Inhalt

1. Voranmeldung: Seminar „Datenschutz im Konzern“ in München

2. Big Data und der Grundsatz der Zweckbindung

3. EU Datenschutz-Grundverordnung – Aktueller Stand

4. Cookies – Prüfung durch Aufsichtsbehörden

5. Safe Harbor – Datenexporte in die USA unter Beschuss

6. Werbung – Neues zur Nutzung personenbezogener Daten für Werbezwecke

7. Bayerische Datenschutzbehörde – Umgang mit (Online) Bewerberdaten unter der Lupe

8. Neue Tätigkeitsberichte der Aufsichtsbehörden

9. Weiteres in Kürze


2. Voranmeldung: Seminar „Datenschutz im Konzern“ in München

Für die zweite Jahreshälfte 2015 plane ich ein eintägiges Seminar in München (Beginn erlaubt externe Anreise) zum Thema „Datenschutz im Konzern“. Die Kosten werden ca. 100-150 Euro betragen. Bitte registrieren Sie sich bei Interesse unverbindlich unter:  

https://www.thomashelbing.com/de/datenschutz-konzern-muenchen-fachnwalt-it-recht-15-fao-datenschutzbeauftragter-interesse

Seminar-Thema: Datenschutz im Konzern
Ort: München
Dauer: ein Tag (Beginn erlaubt externe Anreise)
Kosten: nur ca. 100-150 EUR (netto)
Datum: 2. Jahreshälfte 2015 (konkretes Datum wird noch mitgeteilt)
Referent: Rechtsanwalt Dr. Thomas Helbing

Geplante Themen sind:

  • Zulässigkeit konzerninterner Datenweitergaben (z.B. CRM, HR-Datenbanken, Shared Service Gesellschaften)
  • Datentransfers ins Ausland (einschließlich Binding Corporate Rules, Safe Harbor, EU Standardvertragsklauseln)
  • Konzerninterne Datenschutzverträge gestalten
  • Aufbau einer wirksamen Datenschutzorganisation im Konzern
  • Datenschutz-Update 2015 (z.B. EU-Datenschutzgrundverordnung, Safe Harbor, Cookies, etc.)
  • Praxisnahe Beispielsfälle
  • Gelegenheit , Kontakte zu anderen Datenschützern zu knüpfen

Betriebliche Datenschutzbeauftragte können mit dem Seminar ihre Fachkunde aufrechterhalten (§ 4f Abs. 2 BDSG). Für Fachanwälte im Informationstechnologierecht kann das Seminar als Fortbildungsmaßnahme dienen (§ 15 FAO).

Jetzt kostenlos und unverbindlich voranmelden

2. Big Data und der Grundsatz der Zweckbindung

In der juristischen Fachzeitschrift „Kommunikation und Recht“ ist im Heft 3/2015 mein Aufsatz zum Thema „Big Data und der datenschutzrechtliche Grundsatz der Zweckbindung“ erschienen. Sie können den Beitrag hier als PDF kostenlos herunterladen.

Der Beitrag erläutert den Zweckbindungsgrundsatz gemäß der EU-Datenschutzrichtlinie, stellt deren Umsetzung im deutschen Recht dar und untersucht auf dieser Grundlage typische Fallgruppen von Big Data Anwendungen und zeigt Möglichkeiten wirtschaftlicher Nutzung.

Zur Kurzzusammenfassung des Beitrags

3. Stand der EU Datenschutz-Grundverordnung

Die Reform des Datenschutzrechts in Europa nahm im Januar 2012 mit dem Entwurf der EU Kommission für eine EU Datenschutzgrundverordnung ihren Lauf. Im März 2014 folgte der Entwurf des EU Parlaments.

Zurzeit diskutiert der Rat, bestehend aus den Regierungsvertretern der Mitgliedsstaaten, über dieFassung des Reformwerks. Laut Lobbyplag soll gerade die Bundesregierung besonders viele Vorschläge einbringen, die zu einer Absenkung des Datenschutzniveaus führen würden. Bedenken zu den geplanten Änderungen äußerten auch die deutschen und europäischen Datenschutzbehörden, weil man in den bekannt gewordenen Vorschlägen des Rats eine Aufweichung des Grundsatzes der Zweckbindung und Datensparsamkeit sieht. Bis Mitte Juni 2015 will sich der Rat auf eine Textfassung geeinigt haben.

