Welcome to evolve studio agency

Creative Designs

Professional Minds

Unique Brand

  • Anmelden, um Kommentare verfassen zu können
German

Nutzen und Vorteile

  • DSGVO Anforderungen für Software und IT-Systemen verstehen und prüfen
  • Bereits im Beschaffungs- bzw. Entwicklungsprozess alle relevanten Anforderungen abfragen bzw. umsetzen
  • Fehlanschaffungen und -entwicklungen vermeiden
  • Externe und interne Beratungszeiten und -kosten senken 

Zielgruppe

  • Einkäufer
  • IT-Abteilungen
  • Datenschutzbeauftragte
  • Rechtsanwälte
  • Inhouse-Juristen (Rechts- und Compliance-Abteilungen)
  • Datenschutz-Berater
  • Projektleiter

Geeignet für jegliche Art von Software und IT-Systeme (Cloud, on-Premise, mit oder ohne Hardware), entwickelt für mittelgroße und große Systeme und Audits.

Hintergrund

DSGVO Compliance von Software sicherstellen

Die frühzeitige Prüfung und Sicherstellung von DSGVO-Anforderungen ist sowohl bei der Beschaffung von Fremd-Software oder Cloud-Lösungen als auch bei der Eigenentwicklung durch Softwareanbieter wichtig. Durch frühzeitige Definition und Abfrage der DSGVO-Konformität lassen sich Fehlanschaffungen bzw. Fehlentwicklungen vermeiden.

Software, die sich nicht DSGVO-konform einsetzen lässt, ist mangelhaft und kann weder eingesetzt noch an Kunden verkauft werden, ohne erhebliche Haftungsrisiken in Kauf zu nehmen. Dies gilt z.B. bei fehlenden Lösch- oder Datenexport-Funktionen, kritischen Subdienstleistern oder mangelhaften Angaben des Herstellers zum Datenumfang.

Datenschutzberatung ist teuer und zeitaufwändig, interne und externe Ressourcen sind begrenzt. Existierende Checklisten sind für Datenschutzlaien und Nicht-Juristen häufig abstrakt und unverständlich.

Mit meiner „DSGVO Checkliste Software“ erhalten Sie ein mächtiges Werkzeug und erfassen die datenschutzrechtlichen Anforderungen für Software umfassend. Alle Fragen und Begrifflichkeiten werden erläutert. Viele prägnante Beispiele verdeutlichen die Anforderungen praxisnah. Die Checkliste eignet sich für interne und externe Audits - und für alle, die wissen wollen, ob Software DSGVO eingesetzt werden kann.

Download

Checkliste jetzt kostenlos herunterladen (keine Registrierung nötig)

"DSGVO Checkliste Software" kostenlos herunterladen

(PDF-Datei)

 

"DSGVO Checkliste Software" kaufen

(ausfüllbare und editierbare Word-Dateien, autorisierter Verkauf durch Digistore24 GmbH)

Inhalte

Die Checkliste deckt folgende Themen ab:

Verarbeitungsgrundsätze
Datenminimierung, Speicherbegrenzung, Richtigkeit von Daten, Rollen und Berechtigungen.
 

Datenschutzfreundliche Voreinstellungen
Privacy by Default
 

Sicherstellung von Betroffenenrechten
Auskunft, Berichtigung, Löschung, Sperrung, Datenübertragbarkeit und Widerspruch
 

Auftragsverarbeitung
Auftragsverarbeitungsverträge, Wartungsdienstleister, Unterauftragnehmer

 

Datenexport in nicht-EU Länder
Erforderliche Datenschutzverträge (Standardvertragsklauseln) und Prüfungen („Transfer Impact Assessment“ / TIA)
 

Sonderfälle
Einwilligungen, Tracking, automatisierte Einzelentscheidungen, Datenschutzfolgenabschätzung (DSFA), Apps
 

Transparenz
Datenschutzhinweise und -informationen

 

 

Bild
DSGVO Checkliste Software
Rechtsgebiet
Datenschutzrecht
Stichwörter
DSGVO
  • Anmelden, um Kommentare verfassen zu können
German

DSGVO Sinfonie

Kostenlose Vorlagen und Muster zum Download:

Datenschutz-Richtlinie zur Umsetzung der DSGVO im Unternehmen (Arbeitsanweisung)

Anleitung zur Umsetzung

Kurz-Zusammenfassung

DSGVO Checkliste

Vom DSGVO-spezialisierten IT-Fachanwalt erstellt.

Nutzen und Vorteile

  • Organisationsverschulden der Geschäftsleitung vermeiden
  • Haftungs- und Bußgeldrisiken reduzieren
  • Datenschutz-Audits und -Kontrollen bestehen 
  • Erfahrungen aus vielen DSGVO-Projekten und Beratungen nutzen 
  • Verantwortlichkeiten und Prozesse klar definieren 
  • Mitarbeitern die Datenschutz-Anforderungen verständlich erklären

Zielgruppe

Für alle Personen, die mit der übergeordneten Umsetzung der DSGVO im Unternehmen betraut sind:

  • Inhouse-Juristen (Rechts- und Compliance-Abteilungen)
  • Datenschutzbeauftragte
  • Rechtsanwälte
  • Datenschutz-Berater
  • Projektleiter
  • Vorstände, Geschäftsführer und Inhaber
  • Audit-/Revisionsabteilungen

Geeignet für Unternehmen aller Größen und Branchen, speziell konzipiert für:

  • mittelgroße und große Unternehmen (mehr als 100 „White Collar Worker“) sowie Konzerne
  • Unternehmen mit hohen Compliance Anforderungen
  • stark diversifizierte Unternehmen
  • Unternehmen mit komplexen Strukturen
  • Unternehmen mit datengetriebenem Geschäftsmodell

 

Hintergrund

DSGVO Umsetzen im Unternehmen

Die DSGVO stellt an Unternehmen nicht nur vielfältige Anforderungen, sondern verlangt auch, deren Einhaltung jederzeit nachweisen zu können. Gerade in größeren Organisationen kann dies nur gelingen, wenn Verantwortlichkeiten und Prozesse klar definiert sind.

Einmalige DSGVO-Umsetzungsprojekte und punktuelle Beratung führen zu guten Teilergebnissen, tragen aber häufig noch keine nachhaltige Datenschutz-Compliance ins Unternehmen.

Abläufe auf Zuruf und „gegoogeltes“ Wissen werden der Bedeutung des Datenschutzes nicht gerecht. Lassen Sie sich nicht von der Komplexität der DSGVO abschrecken und erfinden Sie das Rad nicht neu!

Die kostenlose Muster-Datenschutzrichtlinie erläutert Ihren Mitarbeitern die DSGVO-Anforderungen mit vielen Beispielen, legt Verantwortlichkeiten und Prozesse fest und bietet eine bewährte Basis für Ihr Datenschutz-Management-System. Meine ausführliche Anleitung erleichtert die Anpassung auf Ihr Unternehmen. Und die begleitende Übersicht und Checkliste vereinfachen die praktische Umsetzung.

„DSGVO Sinfonie“ steht für: Alles aus einer Hand und aufeinander abgestimmt.

Inhalte

Welche Dokumente das DSGVO-Sinfonie Paket enthält

Muster-Datenschutzrichtlinie

Muster-Datenschutzrichtlinie für Unternehmen (Arbeitsanweisung): Erläutert Mitarbeitern die Anforderungen der DSGVO, legt Verantwortlichkeiten und Prozesse fest.

Anleitung

Erklärt, wie Sie die Muster-Datenschutzrichtlinie für Ihr Unternehmen anpassen und gibt Tipps zur Benennung von Verantwortlichen sowie zur Umsetzung der Richtlinie.

Datenschutz-Spickzettel

Fasst die wesentlichen Pflichten der Muster-Richtlinie in einfacher Sprache auf zwei Seiten zusammen. 

DSGVO Checkliste

Enthält eine Prüfliste zur Sicherstellung und Dokumentation der Einhaltung der Datenschutzanforderungen bei einzelnen Verarbeitungstätigkeiten.

Download

Dokumente jetzt kostenlos herunterladen (keine Registrierung nötig)

Vorschau der Einzeldokumente (zum Abruf des Pakets mit bearbeitbaren Word-Dateien siehe unten):

„DSGVO Sinfonie“ Paket kostenlos herunterladen

(ZIP-Datei mit allen Word-Dateien)

Nutzungsrechte

Wie Sie die Vorlagen verwenden dürfen

Es gelten meine Lizenzbestimmungen "Kostenlos mit Namensnennung / Kostenpflichtig als White Label".

Verkürzt gesagt: Sie dürfen die Dokumente kostenlos nutzen (auch geschäftlich und als externer Berater), wenn Sie Logo und Autorenhinweise in der Kopf- und Fußzeile unverändert lassen. Gegen eine einmalige Gebühr können Sie das Logo und die Autorenhinweise löschen bzw. ändern (White Label).

White-Label Lizenz kaufen

bereits ab € 179,- (netto)

Themen

Die Datenschutz-Richtlinie behandelt folgende Themen

Anwendungsbereich: Erläuterung der Begriffe „personenbezogene Daten“ und „Verarbeitung“

Rollen: Festlegung von grundlegenden Rollen und Verantwortlichkeiten: Jeder Mitarbeiter, „Verarbeitungs-Verantwortlicher“ im Fachbereich, zentraler Datenschutz-Manager, Datensicherheits-Manager und Datenschutzbeauftragter 

Rechtskonforme Verarbeitung: Erläuterung der Datenschutzgrundsätze und der wichtigsten Rechtsgrundlagen für Verarbeitungen, Anforderungen bei besonderen Kategorien von Daten und besonderen Verarbeitungssituationen, Anforderungen an Datenschutz-Einwilligungen

Betriebs- und Dienstvereinbarungen: Relevanz als Rechtsgrundlage und Beachtung bei der Verarbeitung

Informationspflichten: Darstellung der Transparenzanforderungen gegenüber Betroffenen

Betroffenenrechte: Erläuterung der einzelnen Rechte und Regelung des Umgangs mit Anfragen

Verarbeitungstätigkeiten: Prozess zur Prüfung der Datenschutzanforderungen bereits bei der Konzeption von Verarbeitungstätigkeiten (Privacy by Design), Prüfung aller DSGVO-Anforderungen für jede Verarbeitungstätigkeit und Dokumentation dieser anhand einer DSGVO Checkliste, Führung des Verzeichnisses der Verarbeitungstätigkeiten und dessen Aktualisierung  

Datenschutzfolgenabschätzung: Prüfung der Erforderlichkeit (Schwellenwertanalyse) und grundlegendes Verfahren zur Durchführung

Auftragsverarbeitung: Erläuterung des Vorliegens einer Auftragsverarbeitung, Pflicht zum Abschluss von Verträgen und zur Prüfung von Auftragsverarbeitern, Festlegung von Rollen und Pflichten 

Datenübermittlungen in Drittländer: Erläuterungen der Zulässigkeitsvoraussetzungen und Festlegung der Verantwortlichkeit

Datenschutzverletzungen: Erläuterung des Begriffs, Pflicht zur internen Meldung und Festlegung eine internen Verfahrens zur Risikoanalyse, Information von Aufsichtsbehörden und Betroffenen sowie zur Dokumentation der Datenschutzverletzung

Verpflichtungserklärungen: Verfahren zur Sicherstellung der Einholung von Verpflichtungserklärungen der Mitarbeiter

Schulungen: Pflicht zur Erstellung eines Schulungsplans, Festlegung der Verantwortlichkeit für Schulungen

Datensicherheit: Allgemeine Darstellung des Erfordernisses der Ermittlungen eines Schutzniveaus und angemessener Datensicherheitsmaßnahmen, Festlegung einer Richtlinienverantwortlichkeit 
 

Muster Datenschutz-Richtlinie im Volltext

Alle Dokumente als Download oben

Datenschutzrichtlinie MUSTERMANN

Inhaltsverzeichnis

 

1.            Gegenstand und Ziel    

2.            Anwendungsbereich    

3.            Rollen und Verantwortlichkeiten           

3.1          Jeder Mitarbeiter          

3.2          Verarbeitungs-Verantwortlicher            

3.3          Datenschutz-Manager 

3.4          Datensicherheits-Manager       

3.5          Datenschutzbeauftragter          

4.            Einbindung und Unterstützung des Datenschutzbeauftragten

5.            Rechtskonforme Datenverarbeitung    

5.1          Datenschutzgrundsätze              

5.2          Verarbeitung von Daten über Straftaten            

5.3          Automatisierte Einzelentscheidung      

5.4          Verwendung von Wahrscheinlichkeitswerten zu Personen      

5.5          Datenschutzfreundliche Voreinstellung              

6.            Rechtsgrundlage für Verarbeitungen   

6.1          Voraussetzung für jede Verarbeitung  

6.2          Besondere Anforderungen bei sensiblen Daten             

6.3          Datenschutz-Einwilligung           

7.            Dienst- und Betriebsvereinbarungen

8.            Informationen gegenüber Betroffenen              

8.1          Datenerhebung beim Betroffenen selbst          

8.2          Datenerhebung bei einem anderen

8.3          Weitere Transparenzanforderungen    

9.            Rechte der Betroffenen             

9.1          Inhalt der Rechte           

9.2          Erfüllung der Rechte von Betroffenen 

10.          Dokumentation und Prüfung von Verarbeitungstätigkeiten     

10.1       Vorliegen einer Verarbeitungstätigkeit

10.2       Planung von Verarbeitungstätigkeiten (Konzeptionsphase)     

10.3       Einführung von Verarbeitungstätigkeiten          

10.4       Durchführung von Verarbeitungstätigkeiten (Regelprüfung)   

10.5       Änderung, Beendigung und Abschluss von Verarbeitungstätigkeiten  

10.6       Führung des Verzeichnisses der Verarbeitungstätigkeiten        

11.          Datenschutzfolgenabschätzung              

11.1       Erforderlichkeit einer Datenschutzfolgenabschätzung 

11.2       Durchführung der Datenschutzfolgenabschätzung        

12.          Auftragsverarbeitung durch Dienstleister          

12.1       Vorliegen einer Auftragsverarbeitung 

12.2       Verträge mit Dienstleistern       

12.3       Prüfung der Dienstleister           

13.          Übermittlung in Länder außerhalb der EU          

14.          Umgang mit Datenschutzvorfällen        

14.1       Vorliegen eines Datenschutzvorfalls     

14.2       Interne Meldepflicht    

14.3       Weiteres Vorgehen      

15.          Verpflichtung auf den Datenschutz und Schulung

15.1       Verpflichtungserklärung             

15.2       Schulungen       

16.          Umsetzungs- und Dokumentationspflicht         

17.          Datensicherheit              

17.1       Ermittlung des Schutzniveaus  

17.2       Datensicherheitsmaßnahmen 

17.3       Verantwortlichkeit        

18.          Überprüfungszyklus und Anpassung    

19.          Änderungshistorie        

 

Anhang: Begriffe und Definitionen        

Anhang: Kontaktdaten

Anhang: Prozess Verarbeitungstätigkeit             

Anhang: Prozess Datenschutzvorfall

1.     Gegenstand und Ziel

Der Schutz personenbezogener Daten ist für Mustermann von wesentlicher Bedeutung. Mitarbeiter, Kunden und Geschäftspartner erwarten einen vertrauensvollen Umgang mit ihren Daten. Verstöße gegen Datenschutzbestimmungen können gravierende Folgen für Mustermann haben, etwa Rufschäden, Schadenersatzansprüche und empfindliche Bußgelder.

Diese Anweisung enthält Regeln für alle Mitarbeiter, um die Vorschriften zum Schutz personenbezogener Daten einzuhalten. Dies sind insbesondere die Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – „DSGVO“), und das Bundesdatenschutzgesetz („BDSG“).

Eine Übersicht und Zusammenfassung der wichtigsten Regelungen dieser Anweisung findet sich in der Anlage „Datenschutz Spickzettel“.

Die vorliegende Anweisung enthält keine konkreten Vorgaben zur Datensicherheit (z.B. Verschlüsselung, sicheres Löschen von Daten), diese sind in einer gesonderten Anweisung geregelt.

2.     Anwendungsbereich

Diese Anweisung gilt für alle Mitarbeiter der Mustermann GmbH in Deutschland („Unternehmen“).

Sie gilt für jede Verarbeitung personenbezogener Daten (zu den Begriffen siehe unten), wenn diese

·         ganz oder teilweise automatisiert erfolgt (z.B. mittels Computern)

·         die Daten in einem Dateisystem (Art. 4 Nr. 6 DSGVO) gespeichert sind oder gespeichert werden sollen (z.B. auf einer Festplatte oder in Handakten), oder

·         Daten über Mitarbeiter betrifft (z.B. Notizen aus einem Bewerbungsgespräch).

„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Auf die Sensibilität kommt es nicht an.

Beispiele: Auch Angaben, die keinen Namen enthalten, sind personenbezogene Daten, wenn mit Hilfe von Zusatzinformation realistischer Weise eine Zuordnung zu einer natürlichen Person möglich ist (z.B. Liste mit Benutzerkennung und System-Anmeldezeiten kann vom Unternehmen problemlos einem Mitarbeiter zugeordnet werden). Auch im Geschäftsverkehr zwischen Unternehmen (B2B) liegen personenbezogene Daten vor, etwa Kontaktdaten von Ansprechpartnern (Herr Robert Schmidt arbeitet im Einkauf der ABC AG).

„Verarbeitung“ ist jeder Umgang mit personenbezogenen Daten, insbesondere das Erheben (z.B. per Fragebogen), Erfassen (z.B. per Formular, Software oder Kamera), Speichern (z.B. in einer Datenbank, Excel-Datei oder Personalakte), Ändern (z.B. Aktualisieren), Übermitteln (z.B. an eine Behörde oder ein verbundenes Unternehmen), Abgleichen, Verknüpfen, das Sperren oder Löschen.

„Betroffener“ ist die natürliche Person, auf die sich die personenbezogenen Daten beziehen (z.B. Mitarbeiter, Kunde oder Ansprechpartner beim Lieferanten)

Diese Anweisung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten des Unternehmens oder seiner Niederlassung in der Europäischen Union erfolgt (z.B. Das Münchner Verkaufsbüro eines US-Unternehmens sammelt Daten über potentielle deutsche Kunden). Diese Anweisung gilt auch, soweit die Verarbeitung im Rahmen der Tätigkeiten des Unternehmens oder seiner Niederlassung außerhalb der EU erfolgt, wenn die Verarbeitung im Zusammenhang damit steht, Betroffenen in der EU Waren oder Dienstleistungen anzubieten, oder das Verhalten Betroffener in der EU zu beobachten (z.B. Muttergesellschaft in den USA richtet sich gezielt an Kunden in Deutschland).

3.     Rollen und Verantwortlichkeiten

Der nachfolgende Abschnitt zeigt, welche Aufgaben einzelne Mitarbeiter bei der Einhaltung des Datenschutzes haben.

3.1     Jeder Mitarbeiter

Jeder Mitarbeiter beachtet beim Umgang mit personenbezogenen Daten folgende Regeln:

  • Datenschutzbeauftragten einbinden und unterstützen (Ziffer 4).
  • Bei der Verarbeitung die Datenschutzgrundsätze beachten (Ziffern 5 und 6).
  • Datenschutzpannen intern melden (Ziffer 14).

3.2     Verarbeitungs-Verantwortlicher

Wer im Unternehmen für einen Prozess, ein Verfahren oder ein Projekt, bei dem personenbezogene Daten verarbeitet werden, fachlich konzeptionell verantwortlich ist, gilt als „Verarbeitungs-Verantwortlicher“.

Beispiele: Die Personalabteilung ist für die Führung von Personalakten verantwortlich, der Leiter Personal ist Verarbeitungs-Verantwortlicher für elektronische Personalakten. Der für die Gebäudesicherheit zuständige Mitarbeiter ist Verarbeitungs-Verantwortlicher einer Videoüberwachung im Eingangsbereich.

Im Verzeichnis der Verarbeitungstätigkeiten (siehe Ziffer 10) werden die Verarbeitungs-Verantwortlichen für jede Verarbeitungstätigkeit namentlich oder anhand ihrer Funktion (z.B. „Leiter Personal“) dokumentiert. Soweit nichts anders festgelegt, ist der jeweilige Abteilungsleiter Verarbeitungs-Verantwortlicher.

Der Verarbeitungs-Verantwortliche beachtet in Bezug auf die ihm zugeordneten Verarbeitungstätigkeiten folgende Vorgaben:

  • Bei der Planung, Einführung und später bei der Änderung der Verarbeitungstätigkeit (i) das Formular für den Eintrag ins Verzeichnis der Verarbeitungstätigkeiten und (ii) die Checkliste DSGVO ausfüllen und dem Datenschutz-Manager übergeben (Ziffer 10).
  • Den Betroffenen transparent machen, wie mit ihren Daten umgegangen wird (Ziffer 8).
  • Bei der Verarbeitung die Einhaltung der Datenschutzgrundsätze sicherstellen (Ziffer 5 und 6).
  • Etwaige Regelungen in Betriebsvereinbarungen beachten (Ziffer 7).
  • Sicherstellen, dass die Rechte von Betroffenen (z.B. auf Auskunft) erfüllt werden können (Ziffer 9).
  • Eine Datenschutzfolgenabschätzung durchführen, wenn der Datenschutz-Manager darauf hinweist (Ziffer 11)
  • Wenn Dienstleister für das Unternehmen Daten im Auftrag und nach den Vorgaben des Unternehmens verarbeiten, mit dem Dienstleister Auftragsverarbeitungsverträge schließen und die Dienstleister überwachen (Ziffer 12)
  • Bei einer Weitergabe von Daten in nicht-EU Länder die besonderen Anforderungen zum Datenexport beachten (Ziffer 13)
  • Alles so dokumentieren, dass die Einhaltung der Vorschriften zum Datenschutz nachweisbar ist (Ziffer 14)

3.3     Datenschutz-Manager

Das Unternehmen hat einen Datenschutz-Manager benannt, der bestimmte, in dieser Anweisung näher festgelegte Aufgaben übernimmt. Die Kontaktdaten des Datenschutz-Managers sind im Anhang Kontaktdaten genannt.

Der Datenschutz-Manager stimmt sich im Bedarfsfall mit dem Datenschutzbeauftragten ab (sofern benannt) oder holt externe Expertise ein.

3.4     Datensicherheits-Manager

Das Unternehmen hat zudem einen Datensicherheits-Manager benannt. Dieser erfüllt Aufgaben in Bezug auf technische und organisatorische Maßnahmen zur Datensicherheit. Die Kontaktdaten finden sich im Anhang Kontaktdaten.

3.5     Datenschutzbeauftragter

Das Unternehmen hat einen Datenschutzbeauftragten benannt. Die Kontaktdaten des Datenschutzbeauftragten sind im Anhang Kontaktdaten aufgeführt.

Die Aufgaben des Datenschutzbeauftragten ergeben sich aus Art. 39 Abs. 1 DSGVO. Diese sind:

  • Unterrichtung und Beratung des Unternehmens und seiner Mitarbeiter zu den Pflichten nach den Datenschutzvorschriften (der EU und Deutschlands).
  • Überwachung der Einhaltung der Datenschutzvorschriften.
  • Überwachung der Strategien (z.B. Anweisungen/Richtlinien) des Unternehmens zum Datenschutz einschließlich der Verantwortungsverteilung, der Sensibilisierung und Schulung der Mitarbeiter und entsprechender Überprüfungen.
  • Zusammenarbeit mit der Datenschutz-Aufsichtsbehörde und Anlaufstelle für diese.

Die Verantwortlichkeit für die Einhaltung der Datenschutzvorschriften verbleibt bei der Unternehmensleitung und den Verarbeitungs-Verantwortlichen.

Mit der vorliegenden Anweisung werden dem Datenschutzbeauftragten keine fachlichen Weisungs- oder Entscheidungsbefugnisse eingeräumt.

Beispiel: Der Datenschutzbeauftragte kann keine bestimmten Löschfristen festlegen oder Beschäftigte zur Löschung anweisen, sondern lediglich hierzu beraten und Löschvorgänge kontrollieren.

4.     Einbindung und Unterstützung des Datenschutzbeauftragten

Alle Mitarbeiter binden den Datenschutzbeauftragten frühzeitig in sämtliche mit dem Schutz personenbezogener Daten zusammenhängenden Fragen ein (Art. 38 Abs. 1 DSGVO).

Beispiele: Es besteht Unsicherheit, ob bestimmte Daten gespeichert werden dürfen, ob spezielle Datenschutzverträge nötig sind oder eine Datenschutzfolgenabschätzung durchzuführen ist.

Alle Mitarbeiter unterstützen den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben, zum Beispiel indem sie ihm auf Anfrage Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen gewähren, Auskünfte erteilen oder Unterlagen aushändigen.

5.     Rechtskonforme Datenverarbeitung

Alle Mitarbeiter halten bei der Verarbeitung personenbezogener Daten die nachfolgend in Ziffer 5 dargestellten Datenschutzgrundsätze und die weiteren dort genannten Anforderungen ein.

5.1     Datenschutzgrundsätze

5.1.1        Rechtmäßigkeit (Art. 5 Abs. 1 a) DSGVO)

Personenbezogene Daten dürfen nur verarbeitet werden, wenn für die Verarbeitung eine Rechtsgrundlage besteht. Sensible Daten (z.B. Gesundheitsdaten) dürfen nur verarbeitet werden, wenn eine Ausnahme vom Verarbeitungsverbot für sensible Daten besteht. (Einzelheiten siehe jeweils Ziffer 6).

5.1.2        Transparenz (Art. 5 Abs. 1 a) DSGVO)

Personenbezogene Daten müssen in einer für den Betroffenen nachvollziehbaren, d.h. in transparenter Weise verarbeitet werden (zu Einzelheiten siehe Ziffer 8).

Beispiele: Werden die von Mitarbeitern über geschäftliche Notebooks aufgerufenen Webseiten protokolliert und ausgewertet, muss dies den Mitarbeitern vorher mitgeteilt werden. Formulare für Kunden müssen erläutern, wie die Daten verwendet werden.

5.1.3        Zweckbindung (Art. 5 Abs. 1 b) DSGVO)

Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen später nur zu solchen Zwecken weiterverarbeitet werden, die mit den ursprünglichen Zwecken vereinbar sind.

Beispiel: Für Zugangsausweise aufgenommene Portraitfotos dürfen nicht zur Außendarstellung auf der Unternehmens-Webseite genutzt werden.

Sollen Daten später für andere Zwecke verwendet werden als diejenigen, für die sie erhoben wurden, prüft der Verarbeitungs-Verantwortliche die Vereinbarkeit (Art. 6 Abs. 4 DSGVO) der neuen mit den alten Zwecken und dokumentiert das Ergebnis.

Beispiel: Login- und Logout-Zeiten von Mitarbeitern, die zur Datensicherheit gespeichert werden, sollen zur Arbeitszeitkontrolle genutzt werden.

Soweit erforderlich aktualisiert der Verarbeitungs-Verantwortliche das Verzeichnis der Verfahrenstätigkeiten bei einer Zweckänderung entsprechend (siehe Ziffer 10.5) und stellt eine nachträgliche Information der Betroffenen sicher (siehe Ziffer 8).

5.1.4        Datenminimierung (Art. 5 Abs. 1 c) DSGVO)

Personenbezogene Daten müssen mit Blick auf den konkreten Nutzungszweck angemessen und erheblich sowie auf das notwendige Maß beschränkt sein. Es dürfen mithin nicht unnötig viele Daten zu einer Person oder Daten zu unnötig vielen Personen verarbeitet werden und Daten nicht über das erforderliche Maß hinaus genutzt werden. Bei jedem Datenfeld ist zu fragen, wofür die Daten konkret und wie lange benötigt werden.

Beispiele: Bei einem Formular zur Bestellung eines Newsletters sind Angaben über Name und Firmenzugehörigkeit des Bestellers in der Regel nicht erforderlich.

5.1.5        Richtigkeit (Art. 5 Abs. 1 d) DSGVO)

Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein.

Die zu einem Mitarbeiter gespeicherte Anschrift muss aktuell sein, damit dieser angeschrieben werden kann. Die Angabe der Berufserfahrung im Lebenslauf einer Bewerbung muss hingegen später nicht aktualisiert werden, da die Angaben nur der Kandidatenauswahl zum Zeitpunkt der Bewerbung dienen.

Der Verarbeitungs-Verantwortliche trifft angemessene Maßnahmen, damit personenbezogene Daten, die unrichtig sind, unverzüglich gelöscht oder berichtigt werden. Der Verarbeitungs-Verantwortliche stellt zudem durch geeignete Maßnahmen die Richtigkeit der Daten sicher.

Beispiele: Regelmäßige Abfrage der Richtigkeit der Daten beim Betroffenen. Technische Anbindung an ein System, das die jeweils aktuellen Daten bereitstellt.

5.1.6        Speicherbegrenzung (Art. 5 Abs. 1 e) DSGVO)

Personenbezogene Daten müssen gelöscht werden, wenn Sie für den konkreten Nutzungszweck nicht mehr benötigt werden. Statt einer Löschung können Daten auch anonymisiert werden.

Das Ergebnis aus Assessment Centern verliert nach einigen Jahren seine Relevanz, weil es keine Aussage mehr über die aktuellen Fähigkeiten des Mitarbeiters zulässt. Die Ergebnisse sind zu löschen oder alle Hinweise auf die Identität des Mitarbeiters (Name, Anschrift, Personalnummer) zu schwärzen.

5.1.7        Integrität und Vertraulichkeit (Art. 5 Abs. 1 f) DSGVO)

Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, z.B. Schutz vor unbefugtem Zugriff oder Verlust durch geeignete technische und organisatorische Maßnahmen (Einzelheiten siehe Ziffer 17).

5.1.8        Pseudonymisierung

Soweit der Zweck der Verarbeitung dies erlaubt, sollen personenbezogene Daten in pseudonymisierter Form verarbeitet werden. Pseudonymisierte Form bedeutet (vgl. Art. 4 Nr. 5 DSGVO), dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer Person zugeordnet werden können. Die eigentlichen Daten und die Angaben, die eine Zuordnung zu einer Person erlauben (z.B. Name, E-Mail, Anschrift, Telefonnummer) werden also getrennt. Die Informationen, die eine Zuordnung ermöglichen werden durch technische und organisatorische Maßnahmen speziell gesichert.

Beispiel: Patientendaten werden in zwei Datenbanken gespeichert, Datenbank A enthält nur Name, Anschrift und eine ID (Pseudonym), Datenbank B enthält nur die ID sowie zugehörige Röntgenbilder der Person (Inhaltsdaten). Auf Datenbank A haben nur Administratoren nach dem Vier-Augen Prinzip Zugriff. Mit Datenbank B wird eine Software zur Auswertung von Röntgenbildern entwickelt. Erhalten bei Entwicklungsarbeiten Unbefugte Zugriff auf die Datenbank B mit den Röntgenbildern, so ist der Schaden für Patienten geringer, da ohne Kenntnis von Datenbank A Patienten nur schwer identifizierbar sind.

5.2     Verarbeitung von Daten über Straftaten

Sollen Daten über strafrechtliche Verurteilungen oder Straftaten verarbeitet werden, stimmt der Verarbeitungs-Verantwortliche dies vorab mit dem Datenschutz-Manager ab, um die Einhaltung von Art. 10 DSGVO sicherzustellen.

5.3     Automatisierte Einzelentscheidung

Werden Einzelentscheidungen über Menschen getroffen, beruhen die Entscheidungen ausschließlich auf einer automatisierten Verarbeitung und haben die Entscheidungen gegenüber der Person rechtliche Wirkung oder beeinträchtigen diese in ähnlicher Weise („automatisierte Einzelentscheidung“), so ist dies nur unter den Voraussetzungen des Art. 22 DSGVO zulässig.

Beispiel: Bewerber müssen online einen Fragebogen ausfüllen. Aus den Antworten wird anhand einer Formel ein Punktwert errechnet. Alleine aufgrund des Punktwerts wird entschieden, ob der Bewerber zu einem Gespräch eingeladen wird.

Der Verarbeitungs-Verantwortliche stimmt vor Einführung einer automatisierten Einzelentscheidung die datenschutzrechtliche Zulässigkeit mit dem Datenschutz-Manager ab.

Der Verarbeitungs-Verantwortliche dokumentiert im Verzeichnis der Verarbeitungstätigkeiten (siehe Ziffer 10.6) Folgendes:

  • das Vorliegen einer automatisierten Einzelentscheidung
  • aussagekräftige Informationen zur involvierten Logik sowie der Tragweite und der angestrebten Auswirkungen für den Betroffenen
  • Erläuterungen der etwaig nach Art. 22 Abs. 3 DSGVO getroffenen Maßnahmen

Beispiel für solche Maßnahmen im obigen Beispiel: Es ist ein Prozess einzurichten, der es dem Bewerber ermöglicht, seinen Standpunkt zum Punktwert darzulegen und die automatisiert getroffene Entscheidung durch einen Mitarbeiter der Personalabteilung prüfen zu lassen.

5.4     Verwendung von Wahrscheinlichkeitswerten zu Personen

Sollen Wahrscheinlichkeitswerte über ein bestimmtes zukünftiges Verhalten einer natürlichen Person verwendet werden, um über die Begründung, Durchführung oder Beendigung eines Vertrages mit der Person zu entscheiden, sind die besonderen Anforderungen des § 31 BDSG zu beachten.

Das Unternehmen bezieht einen Scorewert über die Bonität eines potentiellen Kunden (Einzelperson) von einer Auskunftei (oder ermittelt diesen selbst). Der Scorewert soll über das „Ob“ und die Konditionen eines Vertrages mit dem Kunden entscheiden.

Der Verarbeitungs-Verantwortliche stimmt vor einer entsprechenden Verwendung von Wahrscheinlichkeitswerten die datenschutzrechtliche Zulässigkeit mit dem Datenschutz-Manager ab.

5.5     Datenschutzfreundliche Voreinstellung

Soweit in einem System Voreinstellungen für die Datenverarbeitung getroffen werden können sind diese Einstellungen so vorzunehmen, dass mit Blick auf den Nutzungszweck nicht mehr Daten als nötig, nicht länger als nötig und nicht umfassender als nötig verarbeitet werden, und der Zugriff durch Dritte soweit wie möglich eingeschränkt wird, Art. 25 Abs. 2 DSGVO.

Beispiel: Das Unternehmen will ein Unternehmensinternes soziales Netzwerk auf Basis eines Standard-Softwareproduktes einführen, damit sich Mitarbeiter besser austauschen können. In der Software kann vom Unternehmen eingestellt werden, ob standardmäßig der Standort eines Mitarbeiters angezeigt wird, wenn dieser einen Beitrag einstellt. Die Option ist zu deaktivieren, da der Standort für den Zweck regelmäßig nicht benötigt wird.

6.     Rechtsgrundlage für Verarbeitungen

Personenbezogene Daten dürfen nur verarbeitet werden, wenn für die Verarbeitung eine Rechtsgrundlage besteht (siehe Ziffer 6.1).

Bei sensiblen personenbezogenen Daten muss zudem eine Ausnahme nach Art. 9 Abs. 2 DSGVO vorliegen, da diese Daten einem grundsätzlichen Verarbeitungsverbot unterliegen (siehe Ziffer 6.2).

6.1     Voraussetzung für jede Verarbeitung

Personenbezogene Daten dürfen nur dann verarbeitet werden, wenn hierfür eine Rechtsgrundlage nach Art. 6 DSGVO vorliegt.

Wichtige Rechtsgrundlagen (nicht abschließend) sind:

  • Vertragserfüllung: Die Verarbeitung ist für die Erfüllung eines Vertrags mit dem Betroffenen erforderlich. Die Verarbeitung muss, objektiv betrachtet, zur Erfüllung des Vertrags sinnvoll sein. „Erforderlich“ meint nicht „zwingend notwendig“.
    Beispiele: Die Abfrage der Kontoverbindung von Mitarbeitern ist zur Auszahlung des Gehalts erforderlich. Die Analyse des Kaufverhaltens von Kunden zur Ermittlung von Kundenvorlieben ist nicht zur Erfüllung eines Vertrags mit dem Kunden erforderlich.
  • Rechtliche Verpflichtung: Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung, der das Unternehmen unterliegt, erforderlich. Rechtliche Verpflichtungen sind vor allem deutsche Gesetze sowie Verordnungen der EU, ebenso Dienst- und Betriebsvereinbarungen (siehe Ziffer 7) oder Tarifverträge. Die Gesetze müssen die Zwecke der Verarbeitung festlegen.
    Wenn das Gesetz konkret die Art und Weise der Verarbeitung festlegt („Welche Daten dürfen zu welchen Zwecken wie und wie lange verarbeitet werden?“), müssen diese Vorgaben eingehalten sein. Enthält das Gesetz solche Vorgaben nicht, ist sicherzustellen, dass die konkrete Verarbeitung zur Erfüllung des jeweiligen Gesetzes tatsächlich erforderlich ist.
  • Interessenabwägung: Die Verarbeitung ist zur Wahrung eines berechtigten Interesses des Unternehmens oder eines Dritten erforderlich und die Interessen des Betroffenen überwiegen nicht. Soll die Verarbeitung auf eine Interessenabwägung gestützt werden, so dokumentiert der Verarbeitungs-Verantwortliche die durchgeführte Abwägung. Hierbei ist insbesondere die Erwartungshaltung der Betroffenen zu berücksichtigen. Der Betroffene ist zudem auf sein Widerspruchsrecht nach Art. 21 Abs. 1 DSGVO hinzuweisen (siehe Ziffer 9.1.6).
  • Einwilligung: Es liegt eine Einwilligung des Betroffenen in die Verarbeitung seiner Daten zu den jeweiligen Zwecken vor (siehe hierzu ergänzend Ziffer 6.3).

6.2     Besondere Anforderungen bei sensiblen Daten

Bei der Verarbeitung sensibler personenbezogener Daten gelten besonders strenge Anforderungen. Die Verarbeitung ist grundsätzlich untersagt, außer es liegt einer der Ausnahmetatbestände des Art. 9 Abs. 2 DSGVO, § 22 BDSG vor.

„Sensible personenbezogene Daten“ sind alle personenbezogenen Daten, die Angaben enthalten, aus denen hervorgeht:

  • die rassische und ethnische Herkunft
  • politische Meinungen
  • religiöse oder weltanschauliche Überzeugungen, oder
  • die Gewerkschaftszugehörigkeit

oder in denen folgende Daten enthalten sind:

  • genetische Daten (Art. 4 Nr. 13 DSGVO)
  • biometrische Daten (Art. 4 Nr. 14 DSGVO) zur eindeutigen Identifizierung einer natürlichen Person
  • Gesundheitsdaten (Art. 4 Nr. 15 DSGVO), z.B. Krankheitsfehlzeiten, oder
  • Daten zum Sexualleben oder der sexuellen Orientierung

Wichtige Ausnahmetatbestände vom Verbot der Verarbeitung sensibler personenbezogener Daten sind insbesondere (Aufzählung ist nicht abschließend, vgl. Art. 9 Abs. 2 DSGVO, § 22 BDSG):

  • Die Verarbeitung erfolgt auf Grundlage einer ausdrücklichen Einwilligung des Betroffenen (siehe zur Einwilligung ergänzend Ziffer 6.3).
  • Die Verarbeitung ist erforderlich, damit das Unternehmen oder der Betroffene die ihm aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen diesbezüglichen Pflichten nachkommen kann.
    Beispiele: Verarbeitungen von Angaben zur Religionszugehörigkeit zur Abführung von Kirchensteuer
    Bei Mitarbeiterdaten dürfen die Interessen der Mitarbeiter nicht überwiegen.
  • Die Verarbeitung bezieht sich auf personenbezogene Daten, die der Betroffene offensichtlich öffentlich gemacht hat (z.B. auf einer frei zugänglichen Webseite),
  • Die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.
  • Daten zur Krankheit eines Mitarbeiters müssen in einem Kündigungsprozess vorgetragen werden.
  • Die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten erforderlich, und die Verarbeitung erfolgt durch oder unter der Verantwortung einer Person, die einer gesetzlichen Schweigepflicht unterliegt (z.B. Arzt, Arzthelfer, Rechtsanwalt).
  • Die Verarbeitung erfolgt auf Grundlage einer Dienst- oder Betriebsvereinbarung (siehe Ziffer 7).

6.3     Datenschutz-Einwilligung

Soll die Verarbeitung personenbezogener Daten auf Basis einer Einwilligung erfolgen, müssen folgende Anforderungen erfüllt sein (Art. 7, 4 Nr. 11 DSGVO):

  • Es muss eine unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung des Betroffenen vorliegen, mit der sich der Betroffene zur Verarbeitung seiner personenbezogenen Daten einverstanden erklärt (Art. 4 Nr. 11 DSGVO). Bloßes Schweigen oder die Nutzung einer Webseite genügen nicht.
  • Die Einwilligung muss freiwillig erteilt worden sein. Eine Einwilligung ist ggf. dann unfreiwillig, wenn ein Vertrag von der Abgabe der Einwilligung abhängig gemacht wird (Zwangseinwilligung), verschiedenartige Verarbeitungen in einer einheitlichen Einwilligung verknüpft werden (Alles-oder-Nichts Einwilligung) oder der Betroffene in einem Abhängigkeitsverhältnis zum Unternehmen steht (Art. 7 Abs. 4 DSGVO).
  • Die Einwilligung muss für den bestimmten Fall und in informierter Weise erteilt werden. Es müssen insbesondere das verantwortliche Unternehmen, die Daten und Nutzungszwecke genannt sein. Wird die Einwilligung mit anderen Erklärungen verknüpft (z.B. Akzeptanz von AGB) muss sie von den anderen Erklärungen klar zu unterscheiden sein (Art. 7 Abs. 2 DSGVO).
  • Bei sensiblen personenbezogenen Daten muss sich die Einwilligung ausdrücklich auf diese beziehen.
  • Es muss auf die Widerrufbarkeit der Einwilligung mit Wirkung für die Zukunft hingewiesen werden (Art. 7 Abs. 3 DSGVO).
  • Bei Einwilligungen von Kindern unter 16 Jahren im Online-Bereich sind die speziellen Anforderungen des Art. 8 DSGVO zu beachten.

Eine Einwilligung darf nur eingeholt werden, wenn und soweit für die Verarbeitung keine andere gesicherte Rechtsgrundlage besteht.

Einwilligungen von Mitarbeitern, betreffend das Beschäftigungsverhältnis, bedürfen grundsätzlich der Schriftform (z.B. genügt eine online Einwilligung nicht).

Der Verarbeitungs-Verantwortliche stellt sicher, dass

  • der Wortlaut der Einwilligung sowie die Umstände der Abgabe sowie jede wesentliche Änderung vorher mit dem Datenschutz-Manager abgestimmt ist
  • die Erteilung einer Einwilligung durch einen Betroffenen vom Unternehmen nachgewiesen werden kann, insbesondere die Identität des Einwilligenden, der Zeitpunkt der Abgabe und der Wortlaut der Einwilligung, und
  • geeignete Prozesse für den Umgang mit dem Widerruf der Einwilligung implementiert und dokumentiert sind.

7.     Dienst- und Betriebsvereinbarungen

Rechtsgrundlage für die Verarbeitung personenbezogener Daten – einschließlich sensibler personenbezogener Daten – kann auch eine Betriebsvereinbarung sein.

Wird eine Betriebsvereinbarung verhandelt, die die Verarbeitung personenbezogener Daten zum Gegenstand hat, so beachtet der auf Arbeitgeberseite für die Dienst- und Betriebsvereinbarung Zuständige Folgendes:

In der Dienst- und Betriebsvereinbarung soll angegeben werden, ob und ggf. inwieweit diese als Rechtsgrundlage im Sinne des Datenschutzrechts dient.

Soweit eine Dienst- und Betriebsvereinbarung als Rechtsgrundlage im Sinne des Datenschutzrechts dient, sind die Anforderungen des Art. 88 Abs. 2 DSGVO umzusetzen, d.h. es sind angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde und der berechtigten Interessen und der Grundrechte der Mitarbeiter zu vereinbaren. Dies betrifft etwa Vereinbarungen zur Transparenz der Verarbeitung, ggf. zur Übermittlung an verbundene Unternehmen oder zur Zulässigkeit und zu den Grenzen der Überwachung von Mitarbeitern.

Enthält eine Dienst- oder Betriebsvereinbarung spezifische Regeln zur Verarbeitung personenbezogener Daten für einzelne Verarbeitungstätigkeiten, vermerkt der Verarbeitungs-Verantwortliche dies im Verzeichnis der Verarbeitungstätigkeiten (siehe Ziffer 10.6).

Alle Mitarbeiter beachten bei der Verarbeitung personenbezogener Daten die Bestimmungen der anwendbaren Betriebsvereinbarungen. Der Verarbeitungs-Verantwortliche bringt die konkreten Anforderungen den Mitarbeitern entsprechend zur Kenntnis und implementiert und dokumentiert die notwendigen Prozesse.

8.     Informationen gegenüber Betroffenen

8.1     Datenerhebung beim Betroffenen selbst

Werden personenbezogene Daten beim Betroffenen erhoben, so stellt der Verarbeitungs-Verantwortliche sicher, dass dem Betroffenen zum Zeitpunkt der Erhebung die in Art. 13 DSGVO genannten Informationen mitgeteilt werden, sofern der Betroffene nicht bereits über die Informationen verfügt und kein Fall des Art. 32 BDSG vorliegt.

Beispiele:

  • Stellenbewerber sind über den Umgang mit ihren Bewerbungsunterlagen zu informieren.
  • Webseiten des Unternehmens müssen Datenschutzhinweise bereitstellen.
  • Mitarbeiter sind über den Umgang mit ihren Daten durch das Unternehmen als Arbeitgeber aufzuklären.
  • Videoüberwachungen sind durch Schilder deutlich zu machen.

Folgende Informationen sind mitzuteilen:

  • Name und die Kontaktdaten des Unternehmens
  • Kontaktdaten des Datenschutzbeauftragten, falls benannt
  • Zwecke und Rechtsgrundlage der Verarbeitung
  • wenn die Verarbeitung auf der Rechtsgrundlage der berechtigten Interessen beruht (siehe Ziffer 6.1), die berechtigten Interessen, die vom Unternehmen verfolgt werden
  • Empfänger oder Kategorien von Empfängern der Daten
  • Absicht, die Daten in ein Land außerhalb der EU zu übermitteln (siehe Ziffer 13) und, falls dem so ist, bestimmte ergänzende Informationen hierzu
  • Speicherdauer oder Kriterien für die Bemessung der Speicherdauer
  • Hinweis auf Betroffenenrechte
  • ggf. Hinweis auf Widerrufbarkeit der Einwilligung
  • Hinweis auf Beschwerderecht bei einer Aufsichtsbehörde
  • Erläuterung, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob der Betroffene verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung der Daten hätte und
  • Bestehen einer automatisierten Einzelentscheidung (siehe Ziffer 5.3) einschließlich Profiling und ggf. ergänzende Informationen dazu.

Können aus Platzgründen nicht alle Informationen sinnvollerweise unmittelbar bereitgestellt werden, kann die Information in abgestufter Form erfolgen.

Beispiele: Kurz- und Langfassung von Datenschutzerklärungen auf der Webseite, Mitteilung nur der Kontaktdaten und der Verarbeitungszwecke und kurzer Hinweis auf die Betroffenenrechte auf einer Gewinnspielkarte und Verweis auf eine Internetseite zum Abruf von Detailinformationen.

8.2     Datenerhebung bei einem anderen

Werden personenbezogene Daten nicht beim Betroffenen, sondern bei einem Dritten erhoben, so stellt der Verarbeitungs-Verantwortliche sicher, dass dem Betroffenen die in Art. 14 DSGVO genannten Informationen innerhalb angemessener Frist (höchstens ein Monat) nach Erlangung der Daten (spätestens bis zur Offenlegung der Daten gegenüber einem Dritten) mitgeteilt werden, sofern kein Ausschlussgrund nach Art. 14 Abs. 5 DSGVO, § 33 BDSG vorliegt.

Beispiel: Im Rahmen des Einstellungsprozesses wurden mit Hilfe von Drittanbietern Background-Checks zur Zuverlässigkeit des Mitarbeiters durchgeführt. Der Bewerber ist entsprechend zu informieren.

Es sind ergänzend zu den Informationen nach Ziffer 8.1 auch die Kategorien der Daten und deren Herkunft anzugeben.

8.3     Weitere Transparenzanforderungen

Die vorgenannten Mitteilungspflichten gelten entsprechend, wenn bereits erhobene Daten für einen neuen Zweck verwendet werden sollen (siehe Ziffer 5.1.3).

Erfolgt eine Verarbeitung personenbezogener Daten auf Basis der Rechtsgrundlage der Interessenabwägung (siehe Ziffer 6.1) stellt der Verarbeitungs-Verantwortliche sicher, dass der Betroffene auf sein Widerspruchsrecht nach Art. 21 Abs. 1 DSGVO (Widerspruchsrecht aufgrund besonderer Situation) (siehe Ziffer 9.1.6) hingewiesen wird. Der Hinweis hat spätestens bei der ersten Kommunikation mit dem Betroffenen und in hervorgehobener Form (z.B. Fettdruck) zu erfolgen.

Erfolgt eine Verarbeitung personenbezogener Daten, um Direktwerbung zu betreiben (z.B. Newsletter, Werbebriefe, Telefonanrufe), so stellt der Verarbeitungs-Verantwortliche sicher, dass der Betroffene auf sein Widerspruchsrecht nach Art. 21 Abs. 2 DSGVO (siehe Ziffer 9.1.7) in hervorgehobener Form (z.B. Fettdruck) hingewiesen wird.

Der Verarbeitungs-Verantwortliche dokumentiert die Erfüllung der Dokumentationspflichten einschließlich des Inhalts der den Betroffenen gegenüber gemachten Mitteilungen.

Weiterführende Informationen zu den Informationspflichten

9.     Rechte der Betroffenen

9.1     Inhalt der Rechte

Betroffene haben nach der DSGVO gegenüber dem Unternehmen bestimmte Rechte in Bezug auf ihre Daten („Betroffenenrechte“). Die Betroffenenrechte sind nachfolgend dargestellt.

9.1.1        Recht auf Auskunft (Art. 15 DSGVO)

Betroffene können vom Unternehmen Auskunft verlangen, ob das Unternehmen über sie personenbezogene Daten verarbeitet und wenn dies der Fall ist,

  • welche Datenkategorien für welche Zwecke verarbeitet werden
  • welchen Empfängern bzw. Empfängerkategorien die Daten offengelegt werden
  • wie lange die Daten gespeichert werden
  • woher die Daten stammen, und
  • ob eine automatisierte Einzelentscheidung (siehe Ziffer 5.3) bzw. ein Profiling stattfindet

Ergänzend sind die weiteren Informationen gemäß Art. 15 Abs. 1 DSGVO zu geben.

Das Unternehmen hat dem Betroffenen zudem auf Verlangen eine Kopie aller personenbezogenen Daten zur Verfügung zu stellen, die das Unternehmen über ihn verarbeitet (z.B. Ausdruck aller Stammdaten, Korrespondenz und Vertragsdaten eines Kunden).

9.1.2        Recht auf Berichtigung (Art. 16 DSGVO)

Betroffene können verlangen, dass das Unternehmen unrichtige personenbezogene Daten unverzüglich berichtigt und – soweit der Zweck der Verarbeitung dies erfordert – unvollständige personenbezogene Daten ergänzt werden.

9.1.3        Recht auf Löschung (Art. 17 DSGVO)

Betroffene können – soweit kein Ausschlussgrund nach Art. 17 Abs. 3 DSGVO und § 35 BDSG greift – vom Unternehmen die Löschung sie betreffender personenbezogener Daten verlangen wenn,

  • die Daten für den Zweck, für den sie erhoben oder sonst verarbeitet werden, nicht mehr benötigt werden
    Beispiel: Bewerbungsunterlagen eines abgelehnten Bewerbers werden spätestens sechs Monate nach der Auswahlentscheidung nicht mehr benötigt.
  • der Betroffene seine Datenschutz-Einwilligung widerrufen oder erfolgreich Widerspruch gegen die Datenverarbeitung aufgrund seiner besonderen Situation eingelegt hat (siehe Ziffer 9.1.6) und keine andere Rechtsgrundlage die weitere Verarbeitung erlaubt
    Beispiel: Ein Kunde (Einzelperson) hat eingewilligt, dass seine Daten verwendet werden, um seine potentiellen Interessen für bestimmte Produkte zu ermitteln. Der Kunde widerruft die Einwilligung. Die ermittelten potentiellen Interessen sind zu löschen.
  • der Betroffene der Nutzung seiner Daten für Direktwerbung (siehe Ziffer 9.1.7) widerspricht
  • die Daten unrechtmäßig erhoben wurden
  • die Löschung zur Erfüllung einer gesetzlichen Verpflichtung erforderlich ist, oder
  • die Daten betreffen ein Onlineangebot, die auf Basis der Einwilligung eines Kindes erhoben wurden, das jünger als 16 Jahre ist.

Hat das Unternehmen die Daten öffentlich gemacht, sind ggf. Dritte gemäß Art. 17 Abs. 2 DSGVO über das Löschbegehren zu informieren.

Im Rahmen einer online-Veröffentlichung auf der Unternehmenswebseite wurde über das Ausscheiden eines Mitarbeiters „im Bösen“ berichtet. Der Mitarbeiter stellt einen berechtigten Löschantrag.

9.1.4        Recht auf Sperrung (Einschränkung der Verarbeitung) (Art. 18 DSGVO)

Betroffene können in den nachfolgend genannten Fällen vom Unternehmen verlangen, dass ihre personenbezogenen Daten gesperrt werden. Sperrung bezeichnet das Markieren von Daten mit dem Ziel, dass diese nur noch eingeschränkt verarbeitet werden.

Nach einer Sperrung dürfen die Daten grundsätzlich nur noch gespeichert aber nicht mehr anderweitig verarbeitet werden (z.B. keine Auswertung, keine Nutzung zur Ansprache, keine Leseberechtigung für „einfache“ Nutzer). Eine anderweitige Verarbeitung gesperrter Daten ist nur in den Grenzen des Art. 18 Abs. 2 DSGVO zulässig, etwa im Rahmen von Rechtsstreitigkeiten oder mit Einwilligung des Betroffenen.

Ein Anspruch auf Sperrung besteht in folgenden Fällen:

  • Der Betroffene bestreitet die Richtigkeit der über ihn gespeicherten Daten. Während das Unternehmen die Richtigkeit prüft, sind die Daten zu sperren.
  • Die Verarbeitung ist unrichtig, der Betroffene verlangt aber statt einer Löschung zunächst nur eine Sperrung.
  • Die Daten werden für die vorgesehenen Zwecke vom Unternehmen nicht mehr benötigt, der Betroffene benötigt sie aber zur Rechtsausübung.
    Beispiel: Ein erfolgloser Stellenbewerber klagt wegen Diskriminierung gegen das Unternehmen. Die Aufzeichnungen aus dem Bewerbungsgespräch sind zunächst nur zu sperren statt zu löschen.
  • Der Betroffene hat aufgrund seiner besonderen persönlichen Situation ein Widerspruchsrecht gegen die Verarbeitung seiner Daten ausgeübt (siehe Ziffer 9.1.6). Während das Unternehmen den Widerspruch prüft müssen die Daten gesperrt werden.

9.1.5        Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Betroffene können vom Unternehmen verlangen, sie betreffende personenbezogene Daten, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.

Dieses Recht auf Datenübertragbarkeit besteht nur, wenn und soweit die Datenverarbeitung automatisiert (nicht rein papiergebunden) und auf der Rechtsgrundlage der Vertragserfüllung oder Einwilligung (siehe Ziffer 6) erfolgt.

Der Anspruch auf Datenübertragbarkeit beschränkt sich auf solche Daten, die der Betroffene dem Unternehmen „bereitgestellt“ hat.

Der Betroffene hat zudem das Recht, die Daten an Dritte zu übermitteln, ohne dabei vom Unternehmen behindert zu werden. Soweit technisch machbar kann der Betroffene vom Unternehmen auch verlangen, dass das Unternehmen die Daten direkt an einen Dritten übermittelt.

9.1.6        Widerspruchsrecht aufgrund besonderer Situation (Art. 21 Abs. 1 DSGVO)

Wenn das Unternehmen die Daten auf der Rechtsgrundlage der Interessenabwägung (siehe Ziffer 6.1) verarbeitet können Betroffene gegen die Verarbeitung ihrer personenbezogenen Daten aus Gründen ihrer besonderen Situation Widerspruch einlegen. Es handelt sich also um kein bedingungsloses Widerspruchsrecht.

Beispiel: Speicherung von Daten eines Diplomaten aus einem Land mit erhöhter Terrorismusgefahr in einer Auskunftsdatei.

Das Unternehmen muss sodann gemäß Art. 21 Abs. 1 DSGVO prüfen, ob die Verarbeitung dennoch stattfinden kann, die Daten während dieser Zeit sperren (siehe Ziffer 9.1.4) und die Verarbeitung in Bezug auf den Betroffenen ggf. einstellen.

9.1.7        Widerspruchsrecht gegen Direktwerbung (Art. 21 Abs. 2 DSGVO)

Betroffene können der Verarbeitung ihrer personenbezogenen Daten für Direktwerbung (z.B. Newsletter, Werbebriefe oder -anrufe) jederzeit widersprechen. Das Unternehmen darf die Daten dann nicht mehr für Direktwerbung verwenden.

Im Falle eines solchen Werbe-Widerspruchs ist zudem jede mit der Direktwerbung in Verbindung stehende Datenverarbeitung zu beenden, mit der die potentiellen Interessen, Vorlieben, die wirtschaftliche Lage oder andere persönliche Aspekte des Betroffenen bewertet werden sollen (sog. „Profiling“, vgl. Art. 5 Nr. 4 DSGVO).

Beispiel: Ein Kunde (Verbraucher) teilt mit, dass er keine E-Mail Werbung mehr erhalten möchte. Die E-Mail Adresse ist aus entsprechenden Newsletter-Verteilern zu entfernen und ggf. in eine Sperrliste aufzunehmen. Wurde das Kaufverhalten des Betroffenen bisher ausgewertet, um ihm passgenaue E-Mail Werbung zu schicken (Profiling), so ist auch diese Auswertung in Bezug auf den Betroffenen einzustellen.

9.2     Erfüllung der Rechte von Betroffenen

Der Verarbeitungs-Verantwortliche hat durch geeignete technische und/oder organisatorische Maßnahmen sicherzustellen, dass das Unternehmen Betroffenenrechte erfüllen kann. Die Maßnahmen sind zu dokumentieren.

Beispiel: IT-Systeme sind so auszuwählen bzw. zu gestalten, dass zur Erfüllung des Auskunftsrechts alle Angaben über einen Betroffenen ausgedruckt werden können, oder es ist durch ein Verfahren sicherzustellen, dass alle Angaben zu einer Person manuell aus dem System extrahiert werden können.

Wendet sich ein Betroffener an das Unternehmen bzw. einen Mitarbeiter und macht ein Betroffenenrecht geltend, so leitet dieser das Anliegen unverzüglich an den Datenschutz-Manager weiter.

Der Datenschutz-Manager ist für die Umsetzung des Anliegens verantwortlich. Er wird hierzu:

  • dem Betroffenen den Eingang bestätigen
  • das Anliegen und die Identität des Betroffenen prüfen
  • etwaig erforderliche Informationen von den fachlich Verantwortlichen einholen bzw. die Umsetzung (z.B. Löschung) durch die fachlich Verantwortlichen veranlassen
  • dem Betroffenen antworten

10. Dokumentation und Prüfung von Verarbeitungstätigkeiten

Das Unternehmen ist kraft Gesetzes verpflichtet,

  • Den – sofern benannt – Datenschutzbeauftragten frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängende Aktivitäten einzubinden, Art. 38 Abs. 1 DSGVO,
  • alle Verarbeitungstätigkeiten in einem „Verzeichnis der Verarbeitungstätigkeiten“ zu dokumentieren und dieses den Datenschutzaufsichtsbehörden auf Verlangen vorzulegen, Art. 30 DSGVO,
  • die Einhaltung der Datenschutzgrundsätze (siehe Ziffer 5.1) und sonstigen Bestimmungen der DSGVO nachweisen zu können, Art. 24 Abs. 1, Art. 5 Abs. 2 DSGVO (sog. Rechenschaftspflicht), und
  • durch geeignete technische und organisatorische Maßnahmen bereits im Planungsstadium sowie auch im Umsetzungsstadium von Verarbeitungstätigkeiten sicherzustellen, dass die Anforderungen der DSGVO eingehalten werden, Art. 25 Abs. 1 DSGVO (sog. „Datenschutz durch Technikgestaltung“).

Das Unternehmen legt zur Sicherstellung dieser Anforderungen mit dieser Ziffer 10 Prozesse zur Prüfung und Dokumentation von „Verarbeitungstätigkeiten“ (zum Begriff siehe Ziffer 10.1) fest. Diese enthalten Pflichten des Verarbeitungs-Verantwortlichen für folgende Zeitpunkte:

  • Planung: das Erreichen eines konkreten Planungsstadiums der beabsichtigten Verarbeitungstätigkeit, d.h. der Zeitpunkt zu dem wesentliche Aspekte des Inhalts und Umfangs der Datenverarbeitung feststehen oder absehbar sind, siehe Ziffer 10.2.
  • Einführung der Verarbeitungstätigkeit, d.h. der Beginn der Verarbeitung personenbezogener Daten, siehe Ziffer 10.3.
  • Durchführung der Verarbeitungstätigkeit, siehe Ziffer 10.4.
  • Wesentliche Änderung oder Beendigung der Verarbeitungstätigkeit, siehe Ziffer 10.5.

Der Anhang „Prozess Verarbeitungstätigkeit“ stellt die einzelnen Phasen und den zugehörigen Prozess grafisch dar.

10.1  Vorliegen einer Verarbeitungstätigkeit

Eine „Verarbeitungstätigkeit“ ist ein Bündel von Verarbeitungsschritten, das einem einheitlichen, übergeordneten Zweck dient, z.B. ein bestimmter Geschäftsprozess oder ein IT-Tool. Beispiele für Verarbeitungstätigkeiten sind:

Nutzung spezieller Software oder Geräte, mit denen Mitarbeiterdaten erfasst, gespeichert oder ausgewertet werden (z.B. Zeiterfassungssystem, digitale Personalakten, elektronische Zugangskartensystem, Videoüberwachung).

Standardisierte interne Abläufe, bei denen Mitarbeiterdaten kontinuierlich oder systematisch erfasst, gespeichert oder genutzt werden (z.B. Umgang mit Bewerberdaten, Verwaltung und Abwicklung von Fortbildungsmaßnahmen, Entgeltabrechnung, E-Mail Newsletter für Kunden).

Bei der Abgrenzungsfrage, ob bestimmte Verarbeitungen eine große oder mehrere kleinere Verarbeitungstätigkeiten darstellen, sind folgende Gesichtspunkte zu berücksichtigen:

Beispiel für Abgrenzungsfrage: eine Verarbeitungstätigkeit „Verwaltung Mitarbeitergespräche“ oder zwei Verarbeitungstätigkeiten „Zielvereinbarung“ und „Zielerreichungsmessung“?

  • Eine zu feingliedrige Aufteilung führt zu unübersichtlich vielen Verarbeitungstätigkeiten und erhöht unnötig den Verwaltungsaufwand.
  • Eine zu grobgliedrige Aufteilung (z.B. „Personaldatenverwaltung“) erlaubt keine sinnvolle Prüfung der Datenschutzkonformität mehr.
  • Zur Ermittlung eines übergeordneten Zweckes bietet sich eine Orientierung an bestehenden Geschäftsprozessen oder Aufgabenbereichen an.
  • Die Abgrenzung kann auch anhand der technischen Systeme erfolgen, die der Verarbeitungstätigkeit zu Grunde liegen. Nicht jedes IT-System muss aber als eigene Verarbeitungstätigkeit angesehen werden.
  • Würde eine Verarbeitungstätigkeit in die Verantwortlichkeit mehrerer Fachbereiche fallen, kann eine Aufteilung sinnvoll sein.

Rein abstrakte Verarbeitungen ohne konkreten Zweck

Beispiele: allgemeine Nutzung von Office-Programmen, allgemeine Projektorganisation

oder nur gelegentliche Verarbeitungen

Beispiele: Führen von Teilnehmerlisten von Besprechungen

stellen keine „Verarbeitungstätigkeiten“ dar. Für diese Verarbeitungen gelten nicht die Prüf- und Dokumentationsanforderungen gemäß dieser Ziffer 10, es sind aber dennoch die Anforderungen des Datenschutzes zu beachten.

10.2  Planung von Verarbeitungstätigkeiten (Konzeptionsphase)

Mit Erreichen eines konkreten Planungsstadiums der beabsichtigten Verarbeitungstätigkeit entwirft der Verarbeitungs-Verantwortliche einen vorläufigen Eintrag für das Verzeichnis der Verarbeitungstätigkeiten. Er nutzt hierfür das vom Datenschutz-Manager bereitgestellte Formular bzw. IT-Tool. In der Meldung ist der Eintrag als „in Planung“ zu kennzeichnen.

Der Verarbeitungs-Verantwortliche stellt dem Datenschutz-Manager – und sofern benannt, dem Datenschutzbeauftragten – den Entwurf zur Verfügung.

Der Verarbeitungs-Verantwortliche füllt sodann mit Unterstützung des Datenschutz-Managers die „Checkliste DSGVO“ aus. Bei Unklarheiten zieht der Verarbeitungs-Verantwortliche – sofern benannt – den Datenschutzbeauftragten hinzu.

Mit Hilfe der Checkliste wird die Einhaltung der DSGVO-Anforderungen geprüft, dokumentiert und die Verarbeitungstätigkeit einer Risikoklasse (niedrig, mittel, hoch) zugeordnet (Risikoklassifizierung).

Ergeben sich aus der Checkliste noch erforderliche Datenschutz-Maßnahmen, werden diese vom Datenschutz-Manager schriftlich festgehalten und dabei folgendes dokumentiert: Inhalt der Maßnahme, Verantwortlicher und vereinbarte Umsetzungsfrist.

Beispiele für Datenschutz-Maßnahmen: Datenschutzinformationen zur Sicherstellung der Transparenz sind noch zu entwerfen und zu veröffentlichen, eine Datenschutzfolgenabschätzung ist durchzuführen.

Für den Inhalt der Checkliste und die Umsetzung der Datenschutz-Maßnahmen ist der Verarbeitungs-Verantwortliche verantwortlich. Die Umsetzung der Datenschutz-Maßnahmen wird durch den Datenschutz-Manager nachverfolgt.

10.3  Einführung von Verarbeitungstätigkeiten

Bis spätestens zum Zeitpunkt der Einführung der Verarbeitungstätigkeit vervollständigt und finalisiert der Verarbeitungs-Verantwortliche den Eintrag für das Verzeichnis der Verarbeitungstätigkeiten und die „Checkliste DSGVO“ und übersendet diese dem Datenschutz-Manager und, sofern benannt, dem Datenschutzbeauftragten.

Sonstige Informationen, die zur Dokumentation der Einhaltung der Vorschriften zum Schutz personenbezogener Daten erforderlich sind, verwahrt der Verarbeitungs-Verantwortliche bei sich.

Dies können z.B. sein: Rollen- und Berechtigungskonzepte, Löschkonzepte, Datenbankstrukturen/Listen mit Datenfeldern, Kopien von Datenschutzhinweisen, Dokumentation interner Prozesse und Geschäftsabläufe bei der Datenverarbeitung, Datensicherheitskonzepte, Leistungs- und Funktionsbeschreibungen von Software, Administrationshandbücher, Arbeitsanweisungen, Protokolle zur Datenlöschung

10.4  Durchführung von Verarbeitungstätigkeiten (Regelprüfung)

Der Verarbeitungs-Verantwortliche nimmt in regelmäßigen Abständen sowie anlassbezogen eine Regelprüfung der Verarbeitungstätigkeit vor. Das Intervall der Regelprüfung beträgt:

  • bei Risikoklassifizierung „niedrig“: 36 Monate
  • bei Risikoklassifizierung „mittel“: 24 Monate
  • bei Risikoklassifizierung „hoch“: 12 Monate

Der Termin der nächsten Regelprüfung dokumentiert der Verarbeitungs-Verantwortliche.

Im Rahmen der Regelprüfung prüft der Verarbeitungs-Verantwortliche, ob der Eintrag ins Verfahrensverzeichnis und die ausgefüllte „Checkliste DSGVO“ („Datenschutz-Dokumentation“) noch aktuell sind, und ob die getroffenen Maßnahmen wirksam und ausreichend sind. Erforderlichenfalls aktualisiert er die Datenschutz-Dokumentation und stellt Sie dem Datenschutz-Manager und soweit benannt dem Datenschutzbeauftragten bereit. Das Ergebnis der Prüfung dokumentiert der Verarbeitungs-Verantwortliche.

Beispiele: Mit Einführung des Verfahrens wurde eine Speicherfrist von drei Jahren für die Daten festgelegt. Im Rahmen der Regelprüfung zeigt sich, dass die Daten eigentlich nach wenigen Monaten nicht mehr benötigt werden. Die Speicherfrist ist anzupassen.

Nach Einführung der Verarbeitungstätigkeit wurden Auslegungshinweise von Aufsichtsbehörden zur DSGVO veröffentlicht oder es ergeht Rechtsprechung, aus der sich Anpassungsanforderungen bei den Datenschutzinformationen für Betroffene ergeben.

10.5  Änderung, Beendigung und Abschluss von Verarbeitungstätigkeiten

Ergeben sich bei einer Verarbeitungstätigkeit wesentliche Änderungen, so verfährt der Verarbeitungs-Verantwortliche bis zur Umsetzung der Änderung entsprechend Ziffer 10.2 und 10.3.

Eine wesentliche Änderung liegt vor, wenn sich durch die Frage der Konformität mit den Vorschriften zum Schutz personenbezogener Daten neu stellt oder sich die bisherige Dokumentation als unvollständig oder sonst unzutreffend darstellt.

Beispiele für wesentliche Änderungen: Es werden neue Arten von Daten erfasst. Bereits erhobene Daten werden für neue Zwecke verwendet. Die zu Grunde liegende Software wird durch ein Upgrade um zusätzliche Funktionen erweitert, wodurch neue Datenauswertungen möglich sind.

Eine Beendigung der Verarbeitungstätigkeit ist vom Verarbeitungs-Verantwortlichen durch entsprechenden Vermerk im Eintrag des Verzeichnisses der Verarbeitungstätigkeiten zu dokumentieren. Eine Beendigung liegt vor, wenn Daten nur noch zu Zwecken der Einhaltung von Aufbewahrungspflichten verarbeitet werden.

Werden im Rahmen der Verarbeitungstätigkeit keinerlei Daten mehr verarbeitet – d.h. auch nicht zu Aufbewahrungszwecken gespeichert – so vermerkt der Datenschutz-Verantwortliche im Verzeichnis der Verarbeitungstätigkeiten die Verarbeitungstätigkeit als „abgeschlossen“ und dokumentiert das Datum des Abschlusses.

Die Datenschutz-Dokumentation samt begleitender Unterlagen ist für weitere drei Jahre ab Abschluss der Verarbeitungstätigkeit aufzubewahren.

Bei Änderungen an der Datenschutz-Dokumentation nach dem Zeitpunkt der Einführung der Verarbeitungstätigkeit beachtet der ändernde Mitarbeiter folgendes:

  • Alle Änderungen sind mit Datum und Verfasser kenntlich zu machen.
  • Es ist sicherzustellen, dass Altfassungen weiterhin abrufbar bleiben.
  • Soweit ein IT-Tool zur Führung des Verzeichnisses der Verarbeitungstätigkeiten genutzt wird, ist die Änderung dort vom verantwortlichen Mitarbeiter zu hinterlegen.
  • Änderungen sind dem Datenschutz-Manager mitzuteilen.

10.6  Führung des Verzeichnisses der Verarbeitungstätigkeiten

Die Führung des Verzeichnisses der Verarbeitungstätigkeiten erfolgt durch den Datenschutz-Manager, indem er die von den Verarbeitungs-Verantwortlichen eingereichten Einträge und ausgefüllten Checklisten bei sich zentral sammelt und dokumentiert.

11. Datenschutzfolgenabschätzung

Hat eine Verarbeitung personenbezogener Daten für Betroffene (z.B. Mitarbeiter oder Kunden) voraussichtlich ein hohes Risiko, so muss vor Beginn der Verarbeitung eine Datenschutzfolgenabschätzung durchgeführt werden, Art. 35 DSGVO („Datenschutzfolgenabschätzung“).

Bei dieser werden die Risiken für Betroffene ermittelt und bewertet, erforderlichenfalls Abhilfemaßnahmen zur Risikoreduzierung festgelegt und umgesetzt und dies dokumentiert. Die Datenschutzfolgenabschätzung ist ein gesetzlich vorgeschriebenes Verfahren, um Risiken bei besonders riskanten Verarbeitungen zu reduzieren und dies zu dokumentieren.

Die Datenschutzfolgenabschätzung ist häufig ein komplexer Prozess bei dem verschiedene Beteiligte (z.B. Fachabteilung, Datenschutz, Informationssicherheit, ggf. Mitarbeitervertretungen und Aufsichtsbehörden) mitwirken müssen. Die Datenschutzfolgenabschätzung muss deshalb mit ausreichender Vorlaufzeit noch im Planungsstadium der Verarbeitung begonnen werden.

11.1  Erforderlichkeit einer Datenschutzfolgenabschätzung

Eine Datenschutzfolgenabschätzung ist erforderlich, wenn die Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, Art. 35 Abs. 1 Satz 2 DSGVO.

Fälle, bei denen eine Datenschutzfolgenabschätzung notwendig sein kann: Verwendung von biometrischen Systemen zur Zutrittskontrolle, umfangreiche Verarbeitung von Daten, die dem Sozial-, einem Berufs- oder besonderen Amtsgeheimnis unterliegen (Großkanzlei), umfangreiche Verarbeitung von personenbezogenen Daten über den Aufenthalt von natürlichen Personen (Flottenmanagement, Nachverfolgung der Laufwege von Kunden im Geschäft), Scoring durch Auskunfteien, Banken oder Versicherungen, Betrugserkennungssysteme, Betrieb von Bewertungsportalen, Geolokalisierung von Beschäftigten, Big-Data-Analyse von Kundendaten, die mit Angaben aus Drittquellen angereichert wurden, Kundensupport mittels künstlicher Intelligenz, Erstellung umfassender Profile über das Kaufverhalten von Betroffenen.

Der Datenschutz-Manager prüft bei der Meldung von Verarbeitungstätigkeiten in der Planungsphase (siehe Ziffer 10.2), ob ein solches Risiko voraussichtlich besteht (sogenannte „Schwellenwertanalyse“) und informiert den Verarbeitungs-Verantwortlichen.

11.2  Durchführung der Datenschutzfolgenabschätzung

Der Verarbeitungs-Verantwortliche führt die Datenschutzfolgenabschätzung durch und dokumentiert diese. Der Verarbeitungs-Verantwortliche

  • holt dabei den Rat des Datenschutzbeauftragten ein, sofern ein solcher benannt ist
  • bezieht diejenigen Fachbereiche ein, die bei der Ermittlung und Bewertung der Risiken, sowie bei der Festlegung und Umsetzung von Abhilfemaßnahmen fachliche Informationen oder Expertise zuliefern können (z.B. IT-Sicherheit, Auftragsverarbeiter)
  • holt, soweit sinnvoll, den Standpunkt der Betroffenen ein
  • zieht, soweit erforderlich, externe Expertise hinzu (z.B. zur IT-Sicherheitsexperten oder Rechtsberater).
  • dokumentiert und koordiniert den Prozess der Datenschutzfolgenabschätzung und dessen Durchführung.

Weiterführende Informationen zur Datenschutzfolgenabschätzung

12. Auftragsverarbeitung durch Dienstleister

Werden personenbezogene Daten durch Dienstleister im Auftrag des Unternehmens verarbeitet (vgl. Ziffer 12.1), stellt der Verarbeitungs-Verantwortliche sicher, dass mit dem Dienstleister die erforderlichen Datenschutz-Vereinbarungen geschlossen (vgl. Ziffer 12.2) und die Dienstleister ausreichend überprüft (vgl. Ziffer 12.3) werden, Art. 28 DSGVO.

12.1  Vorliegen einer Auftragsverarbeitung

Eine Auftragsverarbeitung findet statt, wenn das Unternehmen personenbezogene Daten durch Dienstleister im Auftrag verarbeiten lässt und dabei vorgibt

  • wofür und mit welchem Ziel die Daten verarbeitet werden sollen (Zwecke der Verarbeitung) und
  • wie im Wesentlichen mit den Daten umzugehen ist (Mittel der Verarbeitung), z.B. wie lange die Daten gespeichert werden, welche Daten genutzt werden und an wen Daten weitergegeben werden sollen.

Auftragsverarbeitungen liegen häufig in folgenden Fällen vor:

  • Betrieb bzw. Hosting von Software oder Datenbanken mit personenbezogen Daten durch IT-Dienstleister
  • Nutzung von Cloud Diensten (z.B. Software as a Service), in denen personenbezogene Daten gespeichert sind
  • Nutzung von Webseite-Analyse-Systemen (z.B. Google Analytics)
  • Externes Scannen, Archivieren oder Vernichten von Unterlagen

Maßgeblich ist dabei, ob das Unternehmen faktisch, also in der Praxis, die Zwecke und Mittel der Verarbeitung vorgibt.

Je detaillierter die Vorgaben zum Datenumgang an den Externen sind und je stärker der Externe kontrolliert wird, desto wahrscheinlicher ist eine Auftragsverarbeitung. Erhält der Externe hingegen eigene Nutzungsrechte an den Daten, hat er einen eigenen umfassenden Ermessenspielraum beim Datenumgang oder werden ganze Aufgabenbereiche zur eigenverantwortlichen Erledigung übertragen, so spricht dies gegen eine Auftragsverarbeitung.

Von einer Auftragsverarbeitung ist auch dann auszugehen, wenn der Externe Leistungen erbringt, bei dem die Verarbeitung personenbezogener Daten nicht unmittelbar Gegenstand der Leistung ist, ein Zugriff auf personenbezogene Daten aber nicht vermieden werden kann.

Ein IT-Dienstleister erbringt Fernwartungsleistungen (Fehlerbehebung, Einspielen von Updates) bei einer Software/Datenbank, die das Unternehmen im eigenen Rechenzentrum betreibt. Der IT-Dienstleister könnte bei der Leistungserbringung Zugriff auf in der Software gespeicherte personenbezogene Daten nehmen.

In Zweifelsfällen stimmt der Verarbeitungs-Verantwortliche das Vorliegen einer Auftragsverarbeitung mit dem Datenschutzbeauftragten – sofern benannt – ab und dokumentiert das Ergebnis.

12.2  Verträge mit Dienstleistern

Bevor Verarbeitungsleistungen von Auftragsverarbeitern in Anspruch genommen werden ist mit diesen ein Vertrag zur Auftragsverarbeitung zu schließen, der den Anforderungen des Art. 28 DSGVO genügt.

Für die Verträge ist das Muster zu verwenden, dass der Datenschutz-Manager bereitstellt. Das Muster füllt der Verarbeitungs-Verantwortliche mit Unterstützung des Datenschutz-Managers aus.

Soll von dem Muster inhaltlich abgewichen oder ein Vertragsmuster des Auftragsverarbeiters verwendet werden, bedarf die finale Fassung der Freigabe durch den Datenschutz-Manager.

Die Verträge zur Auftragsverarbeitung sind schriftlich zu schließen und werden vom Datenschutz-Manager zentral verwahrt bzw. dokumentiert. Der Vertragsschluss kann auch in einem elektronischen Format erfolgen (z.B. PDF-Scan).

12.3  Prüfung der Dienstleister

Bevor Auftragsverarbeiter eingeschaltet werden sind diese daraufhin zu prüfen, ob sie die Bestimmungen der DSGVO, insbesondere zur Datensicherheit (Art. 32 DSGVO), einhalten. Die Prüfung ist vom Verarbeitungs-Verantwortlichen zu veranlassen und erfolgt durch den Datenschutz-Manager und soweit die Datensicherheit betroffen ist, durch den Datensicherheits-Manager. Der Datenschutzbeauftragte ist, sofern benannt, in die Prüfung mit einzubinden. Zu prüfen ist insbesondere, ob die vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zur Datensicherheit ausreichend sind. Der Datenschutz-Manger dokumentiert Inhalt und Ergebnis der Prüfung.

Der Datenschutz-Manager wiederholt die Prüfung regelmäßig, in der Regel alle 24 Monate. Wurde das Risiko für die der Auftragsverarbeitung zu Grunde liegenden Verarbeitungstätigkeit mit „hoch“ klassifiziert, erfolgt die Prüfung in der Regel alle 12 Monate, wurde sie mit „niedrig“ klassifiziert alle 36 Monate (zur Risikoklassifizierung siehe Ziffer 10.2).

Weiterführende Informationen zur Auftragsverarbeitung

13. Übermittlung in Länder außerhalb der EU

Werden personenbezogene Daten in ein Land übermittelt, das nicht Mitglied der EU ist („Drittland“), so stellt der Verarbeitungs-Verantwortliche sicher, dass die Anforderungen der Artikel 44 ff. DSGVO an einen Datenexport eingehalten werden. Keine Drittländer sind auch die anderen Länder des Europäischen Wirtschaftsraums (Island, Liechtenstein und Norwegen).

Eine Übermittlung in ein Drittland ist nach diesen Bestimmungen nur zulässig wenn,

  • ein Ausnahmefall nach Art. 49 DSGVO vorliegt (z.B. Einwilligung, erforderlich zur Erfüllung eines Vertrags mit dem Betroffenen, Rechtsverteidigung),
  • die Datenübermittlung auf Grundlage eines Angemessenheitsbeschlusses nach Art. 45 DSGVO erfolgt, insbesondere in ein Land, Gebiet bzw. Sektor, für das die EU Kommission beschlossen hat, dass dieses ein angemessenes Schutzniveau aufweist (z.B. Übermittlung in die Schweiz; Übermittlung an ein US-Unternehmen, das nach dem PrivacyShield selbstzertifiziert ist)
  • das Unternehmen geeignete Garantien im Sinne des Artikel 46 DSGVO vorgesehen hat, insbesondere mit den Datenempfängern einen Vertrag gemäß den Standardvertragsklauseln der EU Kommission geschlossen hat.

Der Verarbeitungs-Verantwortliche hat die Übermittlung personenbezogener Daten in ein Drittland vorher mit dem Datenschutz-Manager abzustimmen, außer die Übermittlung erfolgt nur vereinzelt und nur in geringem Umfang.

Der Verarbeitungs-Verantwortliche dokumentiert im Verzeichnis der Verarbeitungstätigkeiten, die Übermittlung in das Drittland (betroffene Datenarten und Drittland), sowie die Basis für deren rechtliche Zulässigkeit (z.B. konkreter Ausnahmefall nach Art. 49 DSGVO, Kopie des geschlossenen Vertrags gemäß den Standardvertragsklauseln der EU Kommission)

Die vorgenannten Anforderungen gelten auch, wenn die Übermittlung in ein Drittland durch einen Auftragsverarbeiter des Unternehmens oder durch dessen Subunternehmer erfolgt.

Das Unternehmen nutzt das Online-Angebot eines deutschen IT-Dienstleisters, dieser nutzt seinerseits Cloud-Dienste eines US-Anbieters (z.B. Amazon AWS).

Weiterführende Informationen zu Übermittlungen in Drittländer

14. Umgang mit Datenschutzvorfällen

Das Unternehmen ist verpflichtet, Datenschutzvorfälle zu dokumentieren, in bestimmten Fällen diese innerhalb von 72 Stunden Datenschutz-Aufsichtsbehörden zu melden und ggf. Betroffene zu benachrichtigen, Art. 33, 34, 4 Nr. 12 DSGVO.

Die wesentlichen Schritte sind im Anhang „Prozess Datenschutzvorfall“ dargestellt.

14.1  Vorliegen eines Datenschutzvorfalls

Datenschutzvorfall“ ist jede „Verletzung des Schutzes personenbezogener Daten“ im Sinne von Art. 4 Ziffer 12 DSGVO, d.h. jede Verletzung der Vertraulichkeit, Verfügbarkeit oder Integrität personenbezogener Daten.

Verletzung der Vertraulichkeit: Sie liegt vor bei der unbefugten oder versehentlichen Offenlegung von personenbezogenen Daten oder einem solchen Zugriff auf diese.

Aufgrund einer Fehlkonfiguration im System konnten Unberechtigte innerhalb des Unternehmens Beurteilungen von Mitarbeitern einsehen.

Gehaltsbescheinigungen wurden an einen falschen Adressaten gesendet.

Ein unverschlüsselter USB-Stick mit Kontaktdaten von Kunden wurde gestohlen.

Eine E-Mail mit Mitarbeiterdaten wurde versehentlich an einen zu großen Verteilerkreis gesendet.

Verletzung der Verfügbarkeit: Sie ist gegeben bei einem unbefugten oder versehentlichen Verlust des Zugriffs auf personenbezogene Daten oder der Vernichtung oder dem Verlust von personenbezogenen Daten. Ein Datenschutzvorfall liegt bereits dann vor, wenn die Verfügbarkeit von personenbezogenen Daten vorrübergehend nicht gegeben ist.

Der Zugriff auf die digitale Personalakte ist längere Zeit unmöglich.

Ein USB-Stick, Laptop oder Smartphone mit personenbezogenen Daten kommt abhanden.

Rechner wurden mit Ransomware infiziert (Schadsoftware, die Daten verschlüsselt und nur nach Zahlung eines „Lösegelds“ wieder entschlüsselt)

Verletzung der Integrität meint die unbefugte oder versehentliche Änderung von personenbezogenen Daten.

Versehentlich wurden Änderungen im Datensatz eines falschen Mitarbeiters oder Kunden eingetragen.

14.2  Interne Meldepflicht

14.2.1     Adressat der internen Meldung

Jeder Mitarbeiter meldet einen Datenschutzvorfall sowie jeden konkreten Verdacht auf einen Datenschutzvorfall bei Bekanntwerden sofort intern an den Datensicherheits-Manager. Dessen Kontaktdaten sind im Anhang Kontaktdaten genannt.

14.2.2     Zeitpunkt und Form der internen Meldung

Die interne Meldung muss so schnell wie möglich erfolgen, insbesondere bei schwerwiegenden Datenschutzvorfällen und solchen, bei denen zum Schutz der Betroffenen Schutzmaßnahmen durch das Unternehmen getroffen werden können.

Die Meldung kann in jeder Form erfolgen. Bei mündlichen Meldungen sind diese unverzüglich schriftlich (z.B. per E-Mail) nachzuholen.

14.2.3     Inhalt der internen Meldung

Soweit bekannt sind in der Meldung folgende Fragen zu beantworten oder die Antworten unverzüglich nachzureichen:

  • Was ist passiert? (möglichst genaue Beschreibung des Datenschutzvorfalls).
  • Betrifft der Datenschutzvorfall eine Verarbeitung, die das Unternehmen für einen anderen im Auftrag ausführt oder für sich selbst?
  • Um wessen personenbezogene Daten geht es? (z.B. Mitarbeiter, Ansprechpartner Kunde).
  • Die Daten wie vieler Personen sind ungefähr betroffen? (z.B. 1-10, mehrere Tausend).
  • Welche Arten von personenbezogenen Daten sind betroffen (z.B. „gesamtes E-Mail Postfach“, „Gehaltslisten“, „Name, Anschrift und berufliche Kontaktdaten“).
  • Wie viele Datensätze sind ungefähr betroffen? (z.B. 10-20, 100-200, 10.000).
  • Wer hat die Meldung vorgenommen und wie ist diese Person ggf. kurzfristig erreichbar?
  • Seit wann (Datum und Uhrzeit) besteht Kenntnis von dem Datenschutzvorfall?

Soweit möglich ist zudem anzugeben:

  • Von welchen Mitarbeitern können weitere Informationen zum Datenschutzvorfall erlangt werden und wie sind diese erreichbar?
  • Was sind die wahrscheinlichen Folgen des Datenschutzvorfalls?
  • Welche Maßnahmen zur Behebung des Datenschutzvorfalls wurden bereits ergriffen? Welche weiteren Maßnahmen werden vorgeschlagen? (z.B. Fernlöschung von Daten auf einem verloren gegangenen Smartphone).
  • Welche Maßnahmen zur Abmilderung möglicher nachteiliger Auswirkungen wurden bereits ergriffen oder werden vorgeschlagen?

14.3  Weiteres Vorgehen

14.3.1     Information des Leiter Rechts

Der Datensicherheits-Manager informiert unverzüglich den Datenschutz-Manager über den Datenschutzvorfall.

14.3.2     Nachforschung und Sicherungsmaßnahmen

Handelt es sich bei der Meldung um einen Verdacht eines Datenschutzvorfalls leitet der Datensicherheits-Manager unverzüglich etwaig erforderliche Nachforschungsmaßnahmen ein. Gleiches gilt, wenn die wahrscheinlichen Folgen des Datenschutzvorfalls und damit das mögliche Risiko des Datenschutzvorfalls unklar sind. Bestätigt sich der Verdacht, dokumentiert der Datensicherheits-Manager Datum und Uhrzeit, zu dem ein hinreichendes Maß an Sicherheit betreffend den Datenschutzvorfall besteht. Dieser Zeitpunkt ist für den Beginn der 72-Stunden Frist zur etwaigen Meldung an eine Datenschutz-Aufsichtsbehörde maßgeblich.

Soweit erforderlich leitet der Datensicherheits-Manager sofort Maßnahmen zur Behebung des Datenschutzvorfalls oder zur Abmilderung möglicher nachteiliger Auswirkungen des Datenschutzvorfalls ein.

Sperrung von Zugängen, Änderung von Passwörtern, Einspielen von Backups

14.3.3     Information von Auftraggebern bei Auftragsverarbeitung

Betrifft der Datenschutzvorfall eine Verarbeitung, die das Unternehmen für einen anderen im Auftrag als Auftragsverarbeiter durchführt informiert der Datensicherheits-Manager unverzüglich den Auftraggeber.

14.3.4     Risikoanalyse

Der Datensicherheits-Manager führt eine Risikoanalyse nach Art 33 Abs. 1, 34 Abs. 1 DSGVO durch. Er zieht hierzu den Datenschutz-Manager und den Datenschutzbeauftragten hinzu. Im Rahmen der Risikoanalyse wird ermittelt, ob der Datenschutzvorfall

  • zu keinem Risiko (dann siehe Ziffer 14.3.6) [grüne Kategorie]
  • zu einem Risiko (dann siehe Ziffer 14.3.4 und 14.3.6) [gelbe Kategorie], oder
  • zu einem hohen Risiko (dann siehe Ziffer 14.3.4, 14.3.5 und 14.3.6) [rote Kategorie]

für die Rechte und Freiheiten natürlicher Personen führt.

14.3.5     Ggf. Meldung an die Datenschutz-Aufsichtsbehörde

Führt ein Datenschutzvorfall voraussichtlich zu einem Risiko für die Rechte und Freiheiten einer natürlichen Person (gelbe oder rote Kategorie) ist eine Meldung an die Datenschutz-Aufsichtsbehörde gemäß Art. 33 DSGVO vorzunehmen, sofern das Unternehmen die Daten nicht lediglich im Auftrag eines anderen verarbeitet hat. Für die Meldung ist der Datenschutz-Manager verantwortlich.

Die Meldung gegenüber der Datenschutz-Aufsichtsbehörde muss unverzüglich und möglichst binnen 72 Stunden ab Kenntnis erfolgen, Art. 33 Abs. 1 DSGVO. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen, Art. 33 Abs. 1 DSGVO.

Wenn und soweit die Informationen nicht vollständig oder nicht rechtzeitig bereitgestellt werden können (z.B. noch andauernde interne IT-forensische Untersuchungen zu einem Hackerangriff), sind die Angaben ohne unangemessene Verzögerung schrittweise der Datenschutz-Aufsichtsbehörde bereitzustellen. Sollen später noch Informationen nachgereicht werden, ist dies der Datenschutz-Aufsichtsbehörde möglichst vorab anzuzeigen.

14.3.6     Ggf. Benachrichtigung von Betroffenen

Führt ein Datenschutzvorfall voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten einer natürlichen Person (rote Kategorie) so sind die Betroffenen von dem Datenschutzvorfall gemäß Art. 34 DSGVO zu benachrichtigen, sofern das Unternehmen die Daten nicht lediglich im Auftrag eines anderen verarbeitet hat und kein Ausnahmefall nach Art. 34 Abs. 3 DSGVO vorliegt.

Für die Benachrichtigung ist der Datenschutz-Manager verantwortlich, der sich hierzu mit der Unternehmensleitung abstimmt.

14.3.7     Dokumentation im Verzeichnis für Datenschutzvorfälle

Jeden Datenschutzvorfall (grüne, gelbe und rote Kategorie) dokumentiert der Datensicherheits-Manager in einem Verzeichnis, Art. 33 Abs. 5 DSGVO.

Darin sind festzuhalten:

  • Datenschutzvorfall betrifft Unternehmen als Verantwortlichen oder Auftragsverarbeiter?
  • Alle im Zusammenhang mit dem Datenschutzvorfall stehende Fakten.
  • Auswirkungen des Datenschutzvorfalls.
  • Abhilfemaßnahmen betreffend den Datenschutzvorfall.
  • Erwägungen und Ergebnis der Risikoeinschätzung zum Datenschutzvorfall.

Die Dokumentation muss der Datenschutz-Aufsichtsbehörde die Überprüfung der Einhaltung der Meldepflicht nach Art. 33 DSGVO ermöglichen und auf Anfrage dieser vorgelegt werden, Art. 33 Abs. 5 DSGVO.

Weiterführende Informationen zu Datenschutzvorfällen

15. Verpflichtung auf den Datenschutz und Schulungen

15.1  Verpflichtungserklärung

Alle Personen, die Zugriff auf personenbezogene Daten haben, sind zur Vertraulichkeit und auf die Einhaltung der Grundsätze der DSGVO zu verpflichten. Dies können neben Mitarbeitern auch Externe sein (z.B. Freelancer).

Die Verpflichtung erfolgt durch Unterzeichnung eines Formblatts „Verpflichtung zum Datenschutz“ (Datenschutz-Verpflichtung). Mit der Datenschutz-Verpflichtung ist der „Spickzettel Datenschutz“ zur Information bereitzustellen.

Zuständig für die Einholung und Dokumentation der Datenschutz-Verpflichtung ist bei Mitarbeitern (einschließlich Auszubildenden und Praktikanten) der Leiter des Fachbereichs Personal und bei externen Personen der Datenschutz-Manager.

Die Datenschutz-Verpflichtung ist bei allen betroffenen Mitarbeitern und Dritten nach Inkrafttreten dieser Richtlinie neu einzuholen und sodann regelmäßig, spätestens alle 36 Monate, zu erneuern. Bei neu eingestellten Beschäftigten ist die Verpflichtung erstmals zusammen mit Unterzeichnung des Arbeitsvertrags einzuholen, bei Externen im Zusammenhang mit deren Beauftragung.

15.2  Schulungen

Verantwortlich für die Durchführung bzw. Bereitstellung und für die Dokumentation der Schulungen zum Datenschutz ist der Datenschutzbeauftragte, sofern ein solcher nicht benannt ist, der Datenschutz-Manager.

Dieser erstellt einen Schulungsplan für einen Zeitraum von 24 Monate und legt darin fest

  • zu schulende Personengruppen (z.B. Personalabteilung, Führungskräfte) und für diese jeweils;
  • nächste Schulung (z.B. Quartal 1/20xx)
  • Periodizität der Schulung (z.B. Wiederholung alle 24 Monate)
  • Art der Schulung (z.B. Online-Schulung oder Präsenzschulung)
  • Schulungsinhalte (z.B. Basisschulung, IT-Sicherheit, Betroffenenrechte)
  • Weitere Maßnahmen zur Schaffung von Bewusstsein für den Datenschutz (z.B. Fragerunde in Abteilungsbesprechungen, Beitrag in Mitarbeiterzeitschriften oder Intranet, Aushänge, Bekenntnis der Geschäftsführung zum Datenschutz)

16. Umsetzungs- und Dokumentationspflicht

Der Verarbeitungs-Verantwortliche trifft risikoangemessene technische und organisatorische Maßnahmen, um sicherzustellen, dass die Verarbeitung personenbezogener Daten gemäß der DSGVO erfolgt und dies auch nachweisbar ist. Sofern nicht bereits durch Ziffer 10 geregelt, hat der Verarbeitungs-Verantwortliche hierzu entsprechende Dokumentationen anzufertigen, bei sich vorzuhalten und erforderlichenfalls zu prüfen und zu aktualisieren (Art. 24 Abs. 1 DSGVO).

Siehe Beispiele bei Ziffer 10.3.

17. Datensicherheit

Das Unternehmen ist verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, um personenbezogene Daten risikoangemessen zu schützen, Art. 32 DSGVO. Hierfür ist zunächst das Schutzniveau zu ermitteln (Ziffer 17.1). Sodann sind entsprechende Datensicherheitsmaßnahmen festzulegen (Ziffer 17.2).

17.1  Ermittlung des Schutzniveaus

Bei der Verarbeitung personenbezogener Daten ist abhängig von den jeweiligen Daten und der Verarbeitung das Schutzniveau zu bestimmen (z.B. niedrig, mittel, hoch, sehr hoch). Dabei sind die Risiken für Betroffene zu berücksichtigen. Diese können sich insbesondere ergeben aus

  • einer Vernichtung von personenbezogenen Daten
  • einem Verlust von personenbezogenen Daten
  • der Veränderung von personenbezogenen Daten
  • der unbefugten Offenlegung von personenbezogenen Daten
  • dem unbefugten Zugang zu personenbezogenen Daten

Bei den Risiken sind die Schwere des potentiellen Schadens für die Betroffenen und die Eintrittswahrscheinlichkeit zu berücksichtigen.

17.2  Datensicherheitsmaßnahmen

Sodann sind dem Schutzniveau entsprechend angemessene Datensicherheitsmaßnahmen umzusetzen.

Bei der Frage, welche Datensicherheitsmaßnahmen „angemessen“ sind, ist zu berücksichtigen (Art. 32 Abs. 1 DSGVO):

  • Stand der Technik (gemeint sind nicht die neuesten technischen Entwicklungen und Fortschritte, sondern die am Markt verfügbare Technologie)
  • Kosten für die Umsetzung der Datensicherheitsmaßnahmen
  • Art, Umfang, Umstände und Zweck der Verarbeitung
  • Eintrittswahrscheinlichkeit und Schwere der Risiken für die Betroffenen (also das ermittelte Schutzniveau)

Als Beispiele für Datensicherheitsmaßnahmen nennt Artikel 32 Abs. 1 DSGVO:

  • die Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • Maßnahmen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste dauerhaft sicherstellen.

Vertraulichkeit: Personenbezogene Daten müssen vor unbefugter oder unbeabsichtigter Preisgabe geschützt werden. Dabei sind externe wie interne Angreifer (z.B. Hacker, frustrierte oder neugierige Mitarbeiter) sowie fahrlässige oder strukturelle Gefährdungen (z.B. ungeschulte Mitarbeiter, mangelhafte Rollen-/Berechtigungskonzepte) zu berücksichtigen.

Integrität: Personenbezogene Daten sind vollständig und richtig bereitzustellen. Unzulässige Änderungen an den Daten sind zu erkennen (z.B. durch Protokollierung/Logfiles) und Verfahren zur Berichtigung vorzuhalten.

Verfügbarkeit: Personenbezogene Daten müssen zur Verfügung stehen, wenn sie benötigt werden. Dies setzt auch voraus, dass sie bei Verlust oder Vernichtung wiederhergestellt werden können (z.B. Backups).

  • Maßnahmen, die die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen sicherstellen (Wiederherstellung bei einem physischen oder technischen Zwischenfall).
  • Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Datensicherheits-Maßnahmen (z.B. Penetrationstests, externe Begutachtung).

17.3  Verantwortlichkeit

Der Datensicherheits-Manager ist dafür verantwortlich, dass für alle verarbeiteten personenbezogenen Daten ein Schutzniveau ermittelt wird und angemessene Maßnahmen zur Datensicherheit umgesetzt werden. Der Datensicherheits-Manager empfiehlt hierzu der Unternehmensleitung entsprechende Richtlinien und sonstige Maßnahmen zur Umsetzung.

18. Überprüfungszyklus und Anpassung

Der Datenschutz-Manager wird die vorliegende Anweisung mindestens alle 24 Monate fachlich prüfen, hierzu – sofern benannt – den Datenschutzbeauftragten konsultieren und ggf. der Unternehmensleitung Änderungen vorschlagen.

19. Änderungshistorie

 

Version

Datum

Verfasser

Anmerkung/Änderung

Freigabe

1.0

Bitte ergänzen

Bitte ergänzen

Ersterstellung

Bitte ergänzen

 

 

Die Unternehmensleitung:

 

_______________________
(Name)

 

_______________________
(Funktion)

 

_______________________

(Ort, Datum)

 

_______________________

Unterschrift

 

Anhang: Begriffe und Definitionen

  • automatisierte Einzelentscheidung“: siehe Ziffer 5.3.
  • Betroffener“: siehe Ziffer 2.
  • Betroffenenrechte“: siehe Ziffer 9.1.
  • Datenschutz-Dokumentation“: siehe Ziffer 10.2
  • Datenschutzbeauftragter“: siehe Ziffer 3.3
  • Datenschutzfolgenabschätzung: siehe Ziffer 10.2.
  • „Datenschutzverletzung“: siehe Ziffer 12.
  • „Datenschutzvorfall“: siehe Ziffer 14.1.
  • Drittland“: siehe Ziffer 13.
  • „personenbezogene Daten“: siehe Ziffer 2.
  • „Profiling“: siehe Ziffer 9.1.7.
  • „Schwellenwertanalyse“: siehe Ziffer 11.1.
  • „sensible personenbezogene Daten“: siehe Ziffer 6.2.
  • „Verarbeitungs-Verantwortliche“: siehe Ziffer 3.1.
  • „Verarbeitung“: siehe Ziffer 3.1.
  • „Verarbeitungstätigkeit“: siehe Ziffer 10.1
  • „Verzeichnis der Verarbeitungstätigkeiten“: siehe Ziffer 10.

 

Anhang: Kontaktdaten

Als Datenschutz-Manager benannt wurde:

Name, Telefon, E-Mail des Datenschutz-Managers

 

Als Datensicherheits-Manager benannt wurde:

Name, Telefon, E-Mail des Datensicherheits-Managers

 

Die Kontaktdaten des Datenschutzbeauftragten sind:

Name, ggf. Anschrift, Telefon und E-Mail-Adresse des Datenschutzbeauftragten

 

Anhang: Prozess Verarbeitungstätigkeit

 

Anhang: Prozess Datenschutzvorfall

 

Bild
Rechtsgebiet
Datenschutzrecht
Stichwörter
Richtlinie
Arbeitsanweisung
Konzerndatenschutz
  • Anmelden, um Kommentare verfassen zu können
German

Überblick

IT-Dienstleiser und die DSGVO

Auftragsverarbeiter

Unternehmen, die für andere personenbezogene Daten im Auftrag verarbeiten, müssen mit der Datenschutzgrundverordnung besondere Regeln beachten.

Die speziellen Anforderungen an sogenannte „Auftragsverarbeiter“ gelten für die meisten IT-Anbieter im B2B-Umfeld, etwa „Software as a Service“- (SaaS) und Hosting-Anbieter. Auch alle Betreiber von sonstigen Webanwendungen, Apps oder Online-Plattformen, in den die Daten zu Endkunden, Mitarbeitern oder Nutzern der Kunden verwaltet werden, sind betroffen.

Herausforderungen und Chancen

 

  • Spezielle Datenschutzverträge mit Kunden und Lieferanten sind nötig
  • neue Dokumentationspflichten entstehen
  • Rechenschaftspflicht verpflichtet die Einhaltung der DSGVO Aufsichtsbehörden nachweisen zu können
  • Kunden dürfen nur mit solchen Auftragsverarbeitern zusammenzuarbeiten, die die Einhaltung der DSGVO-Anforderungen gewährleisten 
  • Bei Verstößen drohen Bußgelder, Schadensersatzansprüche von Betroffenen und Abmahnungen durch Vereine oder Wettbewerber

Positiv ausgedrückt: Unternehmen können mit gutem Datenschutz-Management Wettbewerbsvorteile aufbauen, Kundenbeziehungen festigen und neue Kunden gewinnen.

Praxisleitfaden

Umsetzung der DSGVO als Auftragsverarbeiter

 

Cover Praxisleitfaden DGSVO für IT-Dienstleister

 

Mein Praxisleitfaden erläutert praxisnah und anhand von vielen Beispielen, wie Auftragsverarbeiter die DSGVO effizient umsetzen.

  • Bin ich überhaupt ein "Auftragsverarbeiter"?
  • Worauf ist bei Datenschutzverträgen (Auftragsverarbeitungsverträgen) zu achten?
  • Wie führe ich das Verzeichnis der Verarbeitungstätigkeiten?
  • Wie stelle ich den weisungskonformen Umgang mit Kundendaten sicher?
  • Worauf muss ich bei der Bestellung eines Datenschutzbeauftragten achten?
  • Wie regele ich im Unternehmen die Einhaltung des Datenschutzes?
  • Wie wird mein Produkt datenschutzkonform?

Praxisleitfaden herunterladen

DSGVO-Kit

Vorlagen, Muster, Checklisten mit Anleitung

DSGVO Kit

Für eine professionelle, effiziente und schnelle Umsetzung habe ich zudem ein „DSGVO-Kit“ entworfen. Es beinhaltet:

  • Schritt-für-Schritt Anleitung zur Umsetzung der DSGVO für Auftragsverarbeiter
  • Muster für eine unternehmensinterne Datenschutzrichtlinie (Arbeitsanweisung)
  • optimierter Mustervertrag zur Auftragsverarbeitung mit Kunden
  • Checkliste zur Prüfung von fremden Verträgen zur Auftragsverarbeitung
  • Vorlage für ein „Verzeichnis der Verarbeitungstätigkeiten“

Alle Vorlagen sind bearbeitbar (Word-Dateien) und gut kommentiert.

Das DSGVO-Kit richtet sich an Inhaber, Geschäftsführer, Projektverantwortliche, Inhouse-Juristen, Rechtsanwälte sowie interne und externe Datenschutzbeauftragte. Es sind weder Vorkenntnisse zur DSGVO noch eine juristische Ausbildung erforderlich.

DSGVO-Kit kaufen

 

Das DSGVO-Kit ist ein Verlagsprodukt und keine individuelle Rechtsberatung. 

Inhaltsübersicht

TO-DOs aus dem Praxisleitfaden

TO-DO 1: Datenschutzverträge mit Kunden abschließen bzw. überarbeiten

DSGVO-konforme Auftragsverarbeitungsverträge mit Kunden abschließen und alte überarbeiten.

Mustervertrag entwickeln, der der DSGVO und Ihren individuellen Anforderungen gerecht wird.

Auftragsverarbeitungsverträge, die von Kunden vorgelegt werden nicht sorglos unterschreiben, sondern prüfen.

TO-DO 2: Verfahrensverzeichnis führen

Verzeichnis der Verarbeitungstätigkeiten erstellen.  

Datensicherheitsmaßnahmen dokumentieren.  

Organisatorisch sicherstellen, dass das Verzeichnis fortgeführt wird und aktuell bleibt.

TO-DO 3: Weisungen einfordern und managen

Umgang mit Weisungen (Form, Grenzen, Zuständigkeiten) im Vertrag mit Kunden regeln.

Mitarbeiter über die Bedeutung von Weisungen informieren und deren Einhaltung sicherstellen.

Erforderlichenfalls Weisungen vom Kunden aktiv einfordern.

TO-DO 4: Datenschutzbeauftragten benennen

Prüfen, ob ein Datenschutzbeauftragter bestellt werden muss oder soll.

Internen oder externen Datenschutzbeauftragten bestellen.

Bei der Bestellung Aufgaben des Datenschutzbeauftragten konkret regeln.

TO-DO 5: Einhaltung des Datenschutzes intern regeln und dokumentieren

Erstellen einer unternehmensinternen Datenschutzrichtlinie zur Sicherstellung der Einhaltung der DSGVO bei der Auftragsverarbeitung.

Mitarbeiter mit der Datenschutzrichtlinie vertraut machen und zur Einhaltung verpflichten.

TO-DO 6: Datenschutz ins Produkt einbauen

Eigenes Produkt durch die Datenschutz-Brille des Kunden betrachten.

FAQs, Whitepaper oder Muster konzipieren

Produkt um Funktionen zum Datenschutz ergänzen.

Praxisleitfaden

Version zum Lesen im Browser

Einleitung

  • Sie bieten „Software as a Service“, Hosting-, Cloud- oder vergleichbare Leistungen für Unternehmen an?
  • Sie entwickeln und betreiben für Unternehmen Webseiten, Apps oder andere Online-Plattformen?
  • Sie speichern dabei Daten zu den Endkunden, Mitarbeitern oder Nutzern ihrer Kunden oder haben auf solche Daten Zugriff?

Dann sind Sie ein sogenannter „Auftragsverarbeiter“, für die ab 25. Mai 2018 mit der Datenschutzgrundverordnung (DSGVO) neue, spezielle Regeln gelten.

Es besteht Handlungsbedarf, um

  • gute Kunden zu behalten und neue zu gewinnen
  • Haftungsrisiken zu minimieren, und
  • Bußgelder zu vermeiden

(theoretisch bis 20 Mio. Euro oder 4 % des weltweiten Umsatzes).

Die Datenschutzgrundverordnung bringt für alle Unternehmen in der EU erhebliche Neuerungen und führt zu intensiven Anstrengungen bei Unternehmen, um sich auf die neuen Datenschutzregeln vorzubereiten. Für Auftragsverarbeiter ergeben sich ganz spezifische Änderungen: Ihre datenschutzrechtliche Verantwortung steigt, neue Kunden-Verträge werden nötig, das Haftungsrisiko erhöht sich und es gelten erweiterte Dokumentationspflichten.

Der folgende Beitrag erläutert praxisnah und anhand von Beispielen welche konkreten Schritte Sie unternehmen müssen, um als Auftragsverarbeiter der Datenschutzgrundverordnung gerecht zu werden.

Zur Umsetzung der Anforderungen der DSGVO können Sie ein Rechtspaket mit Checklisten, Mustern und Vorlagen bestellen (DSGVO-Kit). Einzelheiten dazu finden Sie am Ende des Beitrags sowie online unter www.complyvacy.com/dsgvo-kit.

München, April 2018

Dr. Thomas Helbing
Fachanwalt für IT-Recht

Bin ich überhaupt Auftragsverarbeiter?

Auftragsverarbeiter im Sinne der Datenschutzgrundverordnung sind alle, die für andere „personenbezogene Daten im Auftrag“ verarbeiten, Art. 4 Nr. 8 DSGVO.

Typische Fälle sind:

  • Anbieter web-basierter Softwarelösungen (“Software as a Service“), in der Kunden personenbezogene Daten speichern
    Beispiele SaaS: Software für das „Customer Relationship Management“ (CRM-Systeme), Online Shops, Newsletter und Online-Marketing Software, Bewerbermanagement-Tools, HR-Software, Web-Tracking Anbieter, Online Software für das Projektmanagement oder die Zeiterfassung, Anwendungen im Bereich Fakturierung und Finanzbuchhaltung oder web-basierte ERP-Systeme.
  • Unternehmen, die für ihre Kunden Backend-Dienste für mobile Apps betrei­ben und darin Nutzerdaten erfassen
    Speicherung der E-Mail Adresse und Einstellungen von App-Nutzern in einem Backend
  •  Online-Agenturen, die auch das Hosting oder den Betrieb von Webseiten übernehmen, wenn diese personen­bezogene Daten beinhalten
    Betrieb und Wartung einer Webseite mit Kontaktformular oder Newsletter-Bestellfunktion.
  •  Sonstige IT-Dienstleister, zu deren Leistungen der Umgang mit personen­bezogenen Kundendaten gehört
    z.B. Datenkonvertierungen, Import von Kundendaten in ein ERP-System, Analyse und Auswertung von Kundendaten
  • Shared Service Center für IT-Dienste im Konzern
    z.B. eine IT-Tochtergesellschaft bietet IT-Dienstleistungen für alle Konzernunternehmen an und verarbeitet dabei die Daten derer Mitarbeiter.

Der Begriff der „personenbezogenen Daten“ umfasst alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, so die Definition in Art. 4 Nr. 1 DSGVO. Auf die Sensibilität der Daten kommt es nicht an. Die bloße Information, dass eine Person bei einem Unternehmen angestellt ist, dort einen Newsletter bestellt oder Produkte gekauft hat, stellt also bereits ein personenbezogenes Datum dar. Personenbezogen Daten müssen zudem nicht unbedingt Namen enthalten. Es genügt wenn die Daten einer natürlichen Person zugeordnet werden können. Wenn die Datensätze E-Mail Adressen oder IP-Adressen enthalten ist häufig die Personenbeziehbarkeit bereits gegeben.

Missverstanden wird oft auch der der Ausdruck „verarbeiten“. Eine Verarbeitung ist letztlich jeder Umgang mit personenbezogenen Daten. Die DSGVO nennt als Beispiele (Art. 4 Nr. 2 DSGVO): Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Offenlegen, Übermitteln, Verbreiten, Bereitstellen, Abgleichen, Verknüpfen, Einschränken, Löschen und Vernichten. Ein Anbieter von Cloudspeicher, bei dem Kunden personenbezogene Daten ablegen „verarbeitet“ diese also bereits.

Eine Verarbeitung „im Auftrag“ liegt immer vor, wenn der Kunde das „Wieso“ bzw. „Warum“ und das wesentliche „Wie“ der Verarbeitung festlegt. Dabei kann dem Auftragsverarbeiter durchaus ein gewisser Spielraum eingeräumt werden, etwa in Bezug auf die Datensicherheitsmaßnahmen. Grundsätzlich kann man sagen, dass nach der DSGVO der Anwendungsbereich der Auftragsverarbeitung gegenüber dem BDSG-1990 weiter gefasst ist. In den oben genannten Beispielsfällen liegt eine Auftragsverarbeitung vor. Grenzfälle entstehen dann, wenn der Auftragnehmer weitgehende Entscheidungsbefugnisse erhält.

Ein Unternehmen, das eine Bewerbermanagement-Software bereitstellt, verarbeitet die Bewerberdaten im Auftrag. Ein Unternehmen, das für andere vollständig die Recruiting-Funktion übernimmt und selbst festlegt, welche Kandidaten wie und in welcher Form angesprochen werden und welche Software dabei genutzt wird, verarbeitet die Daten dagegen nicht mehr im Auftrag, sondern wird selbst datenschutzrechtlich zum „Verantwortlichen“.

Hintergrund: Rechtstexte

Seit 25. Mai 2018 gilt mit der EU-Daten­schutz­grundverordnung 2016/679 (DSGVO) ein reformiertes Datenschutzrecht in Europa. Als Verordnung gilt die DSGVO unmittelbar in ganz Europa.

Bisher war das Datenschutzrecht in Europa hauptsächlich in der EU Datenschutzrichtlinie 95/46/EG aus dem Jahr 1995 geregelt. Eine Richtlinie gilt nicht direkt für Unternehmen, sondern verpflichtet die Mitgliedstaaten, nationale Gesetze zu erlassen, um die Vorgaben verbindlich zu machen. Deutschland hat die Datenschutzrichtlinie vor allem durch das Bundesdatenschutzgesetz (BDSG-1990) umgesetzt.

Die DSGVO erlaubt den EU Mitgliedstaaten nur noch in engen Grenzen eigene Datenschutzgesetze zu erlassen, etwa für Mitarbeiterdaten. Deutschland hat von dieser Möglichkeit Gebrauch gemacht und ein komplett neues Bundesdatenschutzgesetz (BDSG-2018) erlassen, das wie die DSGVO am 25. Mai 2018 in Kraft tritt. Ab diesem Datum müssen sich Unternehmen also an die DSGVO halten und ergänzend auch das BDSG-2018 beachten.

Das Datenschutzrecht ist daneben auf europäischer und nationaler Ebene noch in einer Vielzahl weiterer Bestimmungen geregelt, die sich etwa auf die Telekommunikation, auf Online-Dienste und den Sozialbereich beziehen. Diese Bestimmungen werden oder müssen im Rahmen der Neuerungen der DSGVO teilweise noch angepasst werden, was zu einer komplexen Gemengelage führt. Im Online-Bereich ist ebenfalls eine neue Verordnung, die ePrivacy-Verordnung in der Entstehung.

TO-DO 1: Datenschutzverträge mit Kunden abschließen bzw. überarbeiten

  • DSGVO-konforme Auftragsverarbeitungsverträge mit Kunden abschließen und alte überarbeiten.
  • Mustervertrag entwickeln, der der DSGVO und Ihren individuellen Anforderungen gerecht wird.
  • Auftragsverarbeitungsverträge, die von Kunden vorgelegt werden nicht sorglos unterschreiben, sondern prüfen.

Schon das aktuelle Recht verlangt, dass Sie als Auftragsverarbeiter mit ihren Kunden spezielle Datenschutzverträge schließen. Die Verträge werden als „Auftragsdatenverarbeitungsverträge“ (kurz ADV-Verträge) bezeichnet. Dies ist bisher in § 11 Bundesdatenschutzgesetz (BDSG-1990) geregelt. Die Verträge müssen schriftlich geschlossen werden, ein Online-Abschluss genügt unter Geltung des BDSG-1990 nicht. Die DSGVO bringt hier die Erleichterung, dass auch ein elektronischer Vertragsschluss möglich ist.

Viele Unternehmen haben solche Verträge bisher nicht unterzeichnet. Die Pflicht zum Abschluss lag bisher in erster Linie bei den Auftraggebern, also Ihren Kunden, und nicht bei Ihnen als Auftragsverarbeiter.

Die DSGVO verpflichtet nunmehr aber auch Auftragsverarbeiter zum Abschluss von Verträgen zur Auftragsverarbeitung, Art. 28 Abs. 3 DSGVO. Bei Verstößen drohen nach der DSGVO dem Auftragsverarbeiter Bußgelder von bis zu € 10.000.000. Bei Unternehmen sind sogar Bußgelder bis 2 % des weltweiten Jahresumsatzes möglich, wenn dieser Betrag höher ist. Auch wenn in der Praxis die Bußgelder kaum solche Höhen erreichen dürften, bereits unter dem BDSG-1990 haben Datenschutzbehörden für mangelhafte Verträge Bußgelder von über 10.000 € verhängt.

Als Auftragsverarbeiter müssen Sie also mit allen Kunden, deren personenbezogene Daten Sie im Auftrag verarbeiten, einen solchen speziellen Vertrag schließen. Aufgrund der DSGVO ist bei vielen Unternehmen das Thema Datenschutz in den Fokus geraten. Es ist daher zu erwarten, dass auch ihre Kunden zukünftig stärker rechtskonforme Datenschutzverträge einfordern werden.

Dies gilt übrigens nicht nur für Ihre Kunden in der EU. Die DSGVO gilt auch für Unternehmen außerhalb der EU, wenn diese z.B. Produkte und Leistungen an Personen in der EU anbieten (z.B. ein US Unternehmen bietet seine App auch im deutschen App-Store an). Diese „exterritoriale Geltung“ in der DSGVO ist gegenüber dem BDSG-1990 neu.

Wer mit seinen Kunden bereits Auftragsdatenverarbeitungsverträge gemäß dem BSDG-1990 geschlossen hat, sollte diese durch neue Verträge ersetzen, die speziell auf die DSGVO zugeschnitten sind. Zwar sind die Anforderungen der DSGVO gegenüber dem BDSG-1990 ähnlich, es gibt jedoch wichtige Unterschiede. Einige davon finden Sie nachfolgend beispielhaft erläutert:

Einschaltung von Unterauftragnehmern

Bereits das BDSG-1990 verlangt, dass in dem Auftragsdatenverarbeitungsvertrag geregelt ist, unter welchen Voraussetzungen Unterauftragnehmer eingeschaltet werden dürfen, § 11 Abs.2 Nr. 6 BDSG-1990. Die DSGVO verlangt nunmehr, dass vor Einschaltung eines Unterauftragnehmers der Auftraggeber dies genehmigen muss. Der Auftraggeber kann zwar eine weitreichende Generaleinwilligung geben, in diesem Falle muss der Auftragsverarbeiter aber vor jeder Änderung bei Unterauftragnehmern den Auftraggeber informieren und der Auftraggeber kann der Änderung widersprechen! (Art. 28 Abs. 2, Abs. 3 Satz 2 Buchstabe d) DSGVO).

Sie bieten Unternehmen eine Reisekostenabrechnung als Online-Software an (Software as a Service) und nutzen hierfür Hosting oder Cloud-Dienstleistungen von Amazon, Azure oder eines sonstigen Hosters. Der Hoster ist rechtlich betrachtet ihr Unterauftragnehmer. Sie müssen sich im Auftragsverarbeitungsvertrag mit dem Kunden diesen genehmigen lassen. Zwar können Sie sich eine Generaleinwilligung für den Einsatz eines beliebigen Hosters geben lassen. Wenn Sie den Hoster später wechseln, müssen Sie aber den Kunden informieren und dieser kann widersprechen. Das könnten Kunden nutzen, um sich vom Vertrag vorzeitig zu lösen. Außerdem dürften Sie in technische Schwierigkeiten kommen, wenn Sie bestimmte Kunden nicht auf den neuen Hoster umziehen dürfen. Sie sollten daher vertraglich genau regeln, wie die Einschaltung von Unterauftragnehmern aussieht, z.B. festlegen, dass auch Sie dem Kunden kundigen können, wenn dieser grundlos einen neuen Hoster ablehnt.

Pflicht zur Unterstützung des Auftraggebers

In dem Auftragsverarbeitungsvertrag müssen Sie sich verpflichten, ihren Kunden bei der Erfüllung von bestimmten Pflichten des Kunden gemäß der DSGVO zu unterstützen, Art. 28 Abs. 3 Satz 2 Buchstabe e) und f) DSGVO.

Ihr Kunde ist nach der DSGVO zum Beispiel verpflichtet, den Personen, über die er Daten speichert, auf Anforderung eine Kopie sämtlicher gespeicherten Daten bereitzustellen, Art. 15 Abs. 3 DSGVO. In bestimmten Fällen können die Betroffenen gemäß der DSGVO sogar verlangen, dass ihnen die Daten in einem „gängigen, maschinenlesbaren Format“ (z.B. als CSV Datei) bereitgestellt werden (sogenanntes „Recht auf Datenübertragbarkeit“, Art. 20 DSGO). Daneben müssen ihre Kunden ab 25. Mai 2018 bei bestimmten sensiblen Datennutzungen aufwändige Datenschutzprüfungen, sog. Datenschutzfolgeabschätzungen, vornehmen, Art. 35 DSGVO.

Bei all diesen Pflichten müssen Sie als Auftragsverarbeiter den Kunden ggf. unterstützen, so verlangt es das Gesetz. Sie sollten daher vertraglich festlegen, wie weit ihre Pflichten gehen, etwa ob eine von Ihnen angebotene Software Funktionen zum Datenexport bereitstellen muss und, dass etwaige Unterstützungsleistungen gesondert zu vergüten sind.

Haftung

Unter der DSGVO erhöht sich ihr Haftungsrisiko als Auftragsverarbeiter gegenüber dem BDSG-1990. So verpflichtet die DSGVO ausdrücklich sowohl den Auftraggeber als auch den Auftragsverarbeiter angemessene Maßnahmen zur Datensicherheit zu treffen, Art. 32 DSGVO. Bei Verstößen drohen Bußgelder, auch das ist im Bereich der Datensicherheit neu. Kommt es zu einer Datenpanne können die Personen, deren Daten Sie für Ihre Kunden speichern, direkt Sie als Auftragsverarbeiter in Anspruch nehmen, Art. 82 Abs. 1, 2 DSGVO. Sie sitzen mit dem Kunden quasi haftungsrechtlich in einem Boot, Art. 82 Abs. 4 DSGVO. Sie können Ansprüche der Betroffenen nur abwehren oder bei Ihrem Kunden Regress nehmen, wenn Sie nachweisen, dass Sie an dem Schaden keine Verantwortung trifft. Diese Haftungsregelung verschärft sich dadurch, dass Betroffene unter der DSGVO, anders als nach bisherigem Recht, auch Ersatz von immateriellen Schäden (z.B. Rufschädigung, Verletzung des Persönlichkeitsrechts) geltend machen können, Art. 82 Abs. 1 DSGVO und ihre Ansprüche am eigenen Wohnsitz oder Aufenthaltsort (ggf. im EU-Ausland) einklagen können, Art. 79 Abs. 2 SDGVO.

Sie entwickeln und betreiben für Ihre Kunden Online-Shops und nutzen hierfür ein Open-Source Tool (z.B. Magento, Wordpress, Drupal), für das Sie selbst branchenspezifische Erweiterungen programmiert haben. Aufgrund einer Sicherheitslücke in der Open-Source Software konnten Angreifer Bestelldaten von Endkunden erlangen. Die Betroffenen eines kleinen Online-Shops verlangen von Ihnen Schadenersatz. Der Kunde hatte Sie nicht explizit mit dem Einspielen von Sicherheits-Updates oder der Sicherheitsprüfung von Standardkomponenten des Open-Source Tools beauftragt.

Vor dem Hintergrund der Haftungsrisiken gerade im Bereich der Datensicherheit müssen in Auftragsverarbeitungsverträgen explizite Regelungen zu den Verantwortungsbereichen bei der Datensicherheit geregelt werden. Außerdem empfehlen sich Haftungsregelungen, die das Innenverhältnis zwischen Ihnen und dem Kunden bei Ansprüchen von Betroffenen regeln.

Muster

Für Auftragsverarbeitungsverträge gemäß der DSGVO kursieren bereits einige Musterverträge. Diese sollten Sie keinesfalls unreflektiert übernehmen. In der Regel fehlt es bei solchen Vorlagen an ausreichenden Erläuterungen. Auch werden häufig sinnvolle Kostenregelungen vergessen oder Gestaltungsspielräume zu Gunsten der Auftragsverarbeiter nicht ausgeschöpft. Gleiches gilt für Verträge, die Ihnen möglicherweise von Kunden vorgelegt werden. Aufgrund der schärferen Regelungen der DSGVO dürfen Sie solche Verträge nicht als lästiges Beiwerk oder bloßen Papierkram ansehen.   

TO-DO 2: Verfahrensverzeichnis führen 

  • Verzeichnis der Verarbeitungstätigkeiten erstellen.  
  • Datensicherheitsmaßnahmen dokumentieren.  
  • Organisatorisch sicherstellen, dass das Verzeichnis fortgeführt wird und aktuell bleibt.

Ab dem 25. Mai 2018 müssen Sie auch als Auftragsverarbeiter ein sogenanntes „Verzeichnis der Verarbeitungstätigkeiten“ führen, Art. 30 Abs. 2 DSGVO. In diesem ist jedes Produkt bzw. jede Leistung, die Sie als Auftragsverarbeiter anbieten, aufzulisten (z.B. „Web-Hosting“, „Bereitstellung einer Online-Software zum Flottenmanagement“, „Betrieb und Wartung eines Online-Shops“). Ergänzend ist jeweils anzugeben, ob Sie hierbei einen Unterauftragnehmer außerhalb des Europäischen Wirtschaftsraums (EWR) einsetzen (z.B. Amazon oder Google Cloud Server), und ggf. in welchem Land sich dieser befindet. Für jedes Produkt bzw. jede Leistung müssen Sie im Verzeichnis der Verarbeitungstätigkeiten außerdem eine allgemeine Beschreibung der Maßnahmen beifügen, die Sie zur Datensicherheit getroffen haben. Dies betrifft Maßnahmen zum Schutz der Vertraulichkeit, Verfügbarkeit und Integrität ihrer Kundendaten (z.B. Zugangskontrolle in Büroräumen und Rechenzentren, Passwortrichtlinien, Backup- und Ausfallschutz).

Schließlich muss das Verzeichnis für jedes Produkt bzw. jede Leistung eine Liste aller zugehöriger Kunden beinhalten. Neben Namen und Kontaktdaten der Kunden sind dort auch die Kontaktdaten des Datenschutzbeauftragten des Kunden aufzunehmen. Bei Kunden außerhalb der EU müssen Sie zudem die Kontaktdaten von dessen Vertreter in der EU dokumentieren, wenn der Kunde den Be­stimmungen der DSGVO unterliegt (z.B. Kunden in den USA, die ihre Leistungen EU-Bürgern anbieten und dabei deren Daten verarbeiten).

Das Führen des Verzeichnisses der Verarbeitungstätigkeiten bringt einen gewissen Verwaltungsaufwand mit sich, sollte aber nicht vernachlässigt werden. Datenschutz-Aufsichtsbehörden ist das Verzeichnis auf Anfrage vorzulegen, Art. 30 Abs. 4 DSGVO. Verstöße gegen die Dokumentationspflicht können mit einem Bußgeld geahndet werden, Art. 83 Abs. 4 a) DSGVGO.

Auch der Gesetzgeber hat offenbar den hinter dem Verzeichnis steckenden Verwaltungsaufwand erkannt und eine Ausnahme von der Dokumentationspflicht für Unternehmen mit weniger als 250 Mitarbeitern eingeführt, Art. 30 Abs. 5 DSGVO. Die Ausnahme greift aber nur ein, wenn gleichzeitig (Achtung die deutsche Übersetzung der DSGVO ist hier fehlerhaft) drei zusätzliche Voraussetzungen erfüllt sind. Unter anderem muss die Datenverarbeitung lediglich „gelegentlich“ erfolgen, damit die Dokumentationspflicht entfällt. Wenn Sie als Auftragsverarbeiter Ihren Kunden Leistungen anbieten, verarbeiten Sie aber deren Daten in der Regel nicht nur gelegentlich. Im Ergebnis kommen Sie damit kaum herum, ein entsprechendes Verzeichnis zu führen.

TO-DO 3: Weisungen einfordern und managen

  • Umgang mit Weisungen (Form, Grenzen, Zuständigkeiten) im Vertrag mit Kunden regeln.
  • Mitarbeiter über die Bedeutung von Weisungen informieren und deren Einhaltung sicherstellen.
  • Erforderlichenfalls Weisungen vom Kunden aktiv einfordern.

Als   Auftragsverarbeiter müssen Sie beim Umgang mit personenbezogenen Daten Ihrer Kunden deren „Weisungen“ befolgen. Das Gesetz geht davon aus, dass der Kunde seinem Auftragsverarbeiter Vorgaben zum Datenumgang in Form von Weisungen macht. Dies müssen Sie vertraglich so auch vereinbaren, Art. 28 Abs. 3 Satz 2 Buchstabe a DGVO.

Beispiel „Weisung Speicherdauer“: Sie entwickeln für einen Kunden eine Gutschein-App und betreiben das zugehörige Backend (Server). Der Kunde teilt Ihnen später mit, dass die Daten der Gutschein-Inhaber innerhalb von sechs Monaten nach Einlösen eines Gutscheins gelöscht werden sollen.

Beispiel „Weisung Datenumfang“: Sie bieten eine Online-Software für die Optimierung von Lieferketten an und übernehmen das initiale Customizing. Der Kunde bittet Sie, beim Einspielen der Kundendaten nur die Postleitzahl zu importieren, nicht jedoch die vollständige Kundenanschrift.

Häufig sind solche „Weisungen“ im Rahmen von Leistungsbeschreibungen, Aufträgen oder Produktspezifikationen bereits enthalten. Grundsätzlich hat der Kunde aber kraft Gesetzes das Recht Ihnen auch später jederzeit Weisungen zum Datenumgang zu erteilen.

Diese Weisungsabhängigkeit ist keine Neuerung der DSGVO gegenüber dem BDSG-1990. Unter der DSGVO ist es aber für Sie als Auftragsverarbeiter besonders wichtig, Weisungen erforderlichenfalls einzufordern, erteilte Weisungen zu befolgen und dies zu dokumentieren:

Verarbeiten Sie personenbezogene Daten Ihrer Kunden nämlich nicht nach dessen Weisungen, sondern legen wesentliche Fragen des „Wie“ der Datenverarbeitung selbst fest, werden Sie vom bloßen Auftragsverarbeiter zum „Verantwortlichen“ im Sinne der DSGVO, Art. 28 Abs. 10 DSGVO. Das heißt: Wenn Sie eigenmächtig Kernfragen des Datenumgangs festlegen oder gar Weisungen des Kunden missachten, sind Sie für die Einhaltung der Bestimmungen der DSGVO voll verantwortlich und haften z.B. gegenüber Betroffenen in erweitertem Umfang, vgl. Art. 82 Abs. 2 Satz 2 DSGVO.

Achten Sie also darauf, dass mit dem Kunden zentrale Fragen des Datenumgangs vereinbart oder vom Kunden festgelegt werden und dokumentieren Sie dies. Zentrale Fragen des Datenumgangs sind insbesondere der Umfang der erhobenen Daten, die Nutzungszwecke, die Weitergabe an Dritte und die Speicherdauer.

Beispiel „Vom Auftragsverarbeiter zum Verantwortlichen“: Sie bieten eine web-basierte Zeiterfassungssoftware für Unternehmen an. In der zugehörigen App wird bei der Eingabe von Zeiteinträgen auch der Gerätestandort erfasst. Der Standort wird zunächst nicht weiter genutzt, sondern soll für zukünftige Funktionen vorgehalten werden. Der Administrator des Kunden kann den Standort bei einem Daten-Export sehen. Die Erfassung der Standortdaten ist in Ihrer Leistungsbeschreibung aber nicht dokumentiert und kann vom Kunden auch nicht deaktiviert werden. Da eine Beauftragung bzw. Weisung des Kunden zur Erhebung der Standortdaten fehlt, sind Sie rechtlich voll verantwortlich für die Erfassung dieser Daten. Als Datensammlung „auf Vorrat“ ist diese rechtswidrig. Sie haften unmittelbar gegenüber den Mitarbeitern ihrer Kunden wegen unzulässigen Datensammelns.

Stellen Sie zudem durch vertragliche Vereinbarungen mit dem Kunden und durch entsprechende innerbetriebliche Organisation sicher, dass Weisungen des Kunden dokumentiert und umgesetzt werden.

Beispiel: „Die verlorene Weisung“: Sie sind Inhaber eine Webagentur. Ein langjähriger Großkunde möchte Sie mit der Schaltung einer Werbekampagne auf Facebook beauftragen. Ihr Social Media Experte empfiehlt zur besseren Ausrichtung der Kampagne „Facebook Custom Audiences“ zu nutzen und hierfür die Liste der Newsletter-Abonnenten des Kunden bei Facebook hochzuladen (Facebook nutzt diese Daten, um die Anzeigen bei der passenden Zielgruppe zu platzieren). Kurz nach Beauftragung teilt der Datenschutzbeauftragte des Kunden per Online-Kontaktformular über Ihre Webseite mit, dass er ein Hochladen der Kundenliste für unzulässig hält und dies zu unterbleiben hat. Die E-Mail gelangt nicht rechtzeitig zu Ihrem zuständigen Mitarbeiter, der die Kundenliste bereits bei Facebook eingestellt hat.

Um sicherzustellen, dass Weisungen nicht verloren gehen, sollte festgelegt sein, wer auf Kundenseite Weisungen erteilen darf, wer der Empfänger in Ihrem Unternehmen ist und in welcher Form Weisungen dokumentiert werden müssen. Zudem müssen Sie Ihre Mitarbeiter über die Bedeutung von Kundenweisungen informieren und deren Beachtung sicherzustellen.

Wenn es um Kernfragen des Datenumgangs geht sollten Sie zudem im Einzelfall Weisungen aktiv einfordern. Dies gilt etwa in Bezug auf eine Datenverarbeitung außerhalb der EU, Art. 28 Abs. 3a) DSGVO.

Beispiel: „Die einzufordernde Weisung“: Sie erbringen remote Wartungsleistungen für eine beim Kunden installierte CRM-Software. Der Kunde bittet Sie kurzfristig ein „Cloud-Backup“ aller Kundendaten zu erstellen. Fehlen dabei Vorgaben, etwa zum Speicherort (EU, USA), empfiehlt es sich, auf den Kunden zuzugehen und um eine entsprechende Konkretisierung des Auftrags zu bitten bzw. um ausdrückliche Bestätigung, ob die von Ihnen vorgeschlagene Lösung in Ordnung ist.

Zudem verlangt die DSGVO, wie auch schon das BDSG-1990, dass Sie Ihre Kunden informieren, wenn Sie eine Weisung für datenschutzwidrig halten. Eine rechtliche Prüfpflicht entsteht für Sie dadurch aber nicht.

TO-DO 4: Datenschutzbeauftragten benennen

  • Prüfen, ob ein Datenschutzbeauftragter bestellt werden muss oder soll.
  • Internen oder externen Datenschutzbeauftragten bestellen.
  • Bei der Bestellung Aufgaben des Datenschutzbeauftragten konkret regeln.

Wenn sich in Ihrem Unternehmen in der Regel zehn oder mehr Personen mit der Verarbeitung von personenbezogenen Daten beschäftigen, müssen Sie einen Datenschutzbeauftragten benennen, § 38 Abs. 1 BDSG-2017, Art. 37 Abs. 1 DSGVO. Mitzuzählen sind z.B. alle Entwickler, die Zugriff auf Kundendaten haben sowie Beschäftige im Support, die auf Kundendaten zugreifen können. Auch Mitarbeiter, die sich um ihr Personal kümmern (Personalabteilung) zählen dazu.

In Sonderfällen besteht eine Benennpflicht auch, wenn Sie die Personenzahl von zehn nicht erreichen. Dies ist unter anderem dann der Fall, wenn Ihre Geschäftstätigkeit im Kern darin besteht, in großem Umfang Gesundheitsdaten zu verarbeiten, wenn Sie besonders risikoreiche Datenverarbeitungen durchführen (vgl. § 28 Abs. 1 BDSG-2018, Art. 35 DSGVO) oder wenn Sie ein Markt- oder Meinungsforschungsinstitut sind.

Müssen Sie keinen Datenschutzbeauftragten benennen, können Sie dies dennoch freiwillig tun. Das kann durchaus sinnvoll sein, um eine definierte Rolle mit festgelegten Aufgaben zu etablieren, die sich des Themas im Unternehmen annimmt. Außerdem wirkt die Benennung eines Datenschutzbeauftragten gerade bei kleinen Unternehmen bei Kunden vertrauensbildend.

Der Datenschutzbeauftragte berät ihr Unternehmen und ihre Mitarbeiter zu den Datenschutz-Pflichten, nimmt Schulungen vor und überwacht die Einhaltung der Datenschutzbestimmungen, Art. 39 Abs. 1 DGVO. Vor allem die Kontrollpflichten des Datenschutzbeauftragten gehen nach der DGSVO über diejenigen des BDSG-1990 hinaus. Sie müssen den Datenschutzbeauftragten hierfür in alle datenschutzrelevanten Sachverhalte einbinden, Art. 38 Abs. 1 DGVO und ihm ausreichend Ressourcen (Zeit, Geld, Informationen) zur Verfügung stellen, Art. 38 Abs. 3 Satz 1 DSGVO. Die Kontaktdaten des Datenschutzbeauftragten sind zu veröffentlichen (z.B. auf ihrer Webseite) und der für Sie zuständigen Datenschutzbehörde mitzuteilen, Art. 37 Abs. 7 DSGVO. Diese Transparenz-Anforderungen sind gegenüber dem BDSG-1990 neu.

Zum Datenschutzbeauftragten können Sie einen eigenen Mitarbeiter oder einen externen Dienstleister benennen. Die Person muss über die erforderliche Fachkunde verfügen und darf keinen Interessenskonflikt haben, also nicht seine eigene Arbeit kontrollieren. Geschäftsführer, führende Mitarbeiter der IT oder der Personalleiter können also nicht benannt werden. Wenn Sie einen eigenen Mitarbeiter benennen (interner Datenschutzbeauftragter), hat dies den Vorteil, dass dieser in Ihre Geschäftsprozesse gut integriert ist und „den Laden“ kennt. Allerdings müssen Sie Zeit und Geld in dessen Aus- und Fortbildung stecken. Außerdem genießt der Datenschutzbeauftragte – sofern eine Bestellpflicht vorliegt – einen Sonderkündigungsschutz, §§ 38 Abs. 2, 6 Abs. 4 BDSG-2018. Ein externer Datenschutzbeauftragter dagegen muss bezahlt werden und kennt ihr Unternehmen nicht so gut. Er kann dafür Datenschutzexpertise bündeln und effizient beraten, wenn er mehrere Unternehmen der gleichen Branche vertritt. Außerdem haben Sie bei einem externen Datenschutzbeauftragten das Haftungsrisiko ausgelagert: bei unzureichender Arbeit eines angestellten (internen) Datenschutzbeauftragten sind ihre Ansprüche in Haftungsfällen nach arbeitsrechtlichen Grundsätzen eingeschränkt, diese Haftungsbegrenzung gilt bei Externen nicht.

Immer wieder entsteht der falsche Eindruck, der Datenschutzbeauftragte sei für die Einhaltung der Datenschutzvorschriften verantwortlich. Das ist falsch. Verantwortlich ist die Unternehmensleitung. Der Datenschutzbeauftragte hat lediglich eine beratende und kontrollierende Rolle.

Dem Datenschutzbeauftragten obliegt es kraft Gesetz auch nicht, das Verzeichnis der Verarbeitungstätigkeiten zu führen oder Verträge zur Auftragsdatenverarbeitung zu entwerfen oder zu unterzeichnen. Auch muss der Datenschutzbeauftragte keine internen Anweisungen zum Datenschutz verfassen, kraft Gesetzes obliegt ihm lediglich die „Überwachung“ der Strategien und Richtlinien des Unternehmens, Art. 39 Abs. 1 b) DSGVO. Solche Einzelheiten müssen Sie mit dem Datenschutzbeauftragten also konkret vereinbaren. Vor diesem Hintergrund empfiehlt es sich auch, bestehende Alt-Vereinbarungen mit Datenschutzbeauftragten bzw. Alt-Bestellungen nach dem BDSG-1990 zu erneuern. Bei Verträgen mit Externen ist der Leistungsumfang konkret zu prüfen und zu verhandeln.

Egal ob Sie einen Datenschutzbeauftragten benannt haben oder nicht: Die DSGVO müssen Sie in jedem Fall beachten. Deshalb bietet es sich ggf. an, wenn kein Datenschutzbeauftragter benannt ist, einer Person im Unternehmen Aufgaben zur Einhaltung des Datenschutzes zu übertragen. Diese sollten Sie dann zur Klarheit nicht „Datenschutzbeauftragter“ nennen, sondern z.B. „Datenschutzmanager“.

TO-DO 5: Einhaltung des Datenschutzes intern regeln und dokumentieren

  • Erstellen einer unternehmensinternen Datenschutzrichtlinie zur Sicherstellung der Einhaltung der DSGVO bei der Auftragsverarbeitung.
  • Mitarbeiter mit der Datenschutzrichtlinie vertraut machen und zur Einhaltung verpflichten.

Eine vergleichsweise knapp formulierte Vorschrift in der DGSVO hat es besonders in sich und hat bei vielen Unternehmen teils umfangreiche Datenschutzprojekte ausgelöst: Die sogenannte „Rechenschaftspflicht“. Danach müssen Unternehmen den Datenschutz nicht nur einhalten, sondern dies auch nachweisen können, Art. 5 Abs. 2 DSGVO. Unternehmen geraten aufgrund der Rechenschaftspflicht in eine Art Beweispflicht. Der Druck datenschutzrelevante Prozesse im Unternehmen präzise zu regeln und zu dokumentieren steigt enorm. Art. 24 Abs. 1 DSGVO konkretisiert die Rechenschaftspflicht und verlangt, dass Unternehmen „angemessene technische und organisatorische Maßnahmen“ treffen müssen, um die Einhaltung der DGSVO sicherzustellen und um hierfür auch den Nachweis erbringen zu können.

Im Hinblick auf mögliche Bußgelder von bis € 20.000.000 (Art 82 Abs. 5 DSGVO) erlangt die Rechenschaftspflicht zusätzliche Brisanz.

Für Sie kommt hinzu, dass sich Ihre Kunden eigentlich vorab, also bevor man Sie beauftragt, davon überzeugen müssen, dass Sie als Auftragsverarbeiter ausreichende Vorkehrungen zur Einhaltung der DSVGO getroffen haben, Art. 28 Abs. 1 DSGVO.

Unternehmensinterne Datenschutzrichtlinie

Als Fundament zur Erfüllung der DSGVO und Ihrer Rechenschaftspflicht sollten Sie eine unternehmensinterne Datenschutzrichtlinie aufsetzen, in der die wichtigsten Prozesse und Regeln in Bezug auf den Datenschutz festgelegt sind. Die Datenschutzrichtlinie bringen Sie ihren Mitarbeitern zur Kenntnis und verpflichten sie damit entsprechend zu handeln.

Bei Anfragen von Kunden können Sie Ihre Datenschutzrichtlinie vorlegen und so zeigen, dass Datenschutz bei Ihnen nicht nur in Marketingunterlagen steht, sondern real gelebt wird.

Eine unternehmensinterne Datenschutzrichtlinie bietet zudem den Vorteil, dass im Falle einer behördlichen Kontrolle oder eines Datenschutzverstoßes der Vorwurf eines Organisationsverschuldens besser abgewehrt werden kann. Sie können dann argumentieren, dass nur ein Fehler im Einzelfall vorliegt, was auch bei der Bemessung eines etwaigen Bußgelds zu Ihren Gunsten berücksichtigt wird. Auch in kleineren Unternehmen ohne internes „Richtlinienwesen“ ist es daher sinnvoll eine interne Datenschutzrichtlinie zur Auftragsverarbeitung zu verfassen.

Inhalte für eine interne Datenschutzrichtlinie

In einer solchen unternehmensinternen Datenschutzrichtlinie bieten sich folgende Regelungen zu Verantwortlichkeiten und Prozessen an:

  • Auftragsverarbeitungsverträge mit Kun­den: Prozess zum Abschluss entspre­chender Verträge, Verweis auf unternehmenseigene Musterverträge, Leitlinien beim Abschluss fremder Vertragsmuster („Do‘s and Don’ts“ ).
  • Einschaltung von Unter-Auftrags­verar­beitern: Prozess zur Einschaltung von Unter-Auftragsverarbeitern, ein­schließ­­lich vorheriger Prüfung und Mitteilung von Änderungen gegenüber Kunden, Audits und Kontrollen bei Unter-Auftragsverarbeitern.
  • Verzeichnis der Verarbeitungs­tätigkeiten: Verantwortlichkeiten und Prozesse zur Führung des Verzeichnisses, ggf. Vorlage/Muster.
  • Management von Kunden-Wei­sungen: Erläuterung der Bedeutung von Weisungen, Prozesse zur Behandlung und Dokumentation von Weisungen, Festlegung von Zuständigkeiten, Hinweis­pflicht gegenüber Kunden bei rechtlichen Bedenken, Pflicht zur Umsetzung von Weisungen.
  • Datenschutzbeauftragter: Festlegung der Stellung und Aufgaben, Pflicht der Mitarbeiter zur Einbindung des Datenschutzbeauftragten bei Daten­schutzfragen.
  • Weitere Aspekte: z.B. Prozess zur Verpflichtung von Mitarbeitern zur Vertraulichkeit (Art. 28 Abs. 3 b DSGVO), Umgang mit Anfragen von Betroffenen (Kunden ihrer Kunden) im Hinblick auf ihre Daten (vgl. Art. 12-22 DSGVO), Verweis auf Regelungen zur Datensicherheit, regelmäßige Prüfung bzw. Überarbeitung der Richtlinie.

TO-DO 6: Datenschutz ins Produkt einbauen

  • Eigenes Produkt bzw. eigene Leistungen durch die Datenschutz-Brille des Kunden betrachten.
  • Soweit sinnvoll FAQs, Whitepaper oder Muster entwerfen, um den Kunden beim datenschutzkonformen Einsatz Ihres Produktes bzw. Ihrer Leistungen zu helfen.
  • Ggf. Produkt um Funktionen zum Datenschutz ergänzen.

Wenn Sie als Auftragsverarbeiter personenbezogene Daten ihrer Kunden verarbeiten, ist grundsätzlich der Kunde für die Zulässigkeit der Datenverarbeitung verantwortlich.

Beispiel „Verantwortlichkeit des Kunden“: Sie bieten Hosting-Dienstleistungen für Webseiten-Betreiber an. Es liegt in der Verantwortung des Kunden, mittels seiner Webseite Daten nur im zulässigen Umfang zu erfassen und zu speichern. Auch die Pflicht, die Webseitenbesucher über den Einsatz z.B. von Tracking-Tools (Google Analytics) zu informieren, oder registrierten Nutzern Auskunft zu ihren Daten zu erteilen, liegt vollständig im Verantwortungsbereich des Kunden.

Häufig ist es jedoch so, dass die Produkte bzw. Leistungen, die Sie als Auftragsverarbeiter anbieten, bereits einen gewissen Datenumgang aufgrund der mitgelieferten Funktionalität vorgeben oder implizieren. Dies gilt etwa bei Anbietern von Online-Software, die beim Anbieter betrieben und vom Nutzer per Browser verwendet wird („Software as a Service“).

Beispiel „Bewerbermanagement“: Sie bieten Unternehmen eine Online-Software zur Verwaltung von Stellenbewerbern an. Dabei werden standardmäßig bestimmte Daten von Bewerbern erfasst und vorgehalten, Auswertungen zum Vergleich verschiedener Bewerber angeboten, ein Tracking von Webseitenbesuchern durchgeführt und es sind definierte Rollen (z.B. „Recruiter“) mit festen Berechtigungen vorgesehen.

Helfen Sie Ihren (potentiellen) Kunden dabei, die Anforderungen der DSGVO bei der Inanspruchnahme ihrer Leistungen sicherzustellen. Gerade für größere und renommierte Kunden ist die Datenschutzkonformität eine wichtige Auswahlentscheidung. Das „Wie“ und teilweise „Ob“ vieler Projekte im Unternehmen wird heute - und in Zukunft noch mehr - vom Datenschutz beeinflusst. Wer es seinen Kunden beim Datenschutz leicht macht, der verkauft auch besser. Das gilt unter der DSGVO mehr denn je: Die DSGVO verpflichtet nämlich Ihre Kunden bereits im Zeitpunkt der Konzeption von Vorhaben, sicherzustellen, dass die Vorschriften der DSGVO eingehalten werden können. Diese Pflicht wird in der DSGVO als „Datenschutz durch Technikgestaltung“ (Privacy by Design) bezeichnet, Art. 25 Abs. 1 DSGVO.

Stellen Sie Kunden FAQs oder Whitepaper zum Datenschutz bereit, und erläutern Sie dort die wichtigsten Datenschutz-Fragen zu Ihrem Produkt. Entwerfen Sie Muster, die Ihre Kunden verwenden können und bauen Sie in Ihr Produkt Funktionen ein, die dem Kunden die Einhaltung der DSGVO erleichtern.

Welche Maßnahmen dabei sinnvoll sind, muss im Rahmen einer individuellen Betrachtung Ihrer Leistungen bzw. Ihres Produktes erfolgen. Mit Blick auf die mit der DSGVO einhergehenden Neuerungen im Datenschutz sind folgende drei Aspekte hervorzuheben:

Transparenzpflichten

Die DSGVO verlangt von Ihren Kunden, die Personen, deren Daten Ihr Kunde verarbeitet (Betroffene), umfassend über den Datenumgang zu informieren (z.B. Dauer der Speicherung, Weitergabe an Dritte, Übermittlung in Länder außerhalb der EU). Diese Transparenzpflichten wurden mit der DSGVO gegenüber dem BDSG-1990 deutlich erhöht (siehe etwa Art. 13, 14 und 21 DSGVO). Gerade bei „Software as a Service“ Produkten wissen Sie als Anbieter oft besser als der Kunde, was mit den Daten passiert. Es bietet sich dann an, dem Kunden Muster für Datenschutzhinweise bereitzustellen oder konkrete Erläuterungen, anhand derer der Kunde solche Datenschutzhinweise selbst erstellen kann.

Betroffenenrechte

Die DSGVO stärkt und erweitert teilweise die Rechte der Betroffenen. So können Betroffene von Ihren Kunden in bestimmten Fällen verlangen, dass der Kunde alle zur betroffenen  Person gespeicherten Daten in einem „strukturiertem, gängigen und maschinenlesbaren Format“ bereitstellt (sogenanntes „Recht auf Datenübertragbarkeit“, Art. 20 DSGVO). Sie können dem Kunden hierzu entsprechende Funktionalitäten oder Leistungen bereitstellen, die einen entsprechenden Datenexport auf Knopfdruck ermöglichen (z.B. als XML oder CSV-Datei).

Datenschutzfreundliche Voreinstellungen

Können Standardeinstellungen zum Umgang mit personenbezogenen Daten festgelegt werden, so sind diese möglichst „datenschutzfreundlich“ vorzunehmen. Dieser Grundsatz des „Privacy by Default“ wurde mit der DSGVO explizit geregelt, Art. 25 Abs. 2 DSGVO. Das heißt, dass mit Blick auf den Nutzungszweck Ihr Produkt nicht mehr Daten als nötig, nicht länger als nötig und nicht umfassender als nötig verarbeiten darf, und der Zugriff durch Dritte standardmäßig soweit wie möglich eingeschränkt sein muss.

Beispiel „Enterprise Social Network“: Sie bieten ein Standardprodukt an, mit dem Kunden ein Unternehmensinternes soziales Netzwerk betreiben können. Die Voreinstellungen sollten möglichst restriktiv gesetzt werden, z.B. in Bezug auf die Frage welche Personen ein Profilbild sehen können oder ob Standortdaten bei Statusmeldungen angezeigt werden.

Weitere Aspekte

Neben diesen Punkten sind für einen datenschutzkonformen Einsatz Ihres Produkts bzw. Ihrer Leistungen häufig ein abgestuftes Rollen- und Berechtigungskonzept sowie definierbare Löschregeln für personenbezogene Daten wichtig.

 

Ihre nächsten Schritte:

Schieben Sie die Anforderungen der DSGVO nicht beiseite. Das Thema ist wichtig aufgrund des Haftungs- und Bußgeldrisikos und zur Sicherung der Kundenbeziehung.

Die Umsetzung der DSGVO bringt einen gewissen Aufwand mit sich, doch Sie müssen nicht bei Null anfangen: Nutzen Sie das von mir entwickelte „DSGVO-Kit“. Mit diesem können Sie einen Großteil der beschriebenen Anforderungen professionell und effizient umsetzen. Das Paket berücksichtigt eine lange Erfahrung in der Rechtsberatung vieler Auftragsverarbeiter. Es beinhaltet:

  • Schritt-für-Schritt Anleitung zur Umsetzung der DSGVO für Auftragsverarbeiter
  • Muster für eine unternehmensinterne Datenschutzrichtlinie (Arbeitsanweisung)
  • optimierter Mustervertrag zur Auftragsverarbeitung mit Kunden
  • Checkliste zur Prüfung von fremden Verträgen zur Auftragsverarbeitung
  • Vorlage für ein „Verzeichnis der Verarbeitungstätigkeiten“

Alle Vorlagen sind bearbeitbar (Word-Dateien) und gut kommentiert. Das DSGVO-Kit richtet sich an Inhaber, Geschäftsführer, Projektverantwortliche, Inhouse-Juristen, Rechtsanwälte sowie interne und externe Datenschutzbeauftragte. Es sind weder Vorkenntnisse zur DSGVO noch eine juristische Ausbildung erforderlich.

Weitere Informationen zum DSGVO-Kit sowie eine Bestellmöglichkeit finden Sie auf der Webseite des Verlags unter:

www.complyvacy.com/dsgvo-kit

Bei dem DSGVO-Kit handelt es sich um ein Verlagsprodukt und nicht um individuelle Rechtsberatung.

Bild
Rechtsgebiet
Datenschutzrecht
Stichwörter
SaaS
  • Anmelden, um Kommentare verfassen zu können
German

Direktmarketing DSGVO Konform Banner

 

Inhaltsverzeichnis (letzte Aktualisierung: 10.12.2019)

 

Praxisleitfaden als PDF herunterladen 
(Stand Oktober 2019)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1. Gegenstand dieses Leitfadens

Der folgende Leitfaden informiert über Anforderungen des Datenschutzrechts bei Direktwerbung (z.B. Werbe-Mails) und bezieht sich auf das in Deutschland geltende Recht.

Der Leitfaden enthält auch Hinweise zu wettbewerbsrechtlichen Anforderungen an die werbliche Nutzung von personenbezogenen Daten. Die wettbewerbsrechtliche Zulässigkeit ist grundsätzlich neben der Datenschutzrechtlichen zu beachten.

2. Was ist Direktwerbung?

Der Begriff der „Werbung“ ist weit auszulegen. Werbung ist jede Äußerung des Unternehmens, die irgendwie unmittelbar oder mittelbar dazu dient, Produkte und Dienstleistungen zu verkaufen. (vgl. Art. 2 lit. a der EU-Richtlinie 2006/114/EG)

Beispiele für Werbung:

  • Aufforderung zur Abgabe einer Kundenbewertung
  • Aufforderung zur Teilnahme an einer Umfrage, auch an „Markt- und Meinungsforschung“-Umfragen, wenn diese mittelbar der Absatzförderung dienen
  • Imagewerbung (z.B. Hinweis auf gemeinnützige Projekte, erhaltene Auszeichnungen)
  • Einladungen zu Informations-Veranstaltungen (auch kostenlose)
  • Hinweise auf die Teilnahme an Messen

Auch "Service Calls" gelten als Werbung, wenn im Rahmen eines bestehenden Vertragsverhältnisses eine Fortsetzung oder Erweiterung der Vertragsbeziehung angestrebt wird oder der Kunde auf andere Produkte aufmerksam gemacht werden soll. So sah das OLG Düsseldorf den Anruf eines Versicherungsmaklers, der auch der Überprüfung einer Wechselwilligkeit des Kunden dienen sollte und in deren Rahmen bei Bedarf ein neues Angebot unterbreitet werden sollte „Werbung“ dar (OLG Düsseldorf, Urteil vom 19.9.2019, Az. 15 U 37/19).

Werbung ist Direktwerbung, wenn sie sich an individualisierte Adressaten richtet, auch wenn dies massenhaft erfolgt.

Beispiele für Direktwerbung:

Keine Direktwerbung ist „ungezielte“ Werbung wie Fernseh- oder Radiowerbung, Plakatwerbung, Werbeanzeigen im Google Werbenetzwerk, Postsendungen „an alle Haushalte“, allgemeine Werbebanner auf einer Webseite.

3. Wann dürfen Daten für Direktwerbung genutzt werden (Opt-In/Opt-Out)?

3.1 Einführung und Rechtsgrundlagen

Die Nutzung von Kontaktdaten für die Direktwerbung stellt eine „Verarbeitung personenbezogener Daten“ im Sinne der Datenschutzgrundverordnung (DSGVO) dar, sodass sämtliche Anforderungen der DSGVO an den Umgang mit personenbezogenen Daten zu beachten sind.

Insbesondere bedarf es einer Rechtsgrundlage für die Nutzung der Kontaktdaten. Als Rechtsgrundlage für die werbliche Nutzung personenbezogener Daten kommen in Betracht:

  • die Interessenabwägungsklausel des Art. 6 Abs. 1 lit. f) DSGVO, und
  • eine Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO.

Wird die Nutzung auf die Interessenabwägung gestützt, bedarf es keiner aktiven Zustimmung des Beworbenen, sondern es genügt, wenn der Betroffene über die werbliche Nutzung und sein Widerspruchsrecht informiert wurde und nicht widersprochen hat (sog. „Opt-Out“ Lösung, d.h. der Betroffene muss „Nein“ sagen, wenn er keine Werbung will).

Lässt sich die Werbung nicht auf die Interessenabwägung stützen, bedarf es einer Einwilligung (sog. „Opt-In“ Lösung, der Betroffene muss aktiv „Ja“ sagen, ansonsten erhält er keine Werbung).

Bei der Interessenabwägung sind insbesondere die vernünftigen Erwartungen der Betroffenen zu berücksichtigen (Erwägungsgrund 47 DSGVO). Die Erwartung, Werbung zu erhalten kann durch deutliche und klare Datenschutzinformationen beeinflusst werden.

3.2 Übersicht: Anforderungs-Matrix

Bei der Interessenabwägung sind die Wertungen des Wettbewerbsrechts, insbesondere § 7 des Gesetzes gegen den unlauteren Wettbewerb (UWG), zu berücksichtigen. Relevant ist danach insbesondere der Kanal, über den der Betroffene angesprochen wird (z.B. E-Mail, Post) und, ob der Beworbene Verbraucher (Business-to-Consumer Umfeld („B2C“)) oder Unternehmer ist („Business-to-Business Umfeld („B2B“).

Die folgende Tabelle gibt einen Überblick, in welchen Fällen nach dem Wettbewerbsrecht ein Opt-In nötig ist, und wann eine Opt-Out Lösung genügt. Diese Wertung kann auf das Datenschutzrecht grundsätzlich übertragen werden, d.h. dort in der Interessenabwägung berücksichtigt werden.

WICHTIG: Tabelle Direktmarketing-Übersicht als Bild

Nachfolgend finden sich zu den einzelnen Kanälen (E-Mail, Telefon, Post) vertiefte Erläuterungen.

Ergänzend sind die weiteren Anforderungen an eine Einwilligung, die Transparenz und die Zweckbindung zu beachten (siehe Ziffer 4) sowie etwaige Sonderfälle zu berücksichtigen (siehe Ziffern 6 und 7).

3.3 Werbung per E-Mail

Bei Werbung per E-Mail ist grundsätzlich eine Einwilligung nötig, sowohl bei Verbrauchern als auch im Geschäftsverkehr. Zu den Anforderungen bei der Einholung der Einwilligung siehe bitte Ziffer 4.1 und 4.2 unten.

Ausnahmsweise keiner Einwilligung bedarf es, wenn das Bestandskundenprivileg des § 7 Abs. 3 UWG greift. Es müssen hierfür folgende vier Voraussetzungen gemeinsam (kumulativ) gegeben sein:

  1. Das Unternehmen hat die E-Mail Adresse im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung vom Kunden erhalten (z.B. bei erstmaligem Kauf im Online-Shop). Nach einem Urteil des OLG München (Urteil v. 15.02.2018 - Az.: 29 U 2799/17) muss es sich nicht um einen entgeltlichen Vertrag handeln, es genügt jedes Austauschverhältnis (z.B. Anmeldung für kostenlose Infoveranstaltung). In der Fachliteratur ist diese Ansicht jedoch umstritten.
  1. Die E-Mail Werbung erfolgt für eigene ähnliche Waren oder Dienstleistungen. Es darf sich also nicht um Produkte eines Dritten oder einer anderen Gesellschaft einer Unternehmensgruppe handeln. Es muss zudem Ähnlichkeit zwischen der Ware/Dienstleistung bestehen, in deren Zusammenhang die E-Mail Adresse erlangt wurde, und der beworbenen Ware/Dienstleistung. An die Ähnlichkeit werden hohe Anforderungen gestellt. Die beworbene Ware oder Dienstleistung muss dem gleichen erkennbaren oder typischen Verwendungszweck oder Bedarf des Kunden entsprechen.

Beispiel: Wurde die E-Mail Adresse beim Abschluss einer Versicherung abgefragt, darf dies nicht zur Bewerbung von Immobiliendarlehen genutzt werden.

  1. Der Kunde darf der Nutzung zu Werbezwecken nicht widersprochen haben. Widersprüche sind zu protokollieren und bei zukünftigen Werbesendungen zu berücksichtigen (vgl. auch Ziffer 5).
     
  2. Der Kunde muss bei Erhebung der E-Mail Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen werden, dass er der Verwendung jederzeit widersprechen kann. Eine nachträgliche Information genügt nicht, außer der Kunde gibt dabei nochmals seine E-Mail Adresse preis.

Beispiel: Bei dem Eingabefeld für die E-Mail-Adresse bei der Anmeldung zu einem Webinar könnte der Hinweis erfolgen: „Wir können Ihnen zukünftig per E-Mail Informationen zu unseren Webinaren im Bereich Online-Marketing zukommen lassen. Sie können dem jederzeit kostenlos widersprechen unter …“. In jeder Werbe-E-Mail muss zudem ein „Opt-Out“/Abbestellen Link vorhanden sein.

3.4 Werbung per Telefon

Werbliche Telefonanrufe gegenüber Verbrauchern bedürfen immer einer vorherigen ausdrücklichen Zustimmung.

Auch werbliche Anrufe im B2B Bereich bedürfen einer Zustimmung, § 7 Abs. 2 UWG. Im B2B Bereich genügt nach der wettbewerbsrechtlichen Rechtsprechung jedoch eine „mutmaßliche Einwilligung“.

Eine mutmaßliche Einwilligung liegt vor, wenn der Anruf dem objektiven Interesse oder dem wirklichen oder mutmaßlichen Willen des Adressaten entspricht. Nach der Rechtsprechung des Bundesgerichtshofs muss auf Grund konkreter Umstände ein sachliches Interesse des Anzurufenden vom Anrufer vermutet werden können. Von der mutmaßlichen Einwilligung sind also Anrufe gedeckt, an denen ein durchschnittlich störungsanfälliger Gewerbetreibender interessiert wäre, sofern nicht besondere Umstände für einen entgegenstehenden Willen gerade des individuellen Adressaten sprechen. Erforderlich ist eine Interessenabwägung. Die Beweislast für die Tatsachen, die zur Annahme einer mutmaßlichen Einwilligung führen, trägt das Unternehmen.

Für die Annahme einer mutmaßlichen Einwilligung können folgende, von der Rechtsprechung entwickelte Kriterien sprechen (Vgl. Ohly/Sosnitza, Gesetz gegen den unlauteren Wettbewerb, § 7 UWG, 7. Auflage 2016, Rn. 57):

  • Art, Inhalt und Intensität einer bereits bestehenden Geschäftsverbindung: Wenn bereits eine Geschäftsverbindung zwischen Werbenden und Umworbenen besteht, ist eine mutmaßliche Einwilligung umso eher anzunehmen, je enger diese Beziehung ist und je enger der Anruf mit dem Gegenstand der bisherigen Geschäfte zusammenhängt.
  • Nähe des Angebots zum spezifischen Bedarf des umworbenen Unternehmens: Je eher ein konkreter und besonderer Bedarf des beworbenen Unternehmens nach außen erkennbar ist und je weniger mit vergleichbaren Angeboten anderer Unternehmer zu rechnen ist, desto eher ist eine mutmaßliche Einwilligung anzunehmen. Umgekehrt reicht ein bloßer allgemeiner Sachbezug (Auto für einen Rechtsanwalt, Büromaterial für Übersetzungsbüro) nicht aus.
  • Erheblichkeit der Störung und Erheblichkeit der Nachahmungsgefahr
  • Einverständnis gerade mit der telefonischen Kontaktaufnahme: Je weniger der Werbende auf andere Werbeformen ausweichen kann, desto eher spricht das für eine mutmaßliche Einwilligung. Umgekehrt fehlt es an einer solchen, wenn der Adressat zwar an der Information, nicht aber an ihrer telefonischen Übermittlung interessiert ist. Komplexe Produkte mit hohem Beratungsbedarf und wahrscheinlichen Rückfragen könnten für eine telefonische Kontaktaufnahme sprechen.
  • Vorverhalten des Angerufenen: Wenn der Angerufene in der Vergangenheit entsprechende Angebote angenommen oder sein Interesse geäußert hat, kann das für eine mutmaßliche Einwilligung sprechen.
  • Weitere Kriterien: Günstigkeit des Angebots
  • nicht: Branchenüblichkeit von Anrufen

Diese Kriterien stammen aus der Rechtsprechung zum UWG, können aber bei der Interessenabwägung nach der DSGVO entsprechend übernommen werden.

3.5 Werbung per Post

Direktwerbung per Post ist grundsätzlich bei Werbung für eigene Produkte und Dienstleistungen ggü. Bestandskunden (ehemalige Käufer) auch ohne Einwilligung zulässig, außer der Empfänger hat widersprochen (Opt-Out Lösung).

Bei anderen Empfängern kommt es auf die konkrete Interessenabwägung an.

Die Verwendung der Postanschrift aus dem Impressum von Webseiten potentieller Kunden ist nach Ansicht der Datenschutz-Aufsichtsbehörden datenschutzrechtlich nicht zulässig. (Datenschutzkonferenz, Orientierungshilfe Direktwerbung, November 2018, Ziffer 4.4)

Postadressen, die bei Preisausschreiben und Gewinnspielen oder Informationsanforderungen eines Interessenten erlangt wurden, dürfen nach Ansicht der Datenschutzbehörden für Postwerbung genutzt werden. (Datenschutzkonferenz, Orientierungshilfe Direktwerbung, November 2018, Ziffer 4.4)

4. Was muss beim Erheben der Kontaktdaten beachtet werden?

4.1 Immer: Datenschutzinformationen

Unabhängig davon, ob ein Opt-In eingeholt oder die Opt-Out Lösung zur Anwendung kommt, müssen bei Erhebung der Kontaktdaten für die Direktwerbung (E-Mail Adresse, Anschrift, Telefonnummer) immer die datenschutzrechtlichen Informationspflichten des Art 13 bzw. 14 DSGVO erfüllt sein.

Beispiele für die Erhebung von Kontaktdaten: Anmeldung für Newsletter auf der Webseite, Anmeldebogen für eine Veranstaltung, Kaufvertragsformular, Anmeldeformular für eine Fortbildungsveranstaltung, Antwortkarte für Gewinnspiel.

Insbesondere muss dem Nutzer deutlich gemacht werden, dass und welche Kontaktdaten (E-Mail, Anschrift, Telefonnummer) auch für Direktwerbung genutzt werden können und wer datenschutzrechtlich Verantwortlicher ist (Name und Anschrift des Unternehmens). Bei begrenztem Platzbedarf kann auch eine zweistufige Bereitstellung der Information erfolgen: Auf der ersten Stufe werden im Erhebungsformular (z.B. Postkarte für Gewinnspiel) wesentliche Informationen mitgeteilt sowie zusätzlich ein Link, über den Detailinformationen online abgerufen werden können.

Sollen Telefonnummern oder Anschriftsdaten für Direktwerbung genutzt werden, ohne dass dies bei der Erhebung der Daten festgelegt und transparent war, so liegt eine Zweckänderung vor. Es sind dann die besonderen Voraussetzungen des Art. 6 Abs. 4 DSGVO zu beachten, insbesondere müssen die Betroffenen nachträglich informiert werden.

Werden Kontaktdaten nicht direkt beim Beworbenen, sondern indirekt über Dritte bezogen (z.B. Einkauf von Adressen, Erhebung aus Verzeichnissen) gelten die Informationspflichten für eine Datenerhebung bei Dritten nach Art. 14 DSGVO. Es ist dann insbesondere auch über die Quelle und die Art der erhobenen Daten zu informieren.

4.2 Zusätzliche Anforderungen beim Einholen eines „Opt-In

Ist ein Opt-In erforderlich, müssen die datenschutzrechtlichen Anforderungen an eine Einwilligung nach Art. 7 DSGVO erfüllt sein.

Bei einer Einwilligung in die Zusendung von Werbung ist dabei auf Folgendes zu achten:

  • Im Text der Einwilligung sind das werbende Unternehmen, der Werbekanal (E-Mail, Post, SMS, etc.) und die Art der beworbenen Produkte oder Dienstleistungen anzugeben (z.B. berufliche Fortbildung). Es empfiehlt sich zudem, die Frequenz der Direktwerbung (z.B. "wöchentlicher Newsletter") anzugeben. 
  • Es ist auf das Recht hinzuweisen, die Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Es sollte klar sein, wohin der Widerruf zu richten ist.
  • Bei Einwilligungen in die Übersendung von Werbe-E-Mails sollte das Double-Opt-In Verfahren angewandt werden, um sicherzustellen, dass der Einwilligende der Inhaber der E-Mail Adresse ist. Beim Double-Opt-In wird zunächst eine Bestätigungsmail mit einem individuellen Link gesandt. Erst nach Klicken des Links wird Werbung geschickt. In der Bestätigungsmail sollte der Text der Einwilligung nochmal abgedruckt sein (Empfehlung). Die Bestätigungsmail selbst darf keinerlei Werbung enthalten. Wird der Link nicht geklickt, sollte keine Erinnerung erfolgen und die E-Mailadresse ist zeitnah zu löschen (z.B. 14 Tage nach Versand der Bestätigungsmail). Das Double-Opt-In Verfahren ist entgegen verbreiteter Ansicht keine gesetzliche Vorgabe, sondern bietet sich für Nachweiszwecke an.
  • Wird der Abschluss eines Vertrags (z.B. Teilnahme an einem Event, Kauf eines Produktes, Bestellung eine Abonnements) von der Abgabe der Werbeeinwilligung abhängig gemacht, kann dies eine datenschutzrechtlich unzulässige Koppelung darstellen, Art. 7 Abs. 4 DSGVO. Eine datenschutzrechtlich unzulässige Koppelung kann auch vorliegen, wenn mit der Werbeeinwilligung zugleich andere, nicht zusammengehörige Verarbeitungen legitimiert werden sollen (z.B. Bonitätsabfrage, Weitergabe der Daten an verbundene Unternehmen) verknüpft werden. Werbeeinwilligungen sollten daher im Zweifel immer separat erteilt werden können. In einer Entscheidung des OLG Frankfurt war die Koppelung der Werbeeinwilligung mit der Teilnahme an einem Gewinnspiel als zulässig erachtet worden. Der Verbraucher könne und müsse selbst entscheiden, ob ihm die Teilnahme die Preisgabe seiner Daten „wert“ sei (OLG Frankfurt, Urteil vom 27.06.2019, Az.: 6 U 6/19
     
  • Für Werbe-Einwilligungen ist regelmäßig ein gesonderter Text oder Textabschnitt ohne anderen Inhalt zu verwenden. Soll die Werbe-Einwilligung zusammen mit anderen Erklärungen (insbesondere vertraglichen Erklärungen wie der Zustimmung zu AGBs) erteilt werden, so ist die datenschutzrechtliche Einwilligungserklärung gemäß Art. 7 Abs. 2 Satz 1 DSGVO in einer von anderen Sachverhalten klar unterscheidbaren Weise darzustellen (z.B. Hervorhebung des Textes der Einwilligung durch Fettdruck oder Umrandung).
  • Für die online eingeholte Einwilligung in E-Mail Werbung ist ein vorausgewähltes Kästchen nicht ausreichend. (LG München I vom 4.6.2018, Az. 4 HKO 8135/17)
  • Nach einem neueren Urteil des BGH (BGH Urteil v. 01.02.2018; Az.: III ZR 196/17) bedarf es nach dem UWG keiner gesonderten Einwilligung für jeden Werbekanal. Separate Häkchen für Werbung per E-Mail, SMS, Telefon sind also nicht mehr nötig. Es genügt ein Häkchen für alle Kanäle. Solche umfassenden Einwilligungen können in der Praxis aber den Nutzer abschrecken, die Einwilligung zu erteilen.

Die Erteilung von Einwilligungen muss nachweisbar sein. Das Unternehmen trägt hierfür die Beweislast. Bei Online eingeholten Einwilligungen sollte hierzu protokolliert bzw. dokumentiert werden:

  • Datum, Uhrzeit und ggf. IP Adresse der Einwilligungserteilung (Formular auf Webseite)
  • Bei, Double Opt-In: Die vollständige Bestätigungsmail (zu archivieren)
  • Datum, Uhrzeit und ggf. IP Adresse beim Klick des Double-Opt-In Links in der Bestätigungsmail
  • Wortlaut bzw. Text der Einwilligung, die erteilt wurde
  • der technische Einwilligungsprozess: Insbesondere muss nachweisbar sein, dass ein Kunde nur nach Durchlaufen des Double-Opt-In Prozesses in einen Werbeverteiler aufgenommen wurde.

Viele Unternehmen haben einen Bestand von E-Mail Adressen aufgebaut, bei dem Quellen und Erhebungsumstände nicht klar sind (z.B. Mail-Adressen von Altkunden, Newsletter-Anmeldungen ohne "saubere" Einwilligung, Geschäftskontakte). Hier wird häufig erwogen, alle Kontakte anzuschreiben und um Abgabe einer ausdrücklichen Einwilligung zu bitten (auch "Re-Opt-In Kampagnen" genannt). Das Problem solcher Maßnahmen ist, dass die Aufforderung zur Abgabe einer Einwilligung bereits Direktwerbung darstellt und damit selbst unzulässig ist. Zudem gehen  viele Kontakte verloren, weil aus Bequemlichkeit kein Opt-In erteilt wird. Immerhin kann durch eine Re-Opt-In Kampagne aber für die Zukunft ein rechtssicherer (obgleich stark geschrumpfter) Verteilerkreis hergestellt werden. Vor- und Nachteile von Re-Opt-In Kampagnen sollten vor diesem Hintergrund sorgfältig abgewogen werden. 

Mündlich erteilte Einwilligungen (z.B. an einem Messestand) sollten vom Empfänger auf Unternehmensseite dokumentiert werden; zudem empfiehlt sich eine schriftliche Bestätigung der Zustimmung (z.B. per E-Mail) .

Visitenkarten, die auf Messen oder sonstigen Veranstaltungen ausdrücklich zur Informationszusendung oder weiteren geschäftlichen Kontaktaufnahme hinterlassen werden, können nach Ansicht der Datenschutz-Aufsichtsbehörden eine wirksame Einwilligung darstellen, wenn die Nachweisbarkeit gegeben ist. (Datenschutzkonferenz, Orientierungshilfe Direktwerbung, November 2018, Ziffer 4.3)

Wird eine Person um Abgabe einer Werbe-Einwilligung gebeten und verweigert sie diese, scheidet eine Berufung auf die Interessenabwägung oder auf das Bestandskundenprivileg (Opt-Out Lösung) insoweit (betreffend den jeweiligen Kanal) unter Umständen aus. Die Verweigerung einer Werbe-Einwilligung muss also ggf. als Werbewiderspruch aufgefasst und vermerkt werden.

4.3 Zusätzliche Anforderungen bei einer „Opt-Out“ Lösung

Kommt die Opt-Out Lösung zur Anwendung, so ist der Betroffene über sein Recht zu informieren, der Nutzung seiner Daten für Zwecke der Direktwerbung und einem damit im Verbindung stehenden Profiling jederzeit zu widersprechen, Art. 21 Abs. 2, 4 DSGVO.

Die Information muss spätestens zum Zeitpunkt der ersten Kommunikation mit dem Betroffenen (erste Werbesendung) erfolgen.

Der Hinweis muss ausdrücklich und in von anderen Informationen getrennter Form erfolgen (z.B. separater Abschnitt oder Hervorhebung durch Fettdruck, graue Hinterlegung und/oder Kasten).

Aus Gründen der Nachweisbarkeit empfehlen die Datenschutz-Aufsichtsbehörden, den Hinweis auf das Widerspruchsrecht bei jeder Werbesendung anzubringen. (Datenschutzkonferenz, Orientierungshilfe Direktwerbung, November 2018, Ziffer 5.2)

Stützt sich das Unternehmen auf das Bestandskundenprivileg, so sind auch die Hinweise gemäß Art. 7 Abs. 3 Nr. 4 UWG zu erteilen (siehe Ziffer 3.3 oben, dort Buchstabe d).

5. Wie erfolgt der Umgang mit Personen, die keine Werbung wünschen?

Hinweis zur Terminologie: Bei Direktwerbung auf Basis eines Opt-Ins spricht man im Falle des Wunsches des Betroffenen, keine Werbung mehr zu erhalten von einem „Widerruf“ (der Werbe-Einwilligung). Erfolgt die Werbung auf Basis einer Opt-Out Lösung (also ohne vorherige Einwilligung) spricht man von einem „Werbewiderspruch“.

Im Falle eines vorherigen Opt-Ins ist der Widerruf einer Einwilligung mit Datum zu dokumentieren.

Bei einer Opt-Out Lösung (z.B. postalische Werbung oder E-Mails auf Basis des Bestandskundenprivilegs) ist der Werbewiderspruch zu dokumentieren und sicherzustellen, dass dieser bei zukünftiger Direktwerbung beachtet wird. Die Dokumentation des Werbewiderspruchs erfolgt in einer Sperrdatei bzw. durch einen Sperrvermerk. Der Betroffene ist über die Speicherung seiner Daten in der Sperrdatei zu informieren.

Wenn konkrete Werbeaktionen angelaufen sind und sich die Kontaktdaten der betroffenen Person schon in der technischen Verarbeitung befinden, kann es im Einzelfall nach Auffassung der Datenschutzaufsichtsbehörden für das Unternehmen unzumutbar sein, einen zwischenzeitlich eingegangenen Werbewiderspruch noch mit erheblichem Aufwand umzusetzen, z. B. einen bestimmten, bereits adressierten Brief aus einer großen Menge heraus zu sortieren. Der Betroffene sollte dann informiert werden, dass sein Widerspruch berücksichtigt wird aber für eine bestimmte (anzugebende) Frist bereits angelaufene Werbeaktionen noch durchgeführt werden können.

Ist unklar, ob der Betroffene eine Einwilligung widerruft oder einen Werbewiderspruch einlegt, so sollte dies mit dem Betroffenen geklärt werden. Gleiches gilt, wenn unklar ist, ob der Betroffene jegliche Werbung oder nur Werbung über bestimmte Kanäle (E-Mail, Post, Telefon) ablehnt.

6. Was gilt bei einzelnen Zielgruppen?

Bewerberdaten dürfen nicht für werbliche Zwecke (z.B. Verkauf von Waren) genutzt werden, sofern keine Einwilligung vorliegt. Gleiches dürfte grundsätzlich auch bei Image-Werbung gelten (z.B. Mailing über neue Auszeichnung als „Top-Arbeitgeber“ oder Präsenz auf Jobmesse).

Soweit Mitarbeiter zugleich Kunden des Unternehmens sind, gelten in Bezug auf kundenbezogene Werbung die Grundsätze wie bei Kunden.

7. Welche Besonderheiten sind zu beachten?

7.1 Kundenprofile

Sofern die Adressaten von Direktwerbung nach bestimmten Kriterien ausgewählt werden (Werbe-Profiling), so bedarf die mit der Speicherung, Generierung und Nutzung der entsprechenden Informationen einhergehende Verarbeitung personenbezogener Daten einer gesonderten datenschutzrechtlichen Prüfung.

Beispiele für Werbe-Profiling: Bildung von Kundensegmenten, Ermittlung potentieller Interessen von Kunden, Ermittlung der potentiellen Affinität für bestimmte Produkte

Ein Widerspruch gegen die Nutzung von Daten für Direktwerbung beinhaltet dann zugleich einen Widerspruch gegen ein entsprechendes Werbe-Profiling (z.B. Ermittlung der potentiellen Affinität für bestimmte Produkte anhand der Kundenhistorie). Nach Ansicht der Datenschutz-Aufsichtsbehörden ist bereits bei automatisierten Selektionsverfahren zur Erstellung detaillierter Profile, Verhaltensprognosen bzw. Analysen, die zu zusätzlichen Erkenntnissen führen, oder bei Hinzuziehung externer Datenquellen unter Umständen ein Opt-In nötig. (Datenschutzkonferenz, Orientierungshilfe Direktwerbung, November 2018, Ziffer 1.3.1)

7.2. Inhalte gegen Kontaktdaten (Inbound-Marketing)

Zur Generierung von potentiellen Neukunden (Leads) werden häufig kostenlose Whitepaper, Studien oder Checklisten zum Download angeboten. Im Gegenzug muss der Interessent seine Kontaktdaten preisgeben, die dann zur werblichen Ansprache genutzt werden sollen (typisches Instrument des „Inbound-Marketing“).

Hier kommen datenschutzrechtlich verschiedene Lösungen in Betracht: Eine explizite Einwilligung, ein Vertragslösung oder das Newsletter-Modell:

  • Bei der expliziten Einwilligung muss der Interessent eine Werbeeinwilligung erteilen und erhält erst dann den Zugang zum gewünschten Inhalt. Grundsätzliche Bedenken bestehen gegen diese Lösung nicht, wenn das Austauschverhältnis transparent ist. In Einzelfällen kann die Freiwilligkeit der Einwilligung jedoch problematisch sein (z.B. Drucksituation, schutzwürdiger Adressatenkreis).
  • Bei der Vertragslösung schließt der Interessent einen Nutzungsvertrag mit dem Anbieter, durch den der Interessent ein Nutzungsrecht an den Inhalten erhält und im Gegenzug mit seinen Daten „bezahlt“. Diese Variante hat den Vorzug, dass bei einem Widerruf der Einwilligung die Nutzungsberechtigung für den Inhalt entfällt. Die Vertragslösung könnte jedoch als unzulässige Koppelung bzw. Umgehung des datenschutzrechtlichen Einwilligungserfordernisses angesehen werden oder AGB-rechtliche Bedenken auslösen.
  • Beim Newsletter-Modell muss der Interessent den Newsletter bestellen und erhält im Rahmen des Versands der ersten Mail bzw. mit der Anmeldebestätigung die Möglichkeit des Zugriffs auf den Inhalt (z.B. Passwort, individueller Download-Link).

7.3 Newsletter Tracking

Soll das Nutzungsverhalten von Newslettern nachverfolgt werden (z.B. Öffnungsrate, Klick von Links) beachten Sie bitte die Hinweise im meinem Beitrag zum Datenschutz bei Webseiten.

7.4  Konzerne und Unternehmensverbünde

Die einzelnen Unternehmen eines Konzerns oder sonstigen Unternehmenverbunds sind datenschutzrechtlich gesonderte Verantwortliche und entsprechend getrennt zu behandeln.

Bei einer Einwilligung ist konkret anzugeben, welchem Unternehmen die Zusendung von Werbung gestattet ist, ggf. ist eine Liste der Konzern-Unternehmen bereitzustellen oder ein Link zu einer solchen. Auf das Bestandskundenprivileg kann sich nur das Unternehmen der Unternehmensgruppe berufen, das die Kundenbeziehung mit dem Betroffenen innehat. Eine Weitergabe von Daten innerhalb der Unternehmensgruppe zu Werbezwecken ohne Einwilligung wäre allenfalls denkbar, wenn dem Kunden dies bei Erhebung der Daten deutlich war.

7.5 Externe Dienstleister

Werden externe Dienstleister mit der Werbemittel-Produktion oder dem -Versand betreut, kann dies eine Auftragsverarbeitung darstellen, sodass bestimmte Verträge mit den Dienstleistern zu schließen sind (Auftragsverarbeitungsverträge).

7.6 QR-Codes

Beim Einsatz von QR-Codes auf Werbemitteln, muss der Inhalt des Codes (z.B. die URL) für den Adressaten ersichtlich ein. Eine mit der Nutzung des QR-Codes einhergehende Datenverarbeitung ist transparent zu machen (z.B. Erfassung, welcher Kunde die codierte URL aufgerufen hat).

7.7 Weitere Sonderfälle

Besondere Anforderungen sind zu beachten, wenn Adressaten der Werbung Kinder sind, sowie bei Empfehlungs- oder Freundschaftswerbung, Adresskauf oder wenn besondere Kategorien personenbezogener Daten (z.B. Gesundheit, rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen) involviert sind.

Praxisleitfaden als PDF herunterladen

(Stand Oktober 2019)

Bild
Rechtsgebiet
Datenschutzrecht
Stichwörter
Direktwerbung
  • Anmelden, um Kommentare verfassen zu können
German

Praxisleitfaden: Haftungsrisiko reduzieren als IT-Anbieter

Anbieter von IT-Dienstleistungen sind vielfältigen Haftungsrisiken ausgesetzt, egal ob sie Software entwickeln, verkaufen, als Application Service Providing (ASP), Software as a Service (SaaS) oder sonst "in der Cloud" bereitstellen.

Das mögliche Ausmaß einer Haftung wird leicht unterschätzt. Verbreitet ist etwa der Irrtum, durch Haftungsklauseln im Vertrag ließen sich die Risiken weitgehend minimieren. Für einen wirksamen Schutz ist nämlich deutlich mehr nötig und auch möglich.

Nutzen und Vorteile

  • Haftungsrisiken verstehen
  • selbstständig Maßnahmen zur Haftungsreduktion entwickeln und umsetzen
  • konkrete Empfehlungen 
  • keine juristischen Vorkenntnisse nötig
  • auf Deutsch und Englisch verfügbar
  • NEU: Musterklauseln für Ihren Vertrag

Inhaltsübersicht

Kapitel und Antworten

Haftung von IT Anbietern

Wofür haften Anbieter von Software und IT-Berater und wie weit reicht die Haftung?

Haftung beschränken in IT-Verträgen

Wie kann die Haftung in Vertragstexten eingeschränkt werden?
Welche Fallstricke und Tricks gibt es?
Was ist speziell bei Open Source Software zu beachten?

Kundenpflichten

Wie können Mitwirkungspflichten und Verantwortlichkeiten des Kunden geregelt werden?
 

Leistungsbeschreibung und Marketing

Worauf ist bei Leistungs- und Produktbeschreibungen aus Haftungssicht zu achten?
Was gilt für Marketingunterlagen?

Schlechte IT-Beratung

Welche Haftungs-Risiken entstehen durch mangelhafte Aufklärung und Falschberatung?
Wie lässt sich das Risiko reduzieren?
 

Systemhäuser und Vertragshändler & Reseller

Welche besonderen Risiken bestehen für Systemhäuser, Vertragshändlern bzw. Resellern?
​​​​​​​Welche Schutzvorkehrungen gibt es?



 

Versicherungen

Worauf ist beim Abschluss von IT-Haftpflicht-Versicherungen zu achten?

Musterklauseln

Optional: Musterklauseln für Ihren Vertrag (als Word-Vorlage)

Vorschau Leitfaden

A) Haftung von IT-Anbieter

Wenn Entwickler oder Anbieter von Software ihre Leistungen mangelhaft erbringen, sieht das Gesetz je nach Vertragsart ein bestimmtes Haftungsregime vor. Hierfür wird teils noch der Begriff "Gewährleistung" verwendet, obwohl das Bürgerliche Gesetzbuch (BGB) seit der Schuldrechtsreform im Jahr 2001 diesen Begriff nicht mehr kennt. Wenn in Ihren Verträgen also noch von "Gewährleistung" die Rede ist, wurden diese möglicherweise noch vor dem Hintergrund der alten Rechtslage verfasst.

Bei einer mangelhaften Leistung muss der Anbieter zunächst "Nacherfüllen", d.h. seine Leistung wie geschuldet erbringen, also zum Beispiel den Softwarefehler beheben. Daneben hat der Kunde Minderungsansprüche: der Kunde zahlt weniger als vereinbart oder kann Geld zurückfordern. In bestimmten Fällen kann der Kunde vom Vertrag zurücktreten, etwa wenn eine Nachbesserung endgültig scheitert. Der gesamte Vertrag wird dann rückabgewickelt: Ware und Geld sind zurückzugewähren.

Eine mangelhafte Leistung muss nicht immer der übliche "Bug" oder Software-Fehler sein. Die Haftung kann durch die unterschiedlichsten Leistungsmängel ausgelöst werden: 

  • Die Software eignet sich nicht für die spezifischen Zwecke des Kunden
  • Die Software ist inkompatibel, zu langsam oder nicht zukunftsfähig
  • Die Benutzerdokumentation fehlt, ist lückenhaft, veraltet oder unverständlich 
  • Schnittstellen funktionieren nicht richtig
  • Daten aus Altsystemen wurden nicht vollständig oder richtig übernommen
  • Die Performance ist unter Last ungenügend
  • Die Software verletzt Rechte Dritter
  • Bestimmte Funktionen der Software fehlen oder funktionieren nicht richtig
  • Die Software ist mit Viren oder Schadprogrammen verseucht
  • Vereinbarte Fertigstellungstermine werden nicht eingehalten
  • Die Software enthält nicht vereinbarte Programmsperren

Ergänzend zu den oben genannten Ansprüchen auf Nacherfüllung, Minderung und Rücktritt  kann der Kunde Schadenersatzansprüche geltend machen.

Beim Schadenersatz muss der Anbieter den Kunden wirtschaftlich so stellen, als hätte der Anbieter ordentlich geleistet. Kann der Kunde etwa wegen eines Problems mit dem Customer Management System (CMS) nicht auf Kundendaten zugreifen und entgehen ihm deshalb Geschäfte, hat der Anbieter dem Kunden den entgangenen Gewinn aus diesen Geschäften zu ersetzen. Eignet sich die Software überhaupt nicht für das Geschäft  und muss der Kunde deshalb eine andere, ggf. teurere Software beschaffen, so hat der Anbieter auch diese Mehrkosten zu erstatten.

Eine summenmäßige Beschränkung oder einen Ausschluss von "indirekten" oder "mittelbaren" Schäden kennt das deutsche Schadensersatzrecht nicht. Selbst wenn der Schaden ein Vielfaches des Vertragswertes ausmacht, muss dem Kunden der volle Schaden erstattet werden.

Beispiele:

  • Ein softwarebedingter Abrundungsfehler bei Rechenvorgängen in einer Bank führt durch die Vielzahl der Anwendungsfälle zu hohen Abrechnungsverlusten.
  • Der Anbieter programmiert ein Zeiterfassungssystem falsch. Der Nutzer des Systems rechnet daher gegenüber seinen Kunden zu wenig Honorar ab.
  • Eine fehlerhaft erstellte Abrechnungssoftware führt dazu, dass betriebliche Zahlungen, Mahnungen und Überweisungen nicht oder zu spät ausgelöst werden.

Voraussetzung für einen Schadenersatzanspruch ist jedoch, dass den Anbieter ein Verschulden trifft, er also vorsätzlich oder fahrlässig gehandelt hat. Fahrlässiges Handeln bedeutet, dass eine Sorgfaltspflicht verletzt wurde. Das Verschulden wird aber vom Gesetz "vermutet", der Anbieter kann und muss sich also exkulpieren, das heißt im Streitfall nachweisen, dass er sorgfältig gehandelt hat.

Um den Folgen einer Haftung zu entkommen gibt es eine Reihe von Gestaltungmöglichkeiten, die im Folgenden beschrieben sind. Hierbei ergeben sich teilweise Unterschiede, je nachdem, ob

  • eine Software gegen ein einmaliges Entgelt zur dauerhaften Nutzung überlassen wurde (Kauf),
  • Anwendungen als Application Service Providing (ASP), Software as a Service (SaaS) oder sonst zur Nutzung zeitweise bereitgestellt wurden (Miete), oder
  • es sich um die individuelle Erstellung oder Anpassung von Software handelt (Werkvertrag).

Auf einige Besonderheiten der verschiedenen Vertragstypen wird im Folgenden gesondert hingewiesen. 

B) Haftungsbeschränkungen in IT-Verträgen

Am naheliegendsten ist, in den eigenen Standardverträgen die Haftung vertraglich auszuschließen oder zumindest einzuschränken.

Das Gesetz und die Rechtsprechung haben dem jedoch enge Grenzen gesetzt. Die Anforderungen an entsprechende Klauseln sind komplex. Die Haftungsbeschränkungen in den meisten im Umlauf befindlichen Allgemeine Geschäftsbedingungen sind daher nicht (voll) wirksam, wohl auch deshalb, weil Regelungen ohne rechtliche Expertise aus anderen Dokumenten zusammenkopiert oder längere Zeit nicht mehr aktualisiert wurden.

B.1) Haftungsregeln in Allgemeinen Geschäftsbedingungen von IT-Dienstleistern

Wenn Sie vorformulierte Vertragsklauseln nutzen liegen sogenannte "Allgemeine Geschäftsbedingungen" (AGB) vor. Auf die Form kommt es nicht an: Unerheblich ist, ob Kleingedrucktes auf der Rückseite eines Bestellformulars  steht, Sie "Nutzungsbedingungen" auf Ihrer Webseite platzieren oder ein Muster-Vertrags-Dokument verwenden und dieses kundenspezifisch ergänzen bzw. ausfüllen. Selbst wenn Sie nur für einzelne Themen, z.B. für die Haftungsregelung, Standardklauseln haben, handelt es sich insoweit um AGB.

Das Gesetz regelt - teilweise sehr abstrakt, teilweise konkret - was in solchen AGB zulässig ist und was nicht. Alle für den Kunden "überraschende" Klauseln sind unwirksam. Unwirksam ist auch jede Bestimmung, die den Kunden "unangemessen benachteiligt". Wann ein solcher Fall vorliegt ist teilweise im Gesetz geregelt, ergänzend gibt es eine umfassende Rechtsprechung.  Bei Zweifeln, etwa bei schwammigen oder mehrdeutigen Formulierungen, wird der Wortlaut von AGBs kraft Gesetzes immer zu Lasten des Verwenders ausgelegt.

Die AGB werden damit einer Inhaltskontrolle unterworfen. Im Streitfalle prüft ein Richter, ob die Klausel wirksam ist. Oft wird verkannt, dass eine solche Inhaltskontrolle nicht nur im Verbraucherbereich (B2C), sondern auch im Unternehmensverkehr (B2B) greift. Gerade für ausländische Juristen, etwa bei der Konzernmutter in den USA, ist diese Tatsache oft überraschend.

Grob dargestellt, ergibt sich aus dem Gesetz und der Rechtsprechung für Haftungsbeschränkungen folgendes Bild:

Die Haftung kann weder ausgeschlossen noch beschränkt werden bei

  • Vorsatz
  • Grober Fahrlässigkeit
  • Verletzung von Leben, Körper und Gesundheit
  • Arglist
  • Übernahme einer Garantie für die Beschaffenheit einer Sache
  • Haftung nach dem Produkthaftungsgesetz

Bei einfacher Fahrlässigkeit kann die Haftung demnach grundsätzlich ausgeschlossen werden. Allerdings hat die Rechtsprechung auch hier eine Grenze gesetzt: Verletzt der Anbieter einfach fahrlässig besonders wichtige Pflichten, sogenannte "Kardinalpflichten", kann der Ersatz nur auf den typischerweise vorhersehbaren Schaden begrenzt werden. Kardinalpflichten sind laut Rechtsprechung solche, "deren Erfüllung die ordnungsgemäße Durchführung des Vertrages erst ermöglicht, deren Verletzung  die Erreichung des Vertragszwecks gefährdet und auf deren Einhaltung der Kunde regelmäßig vertraut"; mit anderen Worten: alle wichtigen Pflichten.

Pauschale Haftungshöchstgrenzen oder der komplette Ausschluss bestimmter Schäden wie "indirekter" oder "mittelbarer" Schäden, entgangener Gewinn oder Betriebsausfallschäden sind damit allesamt in AGB unwirksam. Auch sonstige pauschale Ausschlüsse, zum Beispiel für Datenverlust, haben keine Wirksamkeit.

Und weitere Stolpersteine liegen bereit: Im Unternehmensverkehr (B2B) kann zum Beispiel die Verjährung von Mängelansprüchen beim Verkauf von Software auf ein Jahr begrenzt werden. Der Bundesgerichtshof sieht in einer solchen Verjährungsverkürzung jedoch auch eine "Haftungsbeschränkung" und diese ist in den oben genannten Fällen unwirksam, etwa bei grober Fahrlässigkeit.

Im Streitfall darf ein Gericht eine unwirksame Klausel nicht auf das noch zulässige Maß beschränken (sogenanntes "Verbot der geltungserhaltenden Reduktion"). Vielmehr ist die Klausel unwirksam und es findet die gesetzliche Regelung, das heißt die unbeschränkte Haftung, Anwendung.

  • Wer also etwa in seinen AGB die Verjährung auf 12 Monate verkürzt ohne die oben genannten Fälle auszunehmen, für den gilt die volle Verjährungsfrist. Beim Kauf sind das zwei Jahre.
  • Wer die Haftung bei einfacher Fahrlässigkeit ausschließt, ohne die Besonderheit für Kardinalpflichten zu beachten, der haftet bei einfacher Fahrlässigkeit voll, selbst wenn keine Kardinalpflicht, sondern eine Nebenpflicht, verletzt wurde.
  • Und wer statt einer Beschränkung auf den typischerweise vorhersehbaren Schaden einen zu niedrigen Festbetrag in die AGB schreibt, dem droht ebenfalls die volle Haftung.

Ein Lösungsansatz bei "wackeligen" Bestimmungen besteht darin, diese in gesonderten Absätzen der AGB zu isolieren: Hält ein Gericht die Bestimmung für unwirksam kippt es unter Umständen nur diese.

Auch große, etablierte Anbieter schreiben teilweise unwirksame Bestimmungen in ihre AGBs. Dahinter steckt ein Kalkül: Die Klausel bietet bei außergerichtlichem Streit immerhin Argumentationsmöglichkeiten. Der Anbieter kann dem Kunden erstmal die AGB vorhalten. Diesen Vorteil müssen Unternehmen aber gegen das Risiko abwägen, wegen der Verwendung rechtswidriger AGB von Konkurrenten oder Verbänden abgemahnt zu werden.

Empfehlung:

  • Prüfen Sie, ob Ihre Allgemeinen Geschäftsbedingungen die zulässigen Haftungsausschlüsse bzw. -beschränkungen ausschöpfen aber gleichzeitig die AGB-Anforderungen einhalten.
  • Isolieren Sie ggf. kritische Bestimmungen in isolierten Absätzen oder gesonderten Klauseln Ihrer AGB.
  • Wägen Sie Vorteile und Risiken möglicherweise unwirksamer Klauseln ab.

B.2) Verträge individuell aushandeln

Wenn Sie die Vertragsklauseln mit Ihren Kunden individuell aushandeln, liegen keine AGB vor. Sie können dann bis auf wenige Fälle, etwa Vorsatz, die Haftung ausschließen oder beschränken.

Der Bundesgerichtshof stellt an ein solches "Aushandeln" jedoch hohe Anforderungen. Ein bloßes Verhandeln genügt nicht. Für ein individuelles Aushandeln müssen Sie die von Ihnen vorgelegten Vertragsbestimmungen "ernsthaft zur Disposition" stellen. Bloße Erläuterungen oder das Einverständnis des Kunden zu einzelnen Klauseln genügt nicht. Es muss ein Geben und Nehmen stattfinden: Regelmäßig müssen Klauseln substantiell geändert worden sein.  Wenn zwischen Ihnen und dem Kunden ein Ungleichgewicht besteht, z.B. weil der Kunde juristisch wenig versiert und unerfahren ist, sind die Anforderungen besonders hoch.

Im Streitfalle sollten Sie nachweisen können, dass Bestimmungen individuell ausgehandelt wurden.

Empfehlung

  • Wenn Sie im Einzelfall, z.B. bei einem großen Projekt, eine Haftungsbeschränkung benötigen, die in AGBs unzulässig wäre, stellen Sie die Haftungsregelung zur Disposition. Lassen Sie ggf. den Kunden einen Vorschlag unterbreiten. Bieten Sie bei den Verhandlungen unter Umständen verschiedene Regelungen oder Höchstsummen zu unterschiedlichen Preisen an.
  • Dokumentieren Sie E-Mails, Gesprächsprotokolle oder Vertragsentwürfe, um ein Aushandeln der Klauseln später nachweisen zu können. Archivieren Sie diese Unterlagen zusammen mit den Verträgen.

B.3) Regelungen zur Mängelhaftung (früher: Gewährleistung)

Neben einer Haftungsbeschränkung für Schadenersatz sollten Anbieter weitere Klauseln zur Mängelhaftung aufnehmen.

Hierzu gehört zum einen die schon genannte Verkürzung von Verjährungsansprüchen. Auch ist es sinnvoll die Vorgehensweise bei der Behebung von Fehlern zu regeln, etwa das Recht, vorrübergehendeWorkarounds bereitstellen zu dürfen.

Etabliert haben sich auch Klauseln für den Fall, dass  Dritte gegen den Kunden mit der Behauptung vorgehen, die Nutzung der Software verletze ihre Rechte (des Dritten). Der Anbieter kann hier den Kunden ggf. Freistellungsansprüche anbieten, im Gegenzug hat der Kunde den Anbieter unverzüglich über erhobene Drittansprüche zu informieren und dem Anbieter die "Kontrolle" über den Rechtsstreit zu ermöglichen.

Empfehlung

  • Nehmen Sie in Ihrem Vertrag spezielle Bestimmungen zur Mängelhaftung auf, etwa zur Verjährungsverkürzung

B.4) Sonderfall: Haftung für Open Source Software

Ein zusätzliches Haftungsrisiko kann entstehen, wenn Sie Open Source Software in ihre eigene Software integrieren, z.B. eine Komponente zum Erzeugen von PDF-Dateien oder andere Open Source Bibliotheken.

Viele Open Source Softwarelizenzen, etwa die GNU General Public License, sehen nämlich umfassende Haftungsbeschränkungen vor. Auch wenn hier noch vieles umstritten ist: Diese Haftungsbeschränkungen können - je nach Ausgestaltung - auch nach deutschem Recht durchaus wirksam sein: Weil Open Source Software unter bestimmten Auflagen kostenlos genutzt werden darf ist die Haftung der Programmierer bei einer solchen "Schenkung" schwächer.

Wenn Sie als IT Anbieter Open Source Software in ihr eigenes Angebot (z.B. eine proprietäre Software) integrieren, haften Sie gegenüber Ihren Kunden nach den allgemeinen Regeln und zwar auch für die Open Source Komponenten. Ihre Haftung gegenüber Kunden für Fehler der Open Source Komponente können Sie in Standardverträgen aber kaum wirksam ausschließen. Sie haften gegenüber Ihren Kunden also unter Umständen viel weitergehender als der Open Source Software Programmierer gegenüber Ihnen. Dem können Sie nur entgehen, wenn Sie die Open Source Software von der eigenen entkoppeln. Welche Anforderungen für eine Entkoppelung erfüllt sein müssen, hängt von der jeweiligen Open Source Lizenz ab.

Eine solche Entkoppelung bietet sich auch aus anderem Grund an: Viele Open Source Lizenzen haben einen Copyleft-Effekt: Wer aufbauend auf Open Source Produkte eigene Software erstellt, muss dann auch die eigene Software unter der Open Source Lizenz anbieten. Und das bedeutet meist, dass der Quellcode der eigenen Software - und damit das gesamte Know-How - für jedermann frei zugänglich sein müsste.

Empfehlung

  • Wenn Sie Open Source Software für Ihre Produkte nutzen wollen, prüfen Sie vorab sorgfältig die Lizenzbedingungen und entkoppeln Sie ggf. ihre eigene Software von den Open Source Komponenten.

C)  Den Kunden in die Pflicht nehmen: Verantwortungsbereiche und Mitwirkungspflichten festlegen

Sie können Haftungsrisiken auch reduzieren, indem Sie vertragliche Mitwirkungspflichten der Kunden aufnehmen und die Verantwortungsbereiche zwischen Ihnen und dem Kunden klar aufteilen. Verhält sich der Kunde dann nicht vertragsgemäß kann dies etwa bei der Frage eines Mitverschuldens zu Ihren Gunsten berücksichtigt werden.

Doch Vorsicht: Standardverträge unterliegen auch hier einer Kontrolle. Bei einem Kaufvertrag zum Beispiel muss der Kunde im B2B-Bereich laut Gesetz die Software prüfen und erkennbare Mängel rügen, hat aber darüber hinaus keine besonderen Mitwirkungspflichten. Wenn Sie in Ihren AGB den Kunden allerlei Pflichten auferlegen, die das Gesetz für einen entsprechenden Vertragstyp so nicht vorsieht,  sind die Klauseln womöglich nicht durchsetzbar: Denn alle Bestimmungen, die sich von der gesetzlichen Regelung des jeweiligen Vertragstypus im Bürgerlichen Gesetzbuch zu weit entfernen benachteiligen den Kunden unangemessen und sind in AGB unwirksam.

Eine Reihe von Klauseln sind jedoch üblich und hilfreich, vor allem wenn es um Werkverträge geht, etwa die Anpassung oder Erstellung von Software, die Konfiguration eines Systems oder die Migration von Daten: Legen Sie in solchen Verträgen fest, welche Aufgaben der Kunde hat und in welchem Zeitrahmen diese erledigt werden müssen (Fristen- und Aktivitätenplan). Vereinbaren Sie zum Beispiel im Vertrag, welche Tests der Kunde bei einer Abnahme durchführen muss und ggf. welche weiteren Leistungen er erbringen muss, z.B. Testdaten oder Systemumgebungen zur Verfügung stellen.

In gewissem Umfang können Sie dem Kunden auch eine regelmäßige Sicherung seines Datenbestandes ins Hausaufgabenheft schreiben. Wenn es aufgrund eines Softwarefehlers dann zu einem Datenverlust kommt, müssen Sie nur den Schaden ersetzen, der auch bei einem regelmäßigen Backup durch den Kunden entstanden wäre, zum Beispiel die Kosten für das Recovery.

Denkbar sind zudem Regelungen, wonach der Kunde

  • sich über die Eignung der Software für seine konkreten Zwecke anhand von Anbieter-Informationen vergewissern
  • die notwendige Hardware und Softwareumgebung für den Einsatz der Software schaffen
  • die Betriebshinweise der Software beachten, und
  • den Anbieter bei der Fehlersuche, etwa durch Bereitstellung bestimmter Informationen, unterstützen

muss.

Empfehlungen:

  •  Legen Sie im Vertrag fest, welche Mitwirkungspflichten der Kunde hat und in welchem Zeitrahmen diese zu erfüllen sind (Aktivitäten- und Fristenplan)
  •  Legen Sie dem Kunden vertraglich Obliegenheiten auf, etwa zur Datensicherung, Schaffung einer geeigneten Systemumgebung oder zur Bereitstellung von Informationen beim Auftreten von Fehlern

D) Leistungsbeschreibungen und Marketing

Die Haftung wird durch eine mangelhafte Leistung des Anbieters ausgelöst. Ob eine Leistung "mangelhaft" ist, ergibt sich aus einem Vergleich zwischen dem, was geschuldet ist und dem, was Sie als Anbieter tatsächlich geliefert haben.

D.1) Vertragliche Vereinbarung

Für die Frage wiederum, was vertraglich "geschuldet" ist, stellt das Gesetz zunächst auf die vertraglich "vereinbarte Beschaffenheit" ab. Deshalb ist es besonders wichtig, vertraglich festzuzurren, was das Produkt kann - und was es nicht kann.

Bei Softwareerstellungsverträgen oder größeren IT-Projekten sind die Leistungen meist in einem separaten Dokument oder Anhang beschrieben. Dies wird als Leistungsbeschreibung oder auch als Lasten-/Pflichtenheft bezeichnet. Teilweise wird das vom Kunden zu erstellende Dokument Lastenheft genannt und die vom Auftragnehmer konkretisierte Ausformulierung trägt die Bezeichnung "Pflichtenheft". Doch die Begrifflichkeiten werden keineswegs einheitlich ausgelegt. Verständigen Sie sich also mit Ihrem Vertragspartner.

Leider geht hier in der Praxis viel schief, weil zu Beginn des Projektes die Beteiligten in Euphorie und guter Stimmung schwelgen und schnell zum Vertragsschluss kommen wollen. Der Anwalt oder die Rechtsabteilung entwirft einen Vertrag, aber diesem wird dann keine ordentliche Leistungsbeschreibung beigefügt. Häufig kursieren verschiedene Fassungen von Leistungsbeschreibungen und es bleibt unklar, welche nun die vertraglich vereinbarte ist. Leistungsbeschreibungen sind zudem oft unvollständig oder ungenau und werden nicht mit einer Vertragsbrille geprüft. Kunden sind gerade bei größeren Projekten oft gar nicht in der Lage zu Projektbeginn bis ins Detail zu formulieren, was das Produkt am Ende können soll.

Sie sollten deshalb vertraglich festlegen, wer welche Aufgaben bei der Erstellung der Leistungsbeschreibung hat und wer die Verantwortung für die Vollständigkeit und Richtigkeit der Beschreibung trägt.

Empfehlungen:

  • Regeln Sie bei Softwareerstellungsverträgen oder größeren IT-Projekten, welche Verantwortung der Kunde bei der Erstellung der Leistungsbeschreibung hat. Hängen Sie eine aktuelle und detaillierte Dokumentation dem Vertrag an.

Wird eine Standard-Software verkauft oder als ASP / SaaS bereitgestellt fehlt eine Beschreibung der Software häufig ganz. Teilweise wird nur der Produktname genannt oder auf die Webseite, Online-Hilfe oder eine Testversion verwiesen. Das birgt Gefahren: Auf der Webseite oder in Marketing Materialien finden sich oft anpreisende Aussagen, zum Beispiel "leicht bedienbar", "Nutzung über PC, Tablet oder Smartphone" oder "Export in alle gängigen Datenformate". An diesen Aussagen müssen Sie sich im Streitfalle messen lassen.

Wenn Sie Software verkaufen, also gegen Einmalzahlung zur dauerhaften Nutzung bereitstellen,  müssen sie sich als Verkäufer zudem an öffentliche Äußerungen festhalten lassen, so legt es das BGB fest.  Dies gilt nicht nur für Ihre eigenen Äußerungen, sondern beim Vertrieb von Drittsoftware auch für Aussagen des Herstellers.

Empfehlungen:

  • Erstellen Sie eine saubere Produkt- bzw. Leistungsbeschreibung, die festlegt, was Ihre Software kann - und was nicht.
  • Prüfen Sie beim Verkauf von Software, ob die Werbeaussagen auf Ihrer Webseite oder in sonstigen Werbematerialien (Broschüren, Folien aus Workshops etc.) werbende Aussagen enthalten, die Sie unter Umständen nicht einhalten können. Prüfen Sie ggf. auch Marketingunterlagen oder sonstige öffentlichen Äußerungen des Software-Herstellers.

D.2) Verwendungszweck

Die Leistung eines IT-Anbieters ist auch dann mangelhaft, wenn sich das Produkt oder die Leistung für die "nach dem Vertrag vorausgesetzte Verwendung" nicht eignet.

Die vertraglich vorausgesetzte Verwendung spielt eine besonders wichtige Rolle bei größeren IT-Projekten, Softwareentwicklungen oder Spezialsoftware. Als IT-Anbieter können Sie also unter Umständen haften, wenn sich eine komplexe ERP Software nicht auf die unternehmensspezifischen Prozesse des Kunden anpassen lässt oder nicht in dessen Systemlandschaft einfügt, etwa weil Schnittstellen zu bestehenden Systemen scheitern.

Aus Kundensicht wünschenswert, aber für den Anbieter gefährlich kann es sein, wenn im Vertrag oder auch in der Präambel auf Dokumente, Besprechungsprotokolle oder Präsentationen Bezug genommen wird, in denen der Verwendungszweck oder die Ziele eines IT-Projekts ausufernd beschrieben sind. Diese Ausführungen können im Streitfall zur Vertragsauslegung und Zweckermittlung von einem Gericht herangezogen werden.

Empfehlung:

  • Berücksichtigen Sie bei größeren IT-Projekten, Softwareentwicklungen oder komplexer Software den Zweck, den der Kunde verfolgt.  Legen Sie Ziele und Zwecke klar fest. Klären Sie, ob sich die Software für den Kunden eignet und dokumentieren Sie, welche Warnhinweise Sie dem Kunden hierzu gegeben haben.

D.3) Achtung: Garantie

Wenn Sie für eine bestimmte Beschaffenheit Ihrer Software eine Garantie geben, so greifen faktisch keine vertraglichen Haftungsbeschränkungen mehr. Zudem haften Sie unter Umständen verschuldensunabhängig. Als Anbieter sollten Sie also tunlichst keine ungewollten Garantien abgeben.

Vorliegen und Umfang einer Garantie werden durch Vertragsauslegung bestimmt. Eine Garantie muss nicht ausdrücklich erfolgen, sondern kann auch implizit, etwa durch Produktbroschüren abgegeben worden sein, etwa wenn dort bestimmte Merkmale besonders hervorgehoben oder angepriesen werden. Die Grenzen sind fließend. Mit der Schuldrechtsreform im Jahr 2001 ist die Gefahr, dass Erklärungen des Anbieters als Garantie ausgelegt werden deutlich gestiegen. Wenn es sich nicht nur um eine bloße Beschreibung handelt, sondern eine Einstandspflicht in eine Aussage hineingelesen werden kann, droht eine Garantieerklärung vorzuliegen. Dies gilt vor allem dann, wenn Sie als Anbieter erkennen müssen, dass es dem Kunden auf ein bestimmtes Merkmal besonders ankommt oder Sie ein bestimmtes Merkmal Ihres Produkts besonders hervorheben. 

Um das Garantie-Risiko zu minimieren, sollten Sie jedenfalls Formulierungen wie "sichert zu", "garantiert", "versprochen" oder gar "zugesicherte Eigenschaft" unbedingt vermeiden, und zwar nicht nur im Vertrag, sondern auch in der Leistungsbeschreibung oder in Marketingunterlagen.

Der Begriff "zugesicherte Eigenschaft" ist übrigens auch ein Relikt aus Zeiten vor der Reform des BGB im Jahr 2001 und Indiz für veraltete Vertragsdokumente.

Empfehlung:

  • Prüfen Sie Vertragsunterlagen, Produktbeschreibungen oder Marketingmaterialien, um ungewollte Garantieerklärungen zu beseitigen. Vermeiden Sie etwa Ausdrücke wie "sichert zu", "garantiert", "versprochen" oder "zugesicherte Eigenschaft". Schulen Sie ihr Personal entsprechend.

D.4) Bug-List

Aus Haftungssicht kann es sinnvoll sein, eine Liste bekannter Fehler (know-Bugs) zu veröffentlichen und den Kunden hierüber vorab zu informieren. Stellen Sie dem Kunden nämlich eine Software mit Fehlern bereit, obwohl Sie diese kennen, handeln Sie arglistig. Bei Arglist haften Sie sehr weitgehend und es gelten längere Verjährungsfristen.

Übrigens: Die Aussage in AGB, Software sei wegen seiner Komplexität nie gänzlich frei von Fehlern, hilft nicht. Im Gegenteil, die Formulierung kann nach hinten losgehen: Der Kunde könnte argumentieren, Sie handeln arglistig, weil Sie eine Ihnen bekanntermaßen fehlerhafte Software vertreiben ohne den Kunden über die Fehler aufgeklärt zu haben.

Ein Anbieter verschweigt auch dann einen Fehler arglistig, wenn er auf Programmsperren, Registrierpflichten oder überraschende Datenverbindungen zum Herstellerserver nicht hinweist.

Empfehlung:

  • Stellen Sie dem Kunden vor Vertragsschluss ggf. eine Liste bekannter Fehler bereit. Weisen Sie auf Programmsperren, Registrierpflichten oder Datenverbindungen zum Herstellerserver hin.

D.5) Software-Miete, ASP und SaaS

Das Haftungsregime bei der Software-Miete, ASP und auch SaaS weicht von dem oben Beschriebenen teilweise ab. Hier müssen Sie als Anbieter zum Beispiel für bei Vertragsschluss vorhandende Fehler verschuldensunabhängig Schadenersatz leisten, das heißt selbst dann, wenn Sie in keiner Weise fahrlässig gehandelt haben. Diese Haftung ist aus Anbietersicht unbedingt vertraglich auszuschließen, was auch in AGB zulässig ist.

Daneben ergeben sich weitere Besonderheiten, da für den Mangelbegriff primär auf den vertraglich vorausgesetzen Gebrauch abgestellt wird. Zudem müssen Sie die Software während der gesamten Vertragslaufzeit in gebrauchsfähigem Zustand halten. Das kann bedeuten, dass Sie bei der Änderung rechtlicher Rahmenbedingungen (z.B. Umsatzsteuersatz) die Software rechtzeitig unentgeltlich anzupassen haben.

  • Wenn Sie Software nicht gegen Einmalentgelt dauerhaft überlassen, sondern zeitlich befristet (z.B. als ASP / SaaS oder mietweise) bereitstellen, benötigen Sie für diese Vertriebsform gesonderte Haftungsregelungen.

D.6) Service Levels

Zu einer Leistungsbeschreibung gehört meist auch die Festlegung von Service Levels, vor allem bei ASP oder SaaS-Modellen: Die Software samt Daten wird hier beim Anbieter gehostet und Ausfälle der Verfügbarkeit können existenzbedrohende Schäden verursachen. 

Service Levels verpflichten Sie als Anbiter zwar dazu, bestimmte Leistungsmerkmale zu erfüllen, können aber Streit darüber vermeiden, ob und welche Haftungskonsequenzen Ausfälle Ihres Service nach sich ziehen. Wägen Sie also Vorteile und Nachteile einer konkreten Regelung ab.

Service Levels Agreements (SLA) legen typischerweise die Verfügbarkeit pro Kalendermonat oder -jahr sowie Wartungszeiten fest und enthalten Regeln, wie die erzielten Werte gemessen werden  und welche Rechte dem Kunde bei  Unterschreitung der Service Levels zustehen. Bei Wartungsverträgen oder Support-Hotlines können Sie neben der Verfügbarkeit auch Reaktions- oder Fehlerbeseitigungszeiten abhängig von der Schwere des Fehlers definieren.

Soweit Service Levels den Leistungsinhalt beschreiben, unterliegen Sie nicht der Inhaltskontrolle von AGB. Aus Transparenzgründen gefährlich sind dennoch Einschränkungen der Leistung durch Service Level Klauseln in den AGB. Nehmen Sie diese Einschränkungen besser in einem etwa als  "Leistungsbeschreibung" titulierten gesonderten Dokument auf.

Auch dürfen Service Level Agreements (SLA) nicht zu einer Aushebelung gesetzlicher Mängelhaftungsansprüche führen. Eine Regelung wonach die im SLA enthaltenen Mängelansprüche, etwa die Gewährung von Service Credits, abschließend ist, kann deshalb unwirksam sein.

Empfehlung:

  • Beschreiben Sie den Leistungsinhalt in Service Levels, vor allem bei ASP oder SaaS-Modellen. Regeln Sie insbesondere Verfügbarkeit, Wartungsfenster, das Monitoring und Mängelansprüche. Verstecken Sie Service Levels nicht in AGBs, sondern schreiben Sie diese transparent in die Leistungsbeschreibung.

E) Haftung für Beratungsfehler (Consulting)

Auch für Schäden aufgrund einer schuldhaften Falschberatung können Anbieter haften. In bestimmten Fällen geht die Rechtsprechung von Beratungs- bzw. Aufklärungspflichten des Anbieters aus, etwa dann, wenn ein Kenntnisgefälle zwischen Anbieter und Kunde besteht, wenn der Kunde nach einer Beratung gefragt oder hierauf besonderen Wert gelegt hat und tatsächlich Beratungsleistungen erbracht wurden. In der Rechtsprechung gibt es eine Vielzahl von Entscheidungen zu Beratungsfehlern und verletzen Aufklärungspflichten im IT Bereich. 

Das Verzwickte hieran: In Ihren Geschäftsbedingungen, z.B. zum Softwarekauf, können Sie als Anbieter die Haftung für vor Abschluss des Vertrages begangene Beratungsfehler nicht wirksam ausschließen.

Deshalb kann es sinnvoll sein, spezielle AGB für Beratungsleistungen parat zu haben und mit dem Kunden zu vereinbaren, sobald - etwa im Vorfeld eines Projektes  - Sie diesen in einem der oben genannten Fälle beraten. 

Empfehlungen

  • Beraten Sie sorgfältig und berücksichtigen Sie die kundenspezifische Situation und etwaige Informationsdefizite des Kunden. Dokumentieren Sie, in welcher Form Sie den Kunden über Risiken und Rahmenbedingungen informiert haben.
  • Schließen Sie ggf. vorab gesonderte Beratungsverträge und rechnen Sie etwaige Gebühren auf den Kaufpreis oder eine Nutzungsgebühr an.

F) Systemhäuser und Vertragshändler/Reseller

Eine besondere Situation besteht, wenn Sie als Vertragshändler Software vertreiben (Reseller) oder als Systemhaus Software-Komponenten von Drittherstellern in Ihre Produkte integrieren. Sie befinden sich dann in der Mitte der Lieferkette zwischen Software-Hersteller und (End-)Kunden; wie eine Tomate in einem Sandwich.

Dem Kunden gegenüber haften Sie als Vertragspartner für sämtliche Mängel und zwar auch dann, wenn der Mangel auf einem Fehler der Software des Herstellers beruht: Der Kunde kann dann gegen Sie vorgehen, und Sie müssen versuchen beim Hersteller Regress zu nehmen. In AGB unwirksam ist eine Reglung, wonach Ihr Kunde sich statt an Sie direkt an den Hersteller wenden muss.

Das Haftungsrisiko besteht darin, dass Sie als Anbieter vom Kunden in Anspruch genommen werden, ihrerseits aber den Hersteller wegen des Schadens nicht in Regress nehmen können und so auf dem Schaden "sitzen bleiben". Ein bereits erwähnter Fall ist Open Source Software. Die Haftungslücke kann aber auch klaffen, wenn der Vertrag mit dem Hersteller einer anderen Rechtsordnung unterliegt, etwa US Recht, das viel umfassendere Haftungsbeschränkungen erlaubt. Auch können Ihre Ansprüche gegen den Hersteller verjährt sein,  während der Kunde diese Ihnen gegenüber noch geltend machen kann.

Dieses Risiko lässt sich oft nicht vollständig ausschalten, jedenfalls nicht in AGB. Dennoch können Sie versuchen, einen gewissen Gleichlauf zwischen Ihren Kundenverträgen und den Verträgen mit dem Hersteller herbeizuführen, etwa in Bezug auf Leistungsbeschreibung, bekannte Fehler oder die Pflicht, bei Fehlermeldungen bestimmte Informationen bereitzustellen oder Tools zu nutzen.

Empfehlung

  • Wenn Sie sich als Reseller oder Nutzer fremder Softwarekomponenten in einer Sandwich-Situation zwischen Kunde und Hersteller befinden, berücksichtigen Sie bei Ihren Kundenverträgen die Vertragsbedingungen der Hersteller und versuchen Sie, soweit möglich, einen Gleichlauf der Bestimmungen herzustellen.

G) IT-Haftpflicht-Versicherungen

Schließlich können Haftungsrisiken auch mit einer IT-Haftplicht-Versicherung reduziert werden, die bei Schadenersatzansprüchen von Kunden einspringt. Die normale Betriebshaftpflichtversicherung eignet sich hierfür jedoch nicht: Sie wird den spezifischen Risiken eines IT-Anbieters nicht gerecht, weil relevante Bereiche ausgeschlossen sind, etwa  die Haftung für bestimmte "Schäden aus dem Austausch, der Übermittlung und der Bereitstellung elektronischer Daten".               

Gegenüber Ihren Kunden können Sie Ihre Haftung in AGB nicht pauschal auf die Deckung durch Ihre IT-Versicherung  beschränken. Deshalb ist es wichtig, bei der Versicherung genau auf die Konditionen zu achten.

Die Deckungssumme für Vermögensschäden muss abhängig von Ihrem Geschäftsmodell und dem damit verbundenen Haftungsrisiko ausreichend hoch sein. Die IT-Haftplicht-Versicherung sollte dabei nicht zwischen Sach- und Vermögensschäden unterscheiden und keine weiteren Einschränkungen in Form von Unterversicherungssummen, etwa für Rechtsverletzungen, enthalten. Wegen der umfassenden gesetzlichen Haftung sollten die Versicherungen zudem nicht die Deckung für Folgeschäden wie Umsatz- und Gewinnausfall oder Datenrekonstruktion einschränken.

Die "Besonderen Bedingungen und Risikobeschreibungen für die Haftpflichtversicherung von IT-Dienstleistern" (BBR IT-D) umfassen deshalb zum Beispiel die Risiken aus dem Betrieb eines Softwarehauses einschließlich typischer Zusatzleistungen und daneben auch Risiken aus der Herstellung von und dem Handel mit Hardware sowie die Risiken aus dem Internet-Providing.

Empfehlung

  • Prüfen Sie den Abschluss einer speziellen IT-Haftpflichtversicherung neben Ihrer normalen Betriebshaftpflichtversicherung. Achten Sie dabei auf eine ausreichend hohe Deckung für Vermögensschäden ohne Einschränkungen für Fälle des Umsatz- und Gewinnausfalls oder der Datenrekonstruktion.
Bild
Rechtsgebiet
IT-Recht
Stichwörter
SaaS
Cloud Computing
Haftung
  • Anmelden, um Kommentare verfassen zu können
German

Datenschutzerklärungen für Webseiten vorbereiten

Webseitenbetreiber müssen Nutzer über den Umgang mit personenbezogenen Daten detailliert informieren (sog. Datenschutzerklärungen, Datenschutzhinweise oder Privacy Policy), Art. 13 und 14 DSGVO. Hierbei sind viele Aspekte zu beachten, z.B. Tracking-Tools, Server Logfiles, Plugins, Newsletter-Bestellformulare, Cookies, Bestellprozesse, Eingabeformulare und vieles mehr.

Mein Formular zur Erfassung von Webseiteninhalten hilft, alle für die Erstellung von Datenschutzerklärungen relevanten Aspekte abzufragen, um im Anschluss individuelle und passgenaue Datenschutzerklärungen zu schreiben. Das Formular dient zugleich als Checkliste.

Einen Überblick über die Anforderung der DSGVO bei Website-Projekten finden Sie in meinem Blogbeitrag

Nutzen und Vorteile

  • Systematische Erfassung des relevanten Sachverhalts 
  • Kommunikation zwischen Rechtsberater, Fachbereich und IT-Experten optimieren
  • Hin- und Rückfragen vermeiden, Zeit und Nerven sparen 
  • Haftungsrisiken vermeiden, die durch mangelnde Sachverhaltsklärung entstehen 
  • Aufwand für die Erstellung von Datenschutzerklärungen richtig einschätzen
  • Datenschutz-relevante Änderungen bei Webseiteninhalten nachverfolgen

Zielgruppe

  • Datenschutzbeauftragte
  • Rechtsanwälte
  • Datenschutzberater
  • Web-/Online-/Media-Agenturen
  • Kunden, Auftraggeber, Fachverantwortliche von Website-Projekten

Nutzungsrechte

Formular/Checkliste herunterladen (Word-Datei)

Das Formular ist auch auf Englisch verfügbar.

Abgedeckte Themengebiete

  • Server-Betrieb (z.B. Webserver-Protokolle, Content Delivery Netzwerke, Monitoring-Tools)
  • Standardfunktionalitäten (z.B. Kontaktformular, Newsletterbestellung/Double-Opt-In, Kommentarfunktion, Account-Registrierung, Passwortsicherheit)
  • Tracking (z.B. Google Analytics, Universal Tracking, Google Analytics zur Nutzung mit Werbefunktionen, Matamo/Piwik, Adobe Analytics, HotJar, HubSpot)
  • Online Marketing (z.B. Google Adwords mit Remarketing, Facebook Remarketing, Facebook/Google Conversion Tracking, Facebook Custom Audiences, Tags)
  • Plugins  (z.B. Like oder Share-Buttons von Facebook oder Google oder Plugins von Instagram, Pinterest, Xing, LinkedIn, AddThis, Einbindung von Videos, Bilder, Karten, Schriften und sonstigen Funktionen Dritter)
  • Abfrage von Cookies (z.B. First/Third Party Cookies, Session-Cookies, Marketing-Cookies, Statistik-Cookies, HTML5 Local Storage)
  • Sonstiges (z.B. Zahlungsdiensteanbieter, Datenzugriff durch Hoster/Programmierer/Agenturen, Browser-Fingerprints, Web-Beacons, 1-Pixel-Bilder)
Bild
Rechtsgebiet
Datenschutzrecht
Stichwörter
Datenschutzerklärungen
Tracking
  • Anmelden, um Kommentare verfassen zu können
German

Immer mehr Unternehmen ernennen Compliance Officer und implementieren zum Teil umfassende Compliance Programme. Deren Aufgabe ist, die Einhaltung von Rechtsvorschriften durch das Unternehmen sicherzustellen, z.B. Korruption und unzulässige Kartellabsprachen, Geldwäsche sowie Betrugs- und Untreuefälle zu verhindern und aufzuklären.

Doch auch das Compliance-Programm selbst muss den gesetzlichen Anforderungen genügen. Vor allem das Datenschutzrecht stellt hierbei eine Reihe von Anforderungen und setzt Grenzen.

Wie Fälle aus der Vergangenheit gezeigt haben, können selbst vermeintliche Verstöße des Compliance-Programms gegen den Datenschutz erhebliche Imageschäden für das Unternehmen und sogar persönliche Konsequenzen für das Management haben. Es drohen Bußgelder und im Extremfall strafrechtliche Verfolgung.

Mit der geplanten Vereinheitlichung des Datenschutzes durch eine Europäische Datenschutz-Grundverordnung wird der Datenschutz zukünftig weiter an Bedeutung gewinnen. Dies auch deshalb, weil die drohenden Sanktionen bei Datenschutzverletzungen massiv verschärft werden sollen.

Ich habe eine Checkliste mit dem Titel "Datenschutz bei Compliance Programmen - eine Checkliste mit Erläuterungen und Best Practices" entworfen. Diese hilft, datenschutzrelevante Themen bei Compliance-Programmen zu erkennen. Neben Kontrollfragen enthält die Checkliste Erläuterungen sowie Empfehlungen und Best Practices. Die Checkliste wendet sich an Compliance Officer, Mitarbeiter von Compliance-, Rechts- und Revisions-Abteilungen und Datenschutzbeauftragte.

Die Checkliste deckt derzeit folgende Bereiche ab:

A) Interne Compliance Ermittlungen
B) Einsichtnahme und Auswertung von Mitarbeiter E-Mails 
C) IT-Forensische Untersuchungen / Compliance Screenings / Massendatenanalysen 
D) Hinweisgebersysteme (Whistleblowing) 
E) Zentrale Compliance im Konzern / Verbund

Geplante weitere Themen sind:

  • E-Discovery
  • Pre-Employment Screenings
  • Terrorlisten Screenings
  • Geldwäscheprävention

Die Checkliste wird regelmäßig aktualisiert und ergänzt. Bitte laden Sie die jeweils aktuelle Version herunter.

Die Checkliste ist (z.B. zur Zitierung) auch erschienen in der ZRFC, "Risk, Fraud & Compliance", 2013, Heft 8, Seite 170 ff.

Ich freue mich über Anregungen, Kritik und einen Erfahrungsaustausch. Kontaktieren Sie mich gerne.

Checkliste herunteladen
Bild
Datenschutz bei Compliance Programmen - Checkliste mit Erläuterungen und Best Practices
Rechtsgebiet
Datenschutzrecht
Stichwörter
BDSG-1990
Compliance
  • Anmelden, um Kommentare verfassen zu können
German

Buchkapitel: Datenschutz bei Big Data und Business Analytics

Mein Kapitel für das “Handbuch Business Intelligence“ erläutert die für Big Data und Business Analytics relevanten datenschutzrechtlichen Grundlagen und gibt konkrete Tipps, wie bei Projekten der Datenschutz sichergestellt wird. 

Neben dem Personenbezug und der Anonymisierung gehe ich auf Fragen der Zweckbindung, Datensparsamkeit und Betroffenenrechte ein und spreche Sonderkonstellationen wie Standort-, Kommunikations-, Gesundheits- und Internetdaten an. 
 

Nutzen und Vorteile

  • schneller und fundierter Einstieg in das Thema 
  • Weichen im Projekt von Anfang an richtig stellen
  • Sonderkonstellationen erkennen
  • typische Fehler vermeiden 

 

Buchkapitel herunterladen

Inhaltsübersicht

Was das Buchkapitel bietet

Grundlagen

Wozu dient das Datenschutzrecht?

Was sind personenbezogene Daten, was sind anonyme Daten?

International

Was ist bei Auslandsbezug zu beachten?

Was bringt die DSGVO?

Zweckbindung

Welche Rolle spielt der Zweckbindungsgrundsatz?

Welche Kriterien wenden Aufsichtsbehörden an?

 

Spezialfälle

Was gilt bei automatisierter Einzelfallentscheidung, Scoring und Profiling?

Worauf ist bei Standort-, Kommunikations-, Gesundheits- und Internetdaten zu achten?

 

Buchkapitel

Vollständiger Inhalt als Webseite

Für 89 Prozent der Unternehmen sind juristische Fragen zum Datenschutz ein wesentliches Problem bei der Planung von Big Data und Business Analytics [7]. Im folgenden Beitrag erhalten Sie einen fundierten, praxisnahen Einblick in das hierfür relevante Datenschutzrecht.

Sie erfahren

  • welche datenschutzrechtlichen Anforderungen für Big Data und Business Analytics gelten sowie
  • wie Sie Daten in Ihrem Projekt rechtskonform verwenden.

Der Beitrag entspricht dem von mir verfassten Kapitel im dem bald erscheinenden "Handbuch Business Intelligence - Potenziale, Strategien und Best Practices", Hrsg.: Michael Lang, ISBN 978-3-86329-660-5.

Den Kopf nicht in den Sand stecken

Verstöße gegen den Datenschutz können mit Bußgeldern bis 300.000 Euro geahndet werden, in bestimmten Fällen drohen sogar Haftstrafen. Der Sanktionsrahmen dürfte zudem bald ausgeweitet werden. Noch schwerer wiegt häufig der öffentliche Imageschaden bei Datenschutzverletzungen. Das Thema Datenschutz außen vor zu lassen ist also keine Lösung.

Wozu dient das Datenschutzrecht?

Das Datenschutzrecht legt fest, unter welchen Voraussetzungen personenbezogene Daten verwendet werden dürfen.

Wer »Datenschutz« hört, denkt oft an Verschlüsselung, Firewalls und andere technische Aspekte. Tatsächlich regelt das Bundesdatenschutzgesetz aber nur in einem einzigen Paragrafen und einem kurzen Anhang die Datensicherheit, und das sehr rudimentär. Die Datensicherheit ist nur ein kleiner Teilaspekt des Datenschutzes. Die gesetzlichen Bestimmungen sollen nicht die Daten, sondern die Menschen schützen, nämlich vor einer »Verdatung«.

Das Bundesverfassungsgericht hat dazu entschieden, dass das Persönlichkeitsrecht auch ein »Recht auf informationelle Selbstbestimmung« beinhaltet. Dieses gibt dem Einzelnen die Befugnis, selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen. Das mag sich alles etwas hochtrabend anhören. Verdeutlichen kann man sich das Ganze an einem anderen Teil des Persönlichkeitsrechts: am Recht am eigenen Bild. So wie es unzulässig ist, Menschen zu filmen und dieses Filmmaterial öffentlich beliebig verfügbar zu machen, so sind auch dem Sammeln und Verwenden anderer Informationen über Menschen rechtliche Grenzen gesetzt.

Personenbezogen, nicht persönlich

In Deutschland finden sich die wichtigsten Bestimmungen zu personenbezogenen Daten im Bundesdatenschutzgesetz (BDSG). Dieses Gesetz ist immer dann zu beachten, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden. Wie wir gleich sehen werden, ist der Anwendungsbereich sehr weit. Personenbezogene Daten sind »alle Angaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person« (§ 3 BDSG). Auf die Sensibilität der Daten kommt es nicht an. Die Information, dass Hubert Müller dieses Buch gekauft hat oder bei der ABC GmbH arbeitet, ist also bereits ein personenbezogenes Datum. Es geht eben nicht nur um »persönliche« Daten, sondern um alle personenbezogenen oder -beziehbaren Informationen. Gerade im Bereich Business Intelligence und Big Data werden Datenschutzanforderungen häufig zu schnell beiseitegeschoben, weil fälschlicherweise davon ausgegangen wird, es seien keine personenbezogenen Daten im Spiel. Dazu später mehr.

Haben wir es mit personenbezogenen Daten zu tun, so unterliegt faktisch jeder Umgang damit den Datenschutzgesetzen. Insbesondere zählen dazu das Speichern, Erfassen, Aufnehmen oder Aufbewahren, das Verändern, das Übermitteln oder Zugriffgewähren, das Sperren und das Löschen sowie das Auswerten oder sonstige Nutzen der Daten. Ausnahmen bestehen im familiären und privaten Bereich sowie dann, wenn die Daten nicht elektronisch verarbeitet werden. Bei Business Intelligence sind diese Ausnahmen aber bedeutungslos.

Grundsätzlich ist erstmal alles verboten

Der Umgang mit personenbezogenen Daten ist aus Business-Intelligence- und Big-Data-Sicht streng geregelt: Alles ist verboten, außer es ist erlaubt. In Juristendeutsch gesprochen: Es gilt ein »Verbot mit Erlaubnisvorbehalt«.

Bei einem Business-Intelligence-Projekt stellt sich also nicht die Frage: »Verbietet uns das Datenschutzrecht das?«, sondern man muss sich überlegen: »Ist das überhaupt erlaubt?« Unternehmen, die personenbezogene Daten sammeln und auswerten wollen, stehen damit stets unter einem juristischen Rechtfertigungsdruck.

Das Mantra des Datenschutzes lautet: »Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur zulässig, wenn eine Erlaubnisnorm dies gestattet oder die Einwilligung der Betroffenen vorliegt« (§ 4 Abs. 1 BDSG). Da es an der Einwilligung der Betroffenen zur Datenauswertung quasi immer fehlt und die gesetzlichen Anforderungen an wirksame Einwilligungen hoch sind, helfen Einwilligungen bei Business-Intelligence-Analysen meist nicht weiter. Damit bleibt nur die Suche nach einer gesetzlichen Erlaubnisnorm. Glücklicherweise gibt es davon eine ganze Reihe. Unglücklicherweise sind sie gut versteckt und äußert vage.

Um herauszufinden, ob die Verwendung personenbezogener Daten zulässig ist, hilft die Lektüre des Gesetzes wenig. Erst durch Kenntnis der Fachliteratur und Stellungnahmen von Datenschutzbehörden erschließt sich, was die Bestimmungen erlauben und was nicht. Leider ist dies immer wieder Grund und Anlass, Datenschutzgesetze nach Gutdünken und oft auch falsch zu interpretieren, sowohl im positiven wie im negativen Sinn. Datenschutzrechtliche Fragen sind nichts, was ein IT-Verantwortlicher oder Projektmanager nebenbei beantworten kann. Dafür bedarf es spezialisierter Experten.

Im Unterschied zu anderen Rechtsbereichen kennt das Datenschutzrecht nur wenige Urteile und kaum höchstrichterliche Rechtsprechung. Selbst fundamentale Fragen sind nach Jahrzehnten noch nicht von den obersten Gerichten entschieden. Das liegt daran, dass Betroffene wenig Motivation haben, ihre Rechte kostspielig vor Gerichten durchzusetzen. Zudem werden viele Beschwerden und Streitigkeiten mit den Aufsichtsbehörden außergerichtlich und für die Öffentlichkeit intransparent aus der Welt geschafft.

Weitere Anforderungen des Datenschutzrechts

Neben dem »Verbot mit Erlaubnisvorbehalt« enthält das Datenschutzrecht noch weitere Vorgaben. So muss dem Betroffenen klar sein, wer welche Daten zu welchem Zweck verarbeitet (Transparenz). Auch dürfen nicht mehr Daten erhoben werden, als für den konkreten Zweck benötigt werden, und nicht mehr benötigte Daten sind zu löschen (Datensparsamkeit). Personenbezogene Daten sind zudem grundsätzlich bei den Betroffenen selbst, also beim Mitarbeiter oder beim Kunden, zu erheben und nicht über Drittquellen (Direkterhebungsgrundsatz). Personenbezogene Daten dürfen nur für spezifische, im Voraus festgelegte Zwecke verwendet werden. Eine spätere Verwendung für einen anderen Zweck ist nur zulässig, wenn dieser mit dem ursprünglichen vereinbar ist (Zweckbindungsgrundsatz). Gerade diese Zweckbindung kann eine Hürde bei Business-Intelligence-Projekten darstellen, weil die Daten ursprünglich nicht zu Auswertungszwecken erhoben wurden. Dazu später mehr.

Sonderregelungen gelten zudem, wenn personenbezogene Daten in Länder außerhalb der Europäischen Union und des Europäischen Wirtschaftraums übertragen werden oder wenn IT-Dienstleister Daten im Auftrag eines Unternehmens speichern, auswerten oder verwenden. In letzterem Fall müssen besondere Vereinbarungen mit dem beauftragten Unternehmen geschlossen werden, sogenannte Auftragsdatenverarbeitungsverträge (§ 11 BDSG). Dies gilt zum Beispiel für Big-Data- oder Business-Intelligence-Anwendungen aus der Cloud (»as a service«). Bereits die bloße Nutzung von Speicherplatz oder Rechenleistung aus der Cloud machen nach deutschem Recht Spezialverträge erforderlich, auf die manche ausländischen Anbieter nicht eingestellt sind.

Daneben gibt es Spezialregelungen, etwa für Gesundheitsdaten, im Onlinebereich, bei Verbindungsdaten in der Telekommunikation oder bei Standortdaten. Auf einige für Business Intelligence und Big Data besonders relevante Bereiche gehe ich später noch ein.

Unternehmen in Deutschland, in denen regelmäßig zehn oder mehr Mitarbeiter mit personenbezogenen Daten umgehen, benötigen einen Datenschutzbeauftragten. Dieser ist bei Business-Intelligence-Auswertungen frühzeitig einzubinden. Das ist keine Höflichkeit, sondern gesetzlich vorgeschrieben (§ 4g Abs. 2 BDSG). Die Einbindung ist wichtig, damit Datenschutzbelange rechtzeitig berücksichtigt werden können. Sonst könnte die mühsam aufgesetzte Business Intelligence am Ende an Datenschutzproblemen scheitern oder aufwendig und kostspielig geändert werden müssen.

Datenschutz goes global - Deutschland, Europa und die Welt

Es gibt zurzeit kein einheitliches europäisches Datenschutzrecht. Auf europäischer Ebene existieren jedoch zahlreiche Richtlinien, die datenschutzrechtliche Vorgaben enthalten. Diese Richtlinien sind nur für die Mitgliedstaaten und nicht für Unternehmen und Bürger in der EU verbindlich. Sie geben den Ländern in der EU vor, wie deren Bestimmungen zum Schutz personenbezogener Daten auszusehen haben. Die Länder setzen die Vorgaben durch nationale Gesetze um. Wer also wissen will, was in Spanien oder Frankreich gilt, muss in die dortigen Datenschutzgesetze sehen, nicht in die EU-Richtlinien.

Durch die EU-Richtlinien wurde das Datenschutzrecht aber harmonisiert: Die Datenschutzgesetze innerhalb der EU sind einander sehr ähnlich. Ähnlich – aber eben nicht gleich. Bei der Umsetzung haben die einzelnen Länder nämlich gewisse Spielräume genutzt. Außerdem legen die Mitgliedstaaten und deren Datenschutzbehörden die Vorgaben unterschiedlich aus. In Deutschland kommt hinzu, dass es zwar nur ein Datenschutzgesetz gibt, jedes Bundesland aber seine eigene Aufsichtsbehörde hat. Insofern gibt es auch innerhalb Deutschlands Unterschiede bei der Auslegung der nationalen Vorschriften, was die Situation gerade für Konzerne mit mehreren Gesellschaften in unterschiedlichen Bundesländern erschwert. Immerhin haben die Behörden Gremien gebildet, um sich abzustimmen. Auf EU-Ebene ist das die Artikel-29-Arbeitsgruppe. In Deutschland setzen sich die Aufsichtsbehörden regelmäßig im sogenannten Düsseldorfer Kreis zusammen.

Um das vermeintlich in die Jahre gekommene Datenschutzrecht zu modernisieren und weiter zu vereinheitlichen, will man das Recht reformieren und eine EU-Datenschutz-Grundverordnung erlassen. Eine EU-Verordnung ist im Gegensatz zu einer Richtlinie unmittelbar in den Mitgliedstaaten gültig; sie bedarf keiner Umsetzung durch nationale Gesetze. Europa hätte dann einen einheitlichen Gesetzestext für den Datenschutz. Als dieser Beitrag verfasst wurde (September 2015), lagen ein Entwurf für eine Datenschutz-Grundverordnung der EU-Kommission vom 25. Januar 2012, ein Entwurf des EU-Parlaments vom 12. März 2014 und ein Beschluss des Rates der Europäischen Union vom 15. Juni 2015 vor (Links zu den Texten finden Sie unter [1]). Unmittelbar im Anschluss hat der Einigungsprozess zwischen Rat, Parlament und Kommission begonnen, der sogenannte Trilog. Dieser dauert noch an und könnte im besten Fall Ende 2015 ein erfolgreiches Ende finden. Da der Entwurf eine zweijährige Übergangsfrist vorsieht, würde das neue Recht jedenfalls frühestens ab Anfang 2018 gelten. Für die schnelllebige IT-Branche ist das eine Ewigkeit.

Die Datenschutz-Grundverordnung hat sich als schwieriges Projekt erwiesen. Kaum eine andere EU-Norm stand unter ähnlichem Beschuss von Lobbyisten wie das neue Datenschutzregelwerk. Und auch zwischen den EU-Mitgliedstaaten besteht Uneinigkeit. Hauptstreitpunkte unter den Politikern im Rat sind derzeit die Regeln für den Datenexport aus der EU in Drittländer und die Zuständigkeit der nationalen Aufsichtsbehörden in Fällen, die mehrere Mitgliedstaaten betreffen.

Kommt die Datenschutz-Grundverordnung, dürfte sich einiges ändern. Die Grundsäulen bleiben jedoch bestehen. Ich gehe an geeigneter Stelle auf das geplante Regelwerk ein.

Außerhalb Europas haben sich einzelne Länder an der EU-Richtlinie orientiert, andere haben gar kein Datenschutzecht oder nur für bestimmte Sektoren Vorschriften erlassen.

Personenbezogen oder nicht?

Die Vorgaben der Datenschutzgesetze gelten nur bei personenbezogenen Daten. Können Daten keiner Person zugeordnet werden, unterliegen sie nicht den Beschränkungen des Datenschutzrechts. Wichtig: Bereits die Personenbeziehbarkeit genügt, um die datenschutzrechtlichen Vorschriften zur Anwendung kommen zu lassen. Ein Datensatz, der keinen Namen enthält, ist ein personenbezogenes Datum, wenn man die Informationen einer einzelnen Person zuordnen kann. Ein Logfile mit Nutzerkennungen und Log-in-Zeiten ist zum Beispiel personenbezogen, wenn man die Nutzerkennungen einem Namen zuordnen kann.

Doch wann können Daten einer individuellen Person zugeordnet werden? Hierüber ist eine ebenso lebhafte wie verwirrende Diskussion entstanden. Im Wesentlichen geht es um zwei Fragen:

Zum einen ist unklar, was alles bei der Frage zu berücksichtigen ist, ob die Daten einer bestimmten Person zugeordnet werden können. Zum anderen ist umstritten, ob der Begriff der personenbezogenen Daten relativ ist, ob also Informationen für das eine Unternehmen personenbeziehbar sein können, weil es über bestimmte Zusatzinformationen verfügt, während sie für ein anderes Unternehmen nicht personenbezogen sind, weil ihm die nötigen Zusatzinformationen fehlen.

Nach geltendem Recht gelten Daten, die nicht oder nur mit unverhältnismäßig großem Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können, nicht als personenbezogen, sondern als anonym. Dabei sind alle Mittel zu berücksichtigen, die erwartungsgemäß entweder vom datensammelnden Unternehmen selbst oder von einem Dritten eingesetzt werden können. Ausreichend ist dabei, wenn der Personenbezug mit Zusatzwissen Dritter hergestellt werden kann, soweit das Zusatzwissen absehbar genutzt wird.

An der »Bestimmbarkeit« fehlt es andererseits nicht erst bei absoluter Unmöglichkeit, sondern bereits dann, wenn das Reidentifizierungsrisiko so gering ist, dass es praktisch irrelevant erscheint, dass ein Personenbezug hergestellt wird.

Ohne hier in Details einzusteigen, kann man sich merken: Ob Informationen personenbezogene Daten sind oder nicht, muss jedes Unternehmen aus seiner Sicht bestimmen (Relativität des Personenbezugs). Bei der Frage, ob ein Personenbezug herstellbar ist, dürfen aber nicht nur die eigenen Informationen berücksichtigt, sondern es muss auch das Wissen Dritter einbezogen werden. Entscheidend ist die Frage: Wie hoch ist die Wahrscheinlichkeit, dass die Informationen doch irgendwie oder irgendwann einer Einzelperson zugeordnet werden können?

Personenbezug von IP-Adressen

Der Streit zeigt sich schon bei IP-Adressen: Eine IP-Adresse ist eine Nummernfolge, die der Internetzugangsanbieter (Access Provider) einem Rechner, der an das Internet angeschlossen ist, dauerhaft oder zeitweise zuweist. Wählt sich etwa ein Nutzer ins Internet ein, vergibt ihm der Internetzugangsanbieter, zum Beispiel die Deutsche Telekom, vorübergehend eine bestimmte IP-Adresse. Wählt sich derselbe Nutzer am nächsten Tag wieder ein, kann er eine andere IP-Adresse bekommen. Solche IP-Adressen nennt man daher auch »dynamisch«. Surft nun ein Nutzer auf einer Website, so überträgt sein Browser die IP-Adresse an den Server des Websitebetreibers, der sie standardmäßig zusammen mit Datum und Adresse der aufgerufenen Seite in einer Protokolldatei speichert.

Sind diese Protokolldateien personenbezogene Daten? Es stehen keine Namen in der Datei und der Websitebetreiber weiß nicht, welchem Telekom-Nutzer die IP-Adresse zum fraglichen Zeitpunkt zugeteilt wurde. Die Telekom jedoch hat diese Information. Sie könnte die Protokolldateien problemlos ihrem Kunden Hans Müller aus der Dorfstraße zuordnen. Der Websiteanbieter kommt an diese Daten nicht so leicht. Eine Strafverfolgungsbehörde dagegen könnte die Auskunft bei Verdacht einer Straftat von der Telekom in Erfahrung bringen. Zusammen mit den Protokolldateien der Websitebetreiber könnte nachverfolgt werden, welche Internetseiten Hans Müller wann aufgerufen hat. Doch genügt diese theoretische Verkettungsmöglichkeit, um die dynamischen IP-Adressen für den Websitebetreiber als personenbezogene Daten einzustufen? Die Frage liegt derzeit nach einer Vorlage durch den deutschen Bundesgerichtshof beim Europäischen Gerichtshof [2].

Personenbezug bei Big-Data- und Business-Intelligence-Projekten

Business Intelligence nutzt Daten aus den unterschiedlichsten Bereichen.

Beispiele:

  • Mitarbeiterdaten aus der HR-Software (HR = Human Resources)
  • Finanz- und Buchungsdaten aus dem ERP-System (ERP = Enterprise Resource Planning)
  • Kundendaten und Vertragsdaten aus dem CRM-Tool (CRM =
  • Customer Relationship Management)
  • Protokoll- und Nutzungsdaten der Website, des Onlineshops und der vom Unternehmen bereitgestellten Apps
  • Protokoll- und Kommunikationsdaten aus der Internet-, E-Mail- und sonstigen Softwarenutzung durch Mitarbeiter
  • Standortdaten von Dienstfahrzeugen
  • Produktions- und Logistikdaten aus der Fertigung und dem Warenversand

Häufig sind diese Daten personenbezogen, selbst wenn dies auf den ersten Blick nicht so scheint: Die Buchungsdaten des ERP-Systems zum Beispiel betreffen vordergründig nur das Unternehmen und keine Einzelpersonen. Buchungen werden aber oft von Menschen ausgeführt oder freigegeben, und auch diese Daten stecken im ERP-System und weisen damit Personenbezug auf. Bei der Aufdeckung potenzieller Missbrauchsfälle geht es dann letztlich auch um das Fehlverhalten von Personen. Auch die Standortdaten der Autoflotte sind personenbezogen, da das Unternehmen dokumentiert haben dürfte, welcher Mitarbeiter welches Fahrzeug nutzt. Selbst Produktionsdaten von Maschinen können Aussagen über die Maschinenführer oder Schichtverantwortlichen beinhalten.

Bei der Auswertung der Daten im Rahmen der Business Intelligence und bei Big Data will das Unternehmen aber häufig keine Informationen über Einzelpersonen gewinnen, sondern nur allgemeine Zusammenhänge, Strukturen und Beziehungen erkennen oder Vorhersagen treffen. Dennoch sind Ausgangsbasis der Analysen zunächst personenbezogene Daten. Sollen diese aus den operativen Systemen exportiert, strukturiert und dann ausgewertet werden, so handelt es sich deshalb im ersten Schritt um Datenverarbeitungen, für die es einer datenschutzrechtlichen Erlaubnis bedarf. Ziel muss dabei sein, die Personenbeziehbarkeit möglichst frühzeitig und umfassend auszuschließen. So können beim Datenexport aus den operativen Systemen Merkmale ignoriert, gelöscht oder überschrieben werden, die – zusammen mit weiteren Informationen – einen Personenbezug erlauben könnten. Dies können etwa der Name, die Nutzerkennung, die Anschrift oder die E-Mail-Adresse sein.

Dem Unternehmen dürfte es aber häufig dennoch weiterhin recht einfach möglich sein, diesen eingeschränkten Datenbestand wieder einzelnen Mitarbeitern oder Kunden zuzuordnen: Anhand von Informationen in den operativen Systemen, deren Back-ups oder archivierten Daten, die das Unternehmen aus steuerlichen Gründen oder zum Zweck der Wirtschaftsprüfung vorhalten muss, ließe sich leicht wieder ein Personenbezug herstellen. Es gilt also, zusätzliche Maßnahmen zu treffen, um dieses Reidentifizierungsrisiko weiter zu reduzieren.

Anonymisieren - aber richtig

Um Informationen zu anonymisieren, können z. B. die aus den operativen Systemen kopierten Daten verunschärft werden. Statt des Geburtsdatums eines Kunden kann nur die Altersklasse (30–35 Jahre), statt des genauen Standorts eines Fahrzeugs nur die grobe Position übernommen werden. Denkbar ist auch, die Daten nur in aggregierter Form zu übernehmen, z. B.: »12 Mitarbeiter haben eine Berufszugehörigkeit von fünf Jahren.«

Neben diesen technischen Mitteln können auch organisatorische Maßnahmen helfen, die Personenbeziehbarkeit des auszuwertenden Datenbestandes zu erschweren. So können die operative Nutzung der Daten in den Live-Systemen und die Auswertung im Rahmen der Business Intelligence funktional getrennt werden. Hierzu sollte die Auswertung in einem technisch getrennten und sicheren System erfolgen, zum Beispiel mit eigener Datenbank und eigener Hardware. Daneben ist auch organisatorisch eine Abtrennung vorzunehmen, etwa indem Echtdatenerfassung und Auswertung durch unterschiedliche Teams erfolgen. Zur organisatorischen Trennung können Auswertungen auch von einem externen Dienstleister oder einer eigens gegründeten IT-Servicegesellschaft durchgeführt werden. Zwischen dem Unternehmen und der auswertenden Gesellschaft sollte dann ein Vertrag mit strenger Zweckbindung, Wiederverknüpfungsverbot, Vertragsstrafen und ggf. Publizitätspflichten bei Verstößen geschlossen werden. Die Einhaltung der Anforderungen kann ergänzend durch einen unabhängigen Dritten, zum Beispiel einen Wirtschaftsprüfer, regelmäßig auditiert werden.

Diese Vorkehrungen können helfen, die Personenbeziehbarkeit der ins Data Warehouse einfließenden Daten auszuschließen oder zu erschweren. Ist nur mit unverhältnismäßig großem Aufwand an Zeit, Kosten und Arbeitskraft und unter Verstoß gegen vertragliche Vereinbarungen eine Reidentifkation von Einzelpersonen möglich, sind die Daten im Data Warehouse anonym. Auf die anschließenden Auswertungen ist dann das Datenschutzrecht nicht anwendbar.

Zu der Frage, welche Maßnahmen konkret nötig sind, um die Personenbeziehbarkeit zu verneinen, gibt es kaum verlässliche Antworten. Dennoch lohnt sich der Aufwand. Denn selbst wenn personenbezogene Daten im Warehouse stecken, helfen die oben genannten Maßnahmen, die Auswertungen auf eine datenschutzrechtliche Erlaubnisnorm zu stützen. Die Schutzmaßnahmen und eine funktionale Trennung werden nämlich im Rahmen der datenschutzrechtlichen Vorschriften zugunsten des Unternehmens berücksichtigt.

Sollen die aus den Auswertungen gezogenen Schlüsse auf Einzelpersonen angewendet werden, ist das Datenschutzrecht wieder anwendbar. Werden etwa aus anonymisierten Verkaufsdaten Kundensegmente und -typen gebildet und anschließend einzelne Kunden den Kundensegmenten zugeordnet und so Aussagen über potenzielle Vorlieben oder Verhaltensweisen ermittelt, sind die datenschutzrechtlichen Anforderungen wieder zu beachten.

Zudem gibt es auch bei der Business Intelligence Anwendungen, bei denen eine Anonymisierung ausscheidet, weil gerade eine Auswertung bezogen auf einzelne Kunden oder Mitarbeiter stattfinden soll. Beispiele sind Personalsysteme, die anhand interner und externer Mitarbeiterdaten erkennen, welche Beschäftigten möglicherweise kündigen, oder das Potenzial von Bewerbern anhand der Bewerbungsdaten und öffentlich zugänglicher Quellen zu ermitteln versuchen.

Daten im Konzern

Bei der Datenanalyse sollen nicht nur die Daten eines Unternehmens, sondern auch diejenigen eventuell bestehender Tochtergesellschaften oder anderer verbundener Unternehmen in die Auswertung einfließen. Datenschutzrechtlich wird jedes Konzernunternehmen als eigenständige Einheit betrachtet. Sollen zum Beispiel Daten von der Vertriebs-tochtergesellschaft an die Konzernmutter übermittelt werden oder soll ihr Zugriff auf solche Daten gewährt werden, so liegt bereits eine Datenübermittlung vor. Das Gleiche gilt, wenn Mitarbeiterdaten aller Verbundunternehmen in einem Datenpool gesammelt werden. Für die Übermittlungen innerhalb des Konzerns bedarf es einer Erlaubnisnorm. Diese ist nicht leicht zu finden, denn das Datenschutzrecht kennt kein Konzernprivileg: Die Datenübermittlung innerhalb des Konzerns wird grundsätzlich genauso behandelt wie die Datenweitergabe an externe Dritte.

Gerade beim Transfer von Personaldaten im Konzern vertreten die deutschen Aufsichtsbehörden eine strenge Linie. Daher ist es vorzuziehen, die Daten noch vor der Übermittlung unmittelbar bei der Tochtergesellschaft zu anonymisieren, bevor sie im zentralen Data Warehouse landen.

Im internationalen Konzernverbund kommt eine weitere Herausforderung hinzu: Auf Kunden- und Mitarbeiterdaten ausländischer Konzernunternehmen findet das lokale Datenschutzrecht Anwendung. Wie oben beschrieben ist dieses in der EU zwar vereinheitlicht, aber nicht identisch. Es kann daher nötig sein, mehrere Datenschutzgesetze zu berücksichtigen, wenn Daten aus verschiedenen Ländern zusammengeführt werden.

Der Zweckbindungsgrundsatz

Bei Business-Intelligence- oder Big-Data-Projekten werden Daten verschiedenen Quellen entnommenen, in einem Data Warehouse zusammengeführt, neu strukturiert und ausgewertet. Die aus Vertragsverhältnissen oder als Metadaten angefallenen Informationen werden dabei aus ihrem Zusammenhang gerissen und mit geänderter Zielrichtung ausgewertet. Dem kann der datenschutzrechtliche Grundsatz der Zweckbindung entgegenstehen.

Der Zweckbindungsgrundsatz steht in der EU-Datenschutzrichtlinie und hat zwei Aspekte: Erstens dürfen personenbezogene Daten nur »für festgelegte eindeutige und rechtmäßige Zwecke erhoben« werden (Zweckfestlegung). Zweitens dürfen sie nicht in einer mit der ursprünglichen Zweckbestimmung unvereinbaren Weise weiterverarbeitet werden (kompatible Nutzung).

Die EU-Datenschutzbehörden haben im Rahmen der Artikel-29-Arbeitsgruppe eine gemeinsame Stellungnahme zu ihrem Verständnis des Zweckbindungsgrundsatzes verfasst [3].

Der Stellungnahme nach ist der Zweck eindeutig, wenn er unmissverständlich und deutlich festgelegt ist und nach außen hin zum Ausdruck gebracht wurde. Innere Absichten, Vorstellungen und Wünsche des Unternehmens sind keine »eindeutig« festgelegten Zwecke. Wurden die Zwecke nicht kommuniziert oder sind sie missverständlich oder undeutlich, so sollen alle tatsächlichen Begebenheiten, das allgemeine Verständnis sowie die generellen Erwartungen der Betroffenen zur Zweckbestimmung herangezogen werden. Zweckfestlegungen wie »Verbesserung des Nutzungserlebnisses«, »Marketing« oder »IT-Sicherheit« sind nach Ansicht der Aufsichtsbehörden zu vage.

Der Wert von Daten eines Unternehmens hängt also maßgeblich davon ab, welcher Verwendungszweck bei der Erhebung festgelegt und auch nach außen hin kommuniziert wurde. Sollen Daten aus der Abwicklung von Kaufverträgen später zur Vorhersage des Kundenverhaltens genutzt werden, sollte dies bereits bei der Erhebung deutlich gemacht werden. Sonst schränkt der Zweckbindungsgrundsatz spätere Analysemöglichkeiten ein. Auch an anderer Stelle, etwa bei online erfassten Daten, Daten aus der Logistik oder bei zur Betrugsbekämpfung relevanten Daten ist bereits bei der Entstehung an spätere Nutzungsmöglichkeiten zu denken und dies nach außen hin deutlich zu machen. Rechtlich betrachtet hängt an Daten ein Schild mit der Beschriftung »Nutzungszweck«. Was darauf steht, bestimmt die Verwertbarkeit und den Wert der Daten entscheidend mit.

Der Grundsatz der kompatiblen Nutzung besagt: Daten dürfen nach ihrer Erhebung nicht in einer mit der ursprünglichen Zweckbestimmung unvereinbaren Weise weiterverarbeitet werden. Damit kommt zum Ausdruck, dass eine Zweckänderung durchaus zulässig ist. Das Unternehmen ist nicht auf den ursprünglichen Zweck beschränkt. Die späteren Nutzungszwecke müssen aber mit der ursprünglichen Zweckfestlegung kompatibel sein. Als die Daten erhoben wurden, hat das Unternehmen unter Umständen nicht daran gedacht, diese später für Massendatenanalysen zu verwenden, und dies auch nicht nach außen kommuniziert. Der Frage, ob der neue Nutzungszweck (z. B. Vorhersage des Kündigungsverhaltens) mit dem ursprünglichen Erhebungszweck (z. B. Abwicklung des Kaufvertrags) kompatibel ist, kommt daher bei der datenschutzrechtlichen Zulässigkeit eine entscheidende Bedeutung zu.

Nach Auffassung von Aufsichtsbehörden wäre zum Beispiel folgendes Szenario ein Verstoß gegen das Gebot kompatibler Nutzung: Ein Supermarkt wertet die Einkäufe von Kunden dahin gehend aus, ob diese sich gesund ernähren. Die Kunden mit schlechter Ernährung werden angeschrieben und erhalten im Rahmen einer Partnerschaft mit der öffentlichen Hand Informationen zur Verbesserung ihrer Essgewohnheiten. Auch die Ermittlung einer potenziellen Schwangerschaft von Kundinnen einer Drogerie anhand ihres Einkaufsverhaltens und die Nutzung für passgenaue Werbung wären entsprechend unzulässig. Schließlich soll auch die Auswertung des Stromverbrauchs aus elektronischen Stromzählern (Smart Meters) zur Identifikation potenzieller Inhouse-Cannabis-Plantagen unzulässig sein.

Der Kompatibilitätstest ist im deutschen Recht nicht ausdrücklich geregelt, sondern in verschiedene Vorschriften hineinzulesen. Die von den EU-Behörden entwickelten Kriterien und Beispielsfälle bieten eine gute Grundlage, um Potenziale und Risiken abzuschätzen. Auch lassen sich daraus Vorkehrungen zur Sicherstellung der Datenschutzkonformität ableiten: Datenschutzbeauftragte können darauf achten, dass Transparenz hergestellt wird, dass den Betroffenen Widerspruchsmöglichkeiten eingeräumt werden oder dass eine funktionale Trennung vorgenommen wird.

Zum Entstehungszeitpunkt dieses Beitrags (September 2015) wird der Entwurf der EU-Datenschutzgrundverordnung gerade im Rahmen des Trilogs zwischen Rat, Kommission und Parlament diskutiert. Danach könnte es zu Änderungen beim Zweckänderungsgrundsatz kommen, die teilweise auf heftige Kritik stoßen, weil eine Aufweichung des Datenschutzes befürchtet wird [4]. Eine Zweckänderung soll nach den Vorstellungen des Rates dann zulässig sein, wenn eine Interessenabwägung zwischen den Betroffenen- und Unternehmensinteressen zugunsten des Unternehmens ausfällt. Ob eine solche Regelung in Kraft tritt, ist unklar. Und selbst wenn der Vorschlag Gesetz wird, dürfte entscheidend sein, wie diese Interessenabwägung in der behördlichen und gerichtlichen Praxis ausgelegt wird. Letztlich kann nämlich auch im Rahmen des aktuellen Kompatibilitätstests und des geltenden Rechts in Deutschland eine Nutzung für einen neuen Zweck zulässig sein, wenn eine Berücksichtigung verschiedener Kriterien und Belange positiv ausfällt. Das ist nichts anderes als eine Interessenabwägung. Die Aufregungen um die »Abschaffung des Zweckbindungsgrundsatzes« erscheinen daher ungerechtfertigt.

Der Kompatibilitätstest

Die EU-Datenschutzbehörden haben für die Überprüfung der Nutzungskompatibilität einen Katalog mit folgenden Kriterien entwickelt:

1. Zusammenhang zwischen dem ursprünglichen und dem späteren Verwendungszweck:

War der spätere Verwendungszweck zum Zeitpunkt der Erhebung mehr oder weniger schon impliziert, stellt die Verwendung für den späteren Zweck also einen absehbaren nächsten Schritt dar? Abzustellen ist nicht formal auf den Wortlaut der Zweckfestlegung z. B. in Datenschutzhinweisen (Privacy Policy), sondern auf die tatsächlichen Begebenheiten und das allgemeine Verständnis der Beteiligten zum Erhebungszeitpunkt.

2. Kontext, in dem die personenbezogenen Daten ursprünglich erhoben wurden, und die vernünftigen Erwartungen der Betroffenen:

Hier ist entscheidend, ob ein durchschnittlicher Betroffener zum Zeitpunkt der Erhebung mit der Verwendung für den späteren Zweck gerechnet hat. Ist der spätere Verwendungszweck üblich und allgemein akzeptiert, so spricht dies für eine Kompatibilität. Eine wichtige Rolle spielt dabei die Transparenz, nämlich ob und wie der Betroffene bei der Erhebung oder auch später über die Nutzungszwecke informiert wurde.

3. Die Art der Daten und die Auswirkungen der neuen Verwendung auf die Betroffenen:

Je sensibler die Daten sind, desto eher ist eine spätere Verwendung für einen anderen Zweck mit dem ursprünglichen Zweck inkompatibel. Dies gilt vor allem bei Gesundheitsdaten, biometrischen oder genetischen Daten, Kommunikationsdaten und Standortdaten.

Daneben sind die Auswirkungen der neuen Zweckverwendung für die Betroffenen zu berücksichtigen, und zwar positive wie negative. Negative Auswirkungen können etwa ein Ausschluss von Leistungen, Diskriminierung oder auch eine emotionale Beeinträchtigung durch den Verlust der Kontrolle über personenbezogene Daten sein.

Relevant ist vor allem die Art der späteren Datenverwendung. Erfolgt diese durch ein anderes Unternehmen, werden Daten veröffentlicht oder mit unvorhersehbaren Folgen weiterverarbeitet oder werden große Datenmengen miteinander kombiniert, so spricht dies tendenziell gegen eine kompatible Nutzung.

4. Vom Unternehmen getroffene Schutzmaßnahmen zur Verhinderung unangemessener Datenverwendungen und nachteiliger Auswirkungen auf die Betroffenen:

Schließlich sind bei der Kompatibilitätsprüfung Maßnahmen zu berücksichtigen, die die verantwortliche Stelle zum Schutz der Betroffenen ergriffen hat. Solche Maßnahmen sind gemäß der Artikel-29-Arbeitsgruppe typischerweise eine Anonymisierung oder Pseudonymisierung oder das Aggregieren von Daten. Auch eine erhöhte oder nachgeholte Transparenz der Datenverarbeitung kann berücksichtigt werden, ebenso das Einräumen eines Widerspruchsrechts für den Betroffenen oder das Einholen seiner Zustimmung zur Nutzung für den neuen Zweck. Als Schutzmaßnahme kommt auