine rechtlich bindende Einschätzung vor Gericht erstritten werden. Eine Taktik, die im Ergebnis auf eine Hinauszögern von Maßnahmen abzielt, erhöht das Bußgeldrisiko hingegen immens.

2. Gesetzliche Aufbewahrungsfristen sind kein Freifahrschein für unbeschränktes Speichern von Daten

Kern der Auseinandersetzung im vorliegenden Fall ist der Einsatz eines Archivsystems für Dokumente, das eine tatsächliche Löschung technisch schlicht nicht vorsieht. Als Begründung hierfür werden die Revisionssicherheit (d.h. die Nachvollziehbarkeit aller Änderungen und Unmöglichkeit von Datenverlusten) und die Erfüllung gesetzlicher Aufbewahrungsfristen genannt. So sieht beispielsweise § 257 HGB vor, dass u.a. Handelsbücher, Jahresabschlüsse, aber auch Belege für Buchungen 10 Jahre, empfangene und versandte Geschäftsbriefe 6 Jahre aufzubewahren sind. Einfach alle Dokumente ohne zeitliche Beschränkung aufzuheben erscheint unter diesem Gesichtspunkt auf dem ersten Blick unproblematisch, zumal Art. 6 Abs. 1 lit c DSGVO die Erfüllung rechtlicher Verpflichtungen, zu denen gesetzliche Aufbewahrungspflichten gehören, explizit als erlaubte Rechtsgrundlage aufführt.

Jedoch, so einfach ist das nicht. Die in der DSGVO genannten Rechtsgrundlagen für die Verarbeitung personenbezogener Daten stellen Ausnahme in einem Regel-Ausnahme-Konstrukt dar und sind daher immer eng auszulegen. Die Regel ist, dass personenbezogene Daten grundsätzlich nicht verarbeitet werden dürfen. Die Ausnahme ist, dass es unter ganz bestimmten eng umfassten Umständen (z.B. zur Erfüllung gesetzlicher Aufbewahrungsfristen) eben doch erlaubt ist. Aber auch unter diesen Umständen muss sich die Verarbeitung auf diesen Zweck beschränken und es müssen technisch-organisatorische Maßnahmen ergriffen werden, die verhindern, dass eine Verarbeitung auch zu anderen Zwecken erfolgen kann. Die Grundsätze der DSGVO aus Artikel 5 wie Zweckbindung, Datenminimierung und Speicherbegrenzung müssen beachtet werden, selbst wenn das Speichern der Daten gesetzlich vorgeschrieben ist.

Lehre: Wenn ein Unternehmen ein Archivsystem für Dokumente einsetzen möchte, muss darauf geachtet werden, dass es DSGVO-konform genutzt werden kann und auch so genutzt wird. Dazu gehört, dass die Grundprinzipien aus Art. 5 DSGVO von der Software vollumfänglich unterstützt werden müssen.

3. Personenbezogene Daten, die nicht mehr benötigt werden, müssen gelöscht werden

Ein Archivsystem, dass keine wirkliche Löschung von Daten vorsieht, ist per se ungeeignet, personenbezogene Daten zu verwalten. Die DSGVO sieht nun einmal vor, dass Daten nur so lange verarbeitet werden dürfen, wie sie für den jeweiligen Zweck benötigt werden. Das heißt auch: Daten müssen unverzüglich gelöscht werden, wenn sie für den jeweiligen Zweck nicht mehr gebraucht werden. Der Gesetzgeber hat sich bewusst dagegen entschieden, Unternehmen den Aufbau großer Datensilos quasi “auf Vorrat” zu erlauben, für den Fall der Fälle, dass sie einmal nützlich sein könnten. Neben der wegfallenden Notwendigkeit gibt es aber auch noch eine Reihe weiterer in Artikel 17 beschriebener Umstände, bei deren Eintreffen Daten gelöscht werden müssen, so beispielsweise bei Widerruf einer erteilten Einwilligung oder bei einem berechtigten Widerspruch.

Lehre: Unternehmen müssen ein Löschkonzept entwickeln und weitere technisch-organisatorische Maßnahmen treffen, die eine (endgültige!) Löschung nach Wegfall der Rechtsgrundlage für die Speicherung sicherstellen.

Es gibt mehrere Gründe, warum Sie einen Datenschutzbeauftragten benennen sollten. Oft ist die Benennung eines Datenschutzbeauftragten aufgrund gesetzlicher Vorgaben verpflichtend. In bestimmten Branchen wie beispielsweise im Gesundheitswesen kann sich die freiwillige Benennung eines Datenschutzbeauftragten positiv sowohl auf die Ertragslage als auch Ihr Image als Arbeitgeber auswirken.

Pflicht zur Benennung eines Datenschutzbeauftragten

Es ist nicht immer auf den ersten Blick offensichtlich, ob ein Unternehmen oder eine Organisation einen Datenschutzbeauftragten bestellen muss. Gab es unter altem Datenschutzrecht bis 2018 nur eine Handvoll Kriterien, so ist die Zahl der Fälle, in denen eine Pflicht zur Bestellung besteht, mit dem Inkrafttreten der DSGVO und des neuen Bundesdatenschutzgesetzes förmlich explodiert.

Folgende Entscheidungshilfe soll Ihnen einen Überblick geben, ob für Sie eine gesetzliche Pflicht zur Benennung eines Datenschutzbeauftragten besteht. Sobald mindestens eines der genannten Kriterien auf Sie zutrifft, sind Sie verpflichtet einen Datenschutzbeauftragten zu bestellen:

 KriteriumBeispiele
1Sie sind eine Behörde oder andere öffentliche Stelle.Finanzamt, Stadtverwaltung, Verkehrsbetriebe
2Sie beschäftigen regelmäßig mindestens 20 Personen, die automatisiert personenbezogene Daten verarbeiten. 
3Sie verarbeiten Daten auf eine Art, in einem Umfang oder zu einem Zweck, für die eine umfangreiche regelmäßige und systematische Überwachung von Personen erforderlich ist.Sicherheitsdienste
4Sie verarbeiten auf umfangreiche Art und Weise eine oder mehrere Arten folgender besonders geschützter Daten:

  1. Gesundheitsdaten
  2. Genetische Daten
  3. Biometrische Daten
  4. Daten zum Sexualleben oder zur sexuellen Orientierung
  5. Daten zur politischen Meinung
  6. Daten zur Zugehörigkeit zu einer Gewerkschaft
  7. Daten zu Religion oder Weltanschauung
  8. Daten zur ethnischen Herkunft
  9. Daten zu strafrechtlichen Verurteilungen und Straftaten
  10. Daten, die dem Sozial-, Berufs- oder Amtsgeheimnis unterliegen
  11. Daten zum vorübergehenden oder permanenten Aufenthalt von Personen
Krankenhäuser, Parteien, Träger großer sozialer Einrichtungen, Betrieb eines Insolvenzverzeichnisses, Große Anwaltssozietät, Tracking von Kundenbewegungen in Warenhäusern, Verkehrsstromanalysen
5Sie verarbeiten (egal in welchem Umfang) eine oder mehrere Arten besonders geschützter Daten und eines oder mehrere der folgenden Kriterien trifft zu:

  1. Sie erheben diese Daten nicht nur einmalig mittels der innovativen Nutzung von Sensoren oder mobilen Anwendungen und empfangen und bereiten diese Daten an einer zentralen Stelle auf.
  2. Als Anbieter neuer Technologien verwenden Sie die Daten, um die Leistungsfähigkeit von Personen zu bestimmen.
Telemedizin, Auswertungen von Fitness-Armbändern
6Sie verarbeiten (egal in welchem Umfang) Daten zu einen oder mehreren der folgenden Zwecke

  1. anonyme oder nicht-anonyme Übermittlung an Dritte
  2. Marktforschung
  3. Meinungsforschung
 
7Sie verarbeiten (egal in welchem Unfang) biometrische oder genetische Daten und eines oder mehrere der folgenden Kriterien trifft zu:

  1. Verarbeitung von Daten zu schutzbedürftigen Personen
  2. Systematische Überwachung
  3. Innovative Nutzung neuer technologischer oder organisatorischer Lösungen
  4. Bewerten oder Einstufen (Scoring)
  5. Abgleichen oder Zusammenführen von Datensätzen
  6. Automatisierte Entscheidungsfindung mit erheblicher Wirkung auf natürliche Personen
  7. Verhinderung der Ausübung eines Rechts, der Nutzung eines Dienstes oder der Durchführung eines Vertrages
Verwendung biometrischer Systeme zur Zutrittskontrolle, Früherkennung von Erbkrankheiten bei Neugeborenen, Genetische Datenbank zur Abstammungsforschung
8Sie bewerten, ausgehend von automatisierten Verarbeitungen (z.B. durch Profiling, Bewertungsportalen, Artbeitnehmerüberwachung), persönliche Aspekte einer Person systematisch und umfassend, um Entscheidungen zu treffen, die erhebliche Auswirkungen auf diese oder andere Personen haben.Systeme zur Betrugsverhinderung, Scoring durch Auskunfteien, Banken und Versicherungen
9Sie erheben und veröffentlichen oder übermitteln in umfangreicher Art und Weise Daten, die zur Bewertung des Verhaltens oder anderer persönlicher Aspekte von Personen dienen und von Dritten genutzt werden, um Entscheidungen mit erheblicher Wirkung auf diese Personen zu treffen.Betrieb von Bewertungsportalen, Inkassodienstleisterd
10Sie verarbeiten in umfangreicher Art und Weise Daten über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit eingesetzt werden können, aus denen sich eine erhebliche Wirkung auf diese Personen ergibt.Einsatz von Data-Loss-Prevention-Systemen, Geolokalisierung von Beschäftigten
11Sie erfassen in großem Umfang und auf optisch-elektronische Art und Weise Daten in öffentlichen Bereichen.Daten aus den Umgebungssensoren von Fahrzeugen
12Sie verarbeiten Daten zur Erstellung umfassender Profile über die Interessen, die persönlichen Beziehungen oder die Persönlichkeit einer oder mehrerer Personen.Betrieb von Dating- und Kontaktportalen oder sozialen Netzwerken
13Zur Entdeckung vorher unbekannter Zusammenhänge für nicht im Vorhinein bestimmte Zwecke:

  1. führen Sie in großem Umfang Daten aus verschiedenen Quellen zusammen,
  2. verarbeiten diese zu Zwecken, für welche die Daten nicht direkt bei den betroffenen Personen erhoben wurden, und
  3. wenden einen für die betroffenen Personen nicht nachvollziehbaren Algorithmus an.
Big-Data-Analyse von Kundendaten, die mit Angaben aus Drittquellen angereichert wurden
13Sie setzen Systeme mit künstlicher Intelligenz ein, um personenbezogen Daten zur Steuerung der Interaktion mit Personen oder zur Bewertung persönlicher Aspekte zu verarbeiten.Einsatz von Chat-Bots im Support
14Sie nutzen Sensoren eines Mobilfunkgeräts oder die Funksignale, die von solchen Geräten versendet werden, um den Aufenthalt oder die Bewegung von Personen über einen erheblichen Zeitraum zu bestimmen.Offline-Tracking von Kundenbewegungen in Warenhäusern, Verkehrsstromanalyse auf der Grundlage von Standortdaten des öffentlichen Mobilfunknetzes
15Sie werten Bild- oder Tonaufnahmen automatisiert aus, um die Persönlichkeit von Personen zu bewerten.Telefongespräch-Auswertung mittels Algorithmen
16Sie erstellen umfassende Profile über Bewegung oder Kaufverhalten.Erfassung des Kaufverhaltens unterschiedlicher Personenkreise zur Profilbildung und Kundenbindung unter Zuhilfenahme von Preisen, Preisnachlässen und Rabatten.
17Sie anonymisieren besonders geschützte Daten zum Zweck der Übermittlung an Dritte.Patientendaten werden durch ein Apothekenrechenzentrum oder eine Versicherung anonymisiert und zu anderen Zwecken selbst verarbeitet oder an Dritte weitergegeben
18Sie verarbeiten Daten, insbesondere bei Verwendung neuer Technologien, in einer Art, in einem Umfang, unter Umständen oder zu einem Zweck, der voraussichtlich ein hohes Risiko für die betroffenen Personen zur Folge hat. 

Wie zählt man die regelmäßig beschäftigten Personen, die automatisiert Daten verarbeiten?

Zu zählen sind alle Personen:

  1. die im Unternehmen bzw in der Organisation ständig beschäftigt sind, unabhängig von ihrem vertraglichen Status oder des Umfangs geleisteter Arbeit (also auch alle Praktikanten, Auszubildenden, Ehrenamtlichen, Geschäftsführer, Organträger, etc.), und
  2. die personenbezogene Daten automatisiert verarbeiten zum Beispiel durch das Abrufen, Lesen und Versenden von E-Mails auf einem PC oder durch das Bearbeiten von Kunden- oder Mitarbeiterdaten in einer Datenbank

Was bedeutet “umfangreiche Art und Weise”?

Wie oben dargestellt sind einige Kriterien nur relevant, sofern die Verarbeitung in umfangreicher Art und Weise geschieht. Die gesetzlichen Bestimmungen geben jedoch keine festen Grenzen vor, ab wann eine Verarbeitung als umfangreich betrachtet werden muss. Es werden auch seitens der Aufsichtsbehörden nur Anhaltspunkte genannt, deren hohes Zutreffen für eine “umfangreiche” Verarbeitung spricht:

  • Menge der verarbeiteten personenbezogenen Daten (Volumen),
  • Verarbeitung auf regionaler, nationaler oder supranationaler Ebene (geografischer Aspekt)
  • Anzahl der betroffenen Personen (absolute Zahl oder in Prozent zur relevanten Bezugsgröße)
  • Dauer der Verarbeitung (zeitlicher Aspekt)

Zusätzlich werden noch folgende Konstellationen genannt, in denen regelmäßig nicht von einer umfangreichen Verarbeitung ausgegangen wird.

  • Verarbeitung von Patientendaten durch einen einzelnen Arzt oder sonstigen Angehörigen eines Gesundheitsberufs
  • Verarbeitung von Mandantendaten durch einen einzelnen Anwalt

Ultimativ liegt es in der Verantwortung des Unternehmens bzw. der Organisation zu entscheiden, ob sie einen Datenschutzbeauftragten ernennt oder nicht. Wird jedoch kein Datenschutzbeauftragter bestellt, obwohl nach dem Gesetz einer bestellt werden müsste, so greifen die drakonischen Bußgeldvorschriften der DSGVO.

Wenn Sie sich unsicher sind, ob Sie einen Datenschutzbeauftragten brauchen oder nicht, kontaktieren Sie uns. Wir beraten Sie gern!