Es folgt dann die Abstimmung zwischen Kommission, Parlament und Rat (sogenannter Trilog). Dies dürfte jedenfalls bis Jahresende dauern. Rechnet man die zweijährige Übergangsfrist hinzu greift das neue Regelwerk frühestens Anfang 2018.

So spannend die Reform ist: Aus meiner Sicht lohnt sich für Datenschützer im Unternehmen ein tieferer Einstieg in die Entwürfe und vielen Diskussionspunkte kaum. Ob und worauf man sich am Ende einigen wird ist noch weitgehend offen, oder wie die Englische Aufsichtsbehörde die Entwürfe kommentiert: „Dont read much into them“ (nicht zuviel hineinlesen). Erst wenn der finale Text steht, muss man sich damit umfassend auseinandersetzen. An Artikeln, Seminaren und Workshops wird es dann nicht mangeln.

4. Cookies

Im ersten Quartal 2015 haben sich die Aufsichtsbehörden mit Cookies beschäftigt. Die EU Aufsichtsbehörden haben im Februar 478 der meist besuchtesten Webseiten in Europa in Bezug auf Cookies geprüft und dabei Mängel in Sachen Transparenz und der Einholung von Einwilligungen festgestellt.

Deutsche Aufsichtsbehörden waren an der Prüfung nicht beteiligt. Sie haben stattdessen, meiner Meinung nach zutreffend, auf die mangelhafte Umsetzung der EU-Vorgaben zu Cookies in Deutschland hingewiesen. Vereinfacht gesagt sieht das deutsche Recht eine bloße Informationspflicht vor und verlangt bei der Bildung von Profilen eine Widerspruchsmöglichkeit (Opt-Out). Die europäischen Vorgaben verlangen dagegen im Grundsatz eine Einwilligung (Opt-In), sofern nicht bestimmte Ausnahmeregelungen greifen (z.B. reine Session-Cookies für ein Login).

Das Thema Cookies liegt also im Fokus der Behörden und betrifft viele Unternehmen. Unternehmens-Webseiten müssen Datenschutzhinweise enthalten. Diese müssen auch den Umgang mit Cookies erklären. Dabei genügen keine Floskeln, dass Cookies kleine Textdateien sind, die das Unternehmen nutzt aber darin keine Daten speichert. Erforderlich sind vielmehr Angaben auch über den konkreten Verwendungszweck, ob andere Server den Cookie lesen können sowie zur Speicherdauer. Die Einholung einer Einwilligung gemäß den Vorgaben der EU Richtlinien wird in Deutschland nicht praktiziert und nach meiner Kenntnis von Datenschutzbehörden auch derzeit noch nicht durchgesetzt.

5. Safe Harbor

Werden personenbezogene Daten in Länder außerhalb der EU übermittelt, so müssen besondere Schutzmaßnahmen durch das datenexportierende Unternehmen getroffen werden. Dies gilt zum Beispiel bei der Nutzung von Cloud Diensten, die von US Unternehmen angeboten werden. Bei Exporten in die USA sind die Anforderungen erfüllt, wenn das US Unternehmen sich gemäß den Safe Harbor Bestimmungen selbst zertifiziert hat.

Die Deutschen Datenschutzbehörden haben im März 2015 wiederholt verkündet, es genüge nicht, sich auf die Erklärung des US Unternehmens zu verlassen, man halte die Safe Harbor Grundsätze ein. Vielmehr müsse ein Nachweis der Einhaltung vom US Unternehmen verlangt werden.

Unterdessen haben die Berliner und Hamburger Datenschutzbehörden zwei Musterverfahren gegen deutsche Unternehmen eingeleitet, die Daten auf Basis von Safe Harbor in die USA übermitteln. Sie halten die Datenübermittlungen auf Basis von Safe Harbor vor dem Hintergrund der Enthüllungen von Edward Snowden für unzulässig. Die Bayerische Datenschutzbehörde hat dagegen in ihrem im März 2015 vorgelegten Tätigkeitsbericht für 2013/2014 (dort S. 106) erklärt, sie werde diesbezüglich nicht gegen bayerische Unternehmen vorgehen.

Zurzeit verhandelt auch die EU Kommission mit den USA über eine Neuregelung des Safe Harbor Abkommens. Laut Pressemeldungen soll Ende Mai 2015 ein Textvorschlag der EU Kommission vorliegen.

Parallel dazu läuft ein Verfahren vor dem Europäischen Gerichtshof über die bindende Wirkung von Safe Harbor. Das Gericht befasst sich mit der Frage aufgrund einer Vorlage des Irish High Court, vor dem der Österreichische Datenschutzaktivist Max Schremms geklagt hat, weil die Irische Aufsichtsbehörde seine Beschwerde gegenüber Facebook nicht bearbeiten wollte. Am 25. März 2015 fand dazu eine erste Anhörung statt (umfassend dazu http://www.europe-v-facebook.org/DE/Anzeigen/PRISM/prism.html).

Also alles im Fluss. Was tun? Meine Meinung: Solange Safe Harbor nicht tot ist, lebt es. Mir ist zwar nicht klar, worin die Rechtsgrundlage für die von den deutschen Behörden gestellte „Kontrollpflicht“ liegen soll. Dennoch sollten sich datenexportierende Unternehmen vorsorglich etwaige Testate unabhängiger Dritter über die Einhaltung der Safe Harbor Grundsätze (z.B. TRUSTe) und die jährliche Bestätigungserklärung des US Unternehmens gegenüber dem US Handelsministerium (Reaffirmation Letter) vorlegen lassen und beides dokumentieren. Zudem empfehle ich, in Verträgen – je nach eigener Verhandlungsposition - aufzunehmen, dass sich das US Unternehmen an die Safe Harbor Grundsätze hält, die (Selbst)Zertifizierung aufrechterhält und beides auf Verlangen nachweisen muss. Daneben sollte man versuchen, ein außerordentliches Kündigungsrecht für den Fall aufzunehmen, dass die zuständige Behörde in Deutschland Safe Harbor als ungenügend ansieht. Als Alternative ist denkbar, statt Safe Harbor, einen Vertrag gemäß den EU Standardverträgen für Datenexporte in Drittländer abzuschließen. Diese scheinen Aufsichtsbehörden weiterhin für weniger kritisch zu halten, obwohl hier die Vorbehalte in Bezug auf die Enthüllungen von Edward Snowden in ähnlicher Weise greifen müssten.

6. Werbung – Neues zur Nutzung von personenbezogenen Daten zu Werbezwecken

Für Irritationen sorgte ein Urteil des AG Bad Cannstatt wonach Werbung in einer Auto-Reply-Mail unzulässig sein soll. Das Urteil wurde aber von der Berufungsinstanz aufgehoben. Die Sache liegt jetzt beim Bundesgerichtshof. Ich halte es derweil nicht für nötig aus Auto-Reply Mails jegliche Werbung zu entfernen, solange der BGH dies nicht als unzulässige Werbung beurteilt hat.

Das AG Berlin hat klargestellt, dass Bestätigungs-Mails zur Eröffnung eines Kundenkontos (Online-Shop) unzulässige Werbung darstellen kann. Ich empfehle daher solche E-Mails wie beim Double-Opt-In für Newsletter rein sachlich und völlig werbefrei zu halten.

Die Wettbewerbszentrale hat Shops abgemahnt, die an Bestell-Abbrecher E-Mails geschickt haben.  Gemeint sind Erinnerungsmails an Nutzer, die im Warenkorb ihre E-Mail angegeben, den Kauf dann aber nicht abgeschlossen haben. So effektiv derartige E-Mails sein mögen, es fehlt an einer Rechtsgrundlage.

Im Bericht der Bundesregierung über die Auswirkungen der Änderungen der §§ 28 und 29 des Bundesdatenschutzgesetzes im Rahmen der zweiten BDSG Novelle findet sich ab Seite 3 eine Liste der häufigsten Datenschutzverstöße von Unternehmen im Bereich der Werbung. Fehlende Einwilligungen und fehlende Hinweise auf das Widerspruchsrecht sowie die Missachtung von Widersprüchen stehen ganz oben. 

In einem Urteil des OLG Koblenz ging es um die Zulässigkeit der Einholung eine Werbeeinwilligung für verbundene Unternehmen. Nach Auffassung des Gerichts genügt es nicht, auf „verbundene Unternehmen“ hinzuweisen. Der Kunde wisse nicht, welche das seien. Zu empfehlen ist bei Einwilligungstexten, die auch für Konzernunternehmen gelten, diese explizit aufzulisten oder zumindest auf eine Quelle zu verweisen, wo die Liste eingesehen werden kann. Im Bereich der Versicherungswirtschaft fordern übrigens Aufsichtsbehörden seit jeher bei der Auslagerung wesentlicher Funktionen eine namentliche Auflistung aller Konzerngesellschaften in entsprechenden Einwilligungserklärungen.

7. Bayerische Datenschutzbehörde: Umgang mit (Online) Bewerberdaten unter der Lupe

Die Datenschutz-Aufsicht Bayern hat von sich aus stichprobenhaft Prüfungen zum Umgang mit Bewerberdaten vorgenommen. Schwerpunkte waren die elektronische Erhebung und Löschung. Ein guter Grund den Umgang des eigenen Unternehmens mit Bewerberdaten kritisch zu hinterfragen. Folgende Punkte erscheinen mir wichtig:

  • Das Bewerberportal muss spezifische Datenschutzhinweise enthalten, die allgemeinen Hinweise der Webseite genügen nicht.
  • Sollen Daten an andere Konzernunternehmen weitergegeben werden, bedarf es einer expliziten Einwilligung hierfür (gesondert zu setzendes Häkchen). Das Gleiche gilt für Bewerberpools, also wenn Daten über die Auswahlentscheidung der konkreten Stelle hinaus genutzt werden sollen. Einwilligungen und Datenschutzhinweise sind sauber zu trennen.
  • Die Datenübermittlung muss verschlüsselt erfolgen (https), Passwörter sollten nicht im Klartext übermittelt werden (auch nicht beim Passwort-Reset)
  • Der unternehmensinterne Zugriff auf Bewerberdaten ist auf die relevanten Entscheider und Personaler zu begrenzen. Datenexporte sind zu vermeiden, ebenso das interne Verschicken von Lebensläufen per E-Mail, da diese dann unkontrolliert in Postfächern schlummern.  
  • Vier Monate nach der Auswahlentscheidung (Absage) sind die Daten zu löschen oder endgültig zu anonymisieren. Um wiederkehrende Bewerber zu identifizieren, kann die Erfassung eines pseudonymisierten Identifikationsschlüssels in Betracht gezogen werden.
  • Werden Lösungen von Drittanbietern genutzt (Software as a Service / Cloud / ASP) oder von Drittanbietern gewartet, müssen schriftliche Auftragsdatenverarbeitungsverträge geschlossen werden.

8. Tätgkeitsberichte / Aufsichtsbehörden

Folgende Tätigkeitsberichte von Datenschutzbehörden sind im ersten Quartal 2015 erschienen:

Berlin: Tätigkeitsbericht für 2014 veröffentlicht (25.03.2015)

u.a. mit: Entwicklungen beim Cloud Computing – das Beispiel Office 365, Online-Lernplattformen, Videoaufnahmen in Kitas, Exzessive Datenerhebung bei Mietinteressenten, Scoring-Urteil des Bundesgerichtshofs, Smart TV, WhatsApp

Bayern: Tätigkeitsbericht für 2013/2014 veröffentlicht (23.3.2015)

u.a. mit. Auftragsdatenverarbeitung versus Funktionsübertragung, Adobe Analytics, Bewertungsportale, Online-Tracking, Ausweiskopien bei Banken, Personalausweis, Cloud Computing, Binding Corporate Rules (BCR), Safe Harbor, Dashcams, Fahrzeugdaten, Krankheitsfehlzeiten

Geprüft wurden 100 Fitnessstudios, 107 Autohäuser und 262 Unternehmen aus dem Banken- und Finanzdienstleistungsbereich. Daneben erfolgten 2.236 Online-Prüfungen und 10.238 bayrische Webseiten wurden betreffend Adobe Analytics durchleuchtet.

Schleswig-Holstein: Tätigkeitsbericht 2013/2014 veröffentlicht (24.03.2015)

u.a. zu Facebook Fanpages, SmartTV, Microsoft Office 365, Videoüberwachung

Bremen: Tätigkeitsbericht  2014 veröffentlicht (20.03.2015)

u.a. mit: Fotos und Namen der Beschäftigten auf der Homepage, Einsicht in E-Mail Konto durch Vorgesetzte, reine online Bewerbungsmöglichkeiten, Orientierungshilfe Videoüberwachung

89. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 18. - 19. März 2015 in Wiesbaden

u.a. mit:  Mogelpackung Datenschutzgrundverordnung, fehlender Schutz durch Safe Harbor, Big Data zur Gefahrenabwehr und Strafverfolgung

9. Weiteres in Kürze

OLG Frankfurt: Scoring

Das OLG Frankfurt hat entschieden, dass die Verwertung nur eines einzigen Faktors beim Scoring der Kreditwürdigkeit (Einzelgewerbetreibender) gegen § 28b BDSG verstößt. Wenn zu dünnes Datenmaterial vorhanden ist, muss der Algorithmus also auf die Ermittlung eines Score-Wertes verzichten.  

Bundesarbeitsgericht: Heimliche Video-Überwachung eines Arbeitnehmers rechtswidrig

Laut Bundesarbeitsgericht darf ein Arbeitgeber beim Verdacht einer vorgetäuschten Arbeitsunfähigkeit keinen Detektiv zur Überwachung des Arbeitnehmers beauftragen, wenn sein Verdacht nicht auf konkreten Tatsachen beruht.

ENISA Studie: Cloud Einsatz durch KMUs

Die Europäische Agentur für Netzwerk und Informationssicherheit (ENISA) hat eine Studie veröffentlicht (PDF, Englisch), die kleinen und mittleren Unternehmen helfen soll, die Chancen und Risiken des Einsatzes von Cloud-Angeboten besser einzuschätzen und die „richtigen“ Fragen zu stellen.

Muster Auftragsdatenverarbeitungsvertrag für Gesundheitsbereich

Eine gemeinsame Arbeitsgruppe verschiedener Datenschutz-Verbände hat ein kommentiertes Muster für einen Auftragsdatenverarbeitungsvertrags veröffentlicht, das auf die besonderen Belange des Gesundheitswesens Rücksicht nimmt und den Datenschutz bei der Einschaltung von Dienstleistern im Gesundheitsbereich sicherstellen soll.

Stiftung Datenschutz: Kostenlose Schulungs-Unterlagen

Die Stiftung Datenschutz hat eine gelungene Broschüre mit dem Titel „Was müssen Beschäftigte unbedingt über den Datenschutz wissen? – Eine Handreichung für Beschäftigte in kleinen und mittelständischen Unternehmen” herausgebracht. Diese kann gut für Schulungszwecke eingesetzt werden. Die Broschüre steht kostenlos zum Download und zum Bestellen als Druckversion bereit.

Verbände sollen Unternehmen bei Datenschutzverstößen verklagen können

Die Bundesregierung hat einen Gesetzesvorschlag vorgelegt, wonach Verbände bei Verstößen gegen  datenschutzrechtliche Vorschriften zu Gunsten von Verbrauchern klagen können. Der Entwurf sieht eine Beschränkung vorauf Vorschriften, welche die Zulässigkeit der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten eines Verbrauchers durch einen Unternehmer regeln und zwar zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens von Auskunfteien, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken.  Verbraucherverbände könnten Unterlassungs- und sogar Beseitigungsansprüche gegen Unternehmen geltend machen. Sollte der umstrittene Entwurf Gesetz werden steigt das Sanktionsrisiko bei Datenschutzverstößen. Für die Masse der Unternehmen relevant wären vor allem die Werbung gegenüber Verbrauchern (z.B. Newsletter) und das Tracking auf Webseiten (z.B. mittels Google Analytics oder Piwik).

Datenschutz in der Arztpraxis

Eine sehr gelungene Webseite zum Datenschutz in der Arztpraxis hat die Aufsichtsbehörde in Rheinland Pfalz veröffentlicht: http://www.mit-sicherheit-gut-behandelt.de/

ENISA: Privacy by Design

Wie können Produkte technisch so entwickelt werden, dass sie von Haus aus ein Höchstmaß an Datenschutz und -sicherheit bieten? Mit dieser Frage beschäftigt sich eine Studie (PDF, Englisch) der ENISA. Der Fokus liegt dabei auf technischen Maßnahmen wie Authentifizierung, Verschlüsselung, Anonymisierung und Pseudonymisierung und sicheres Speichern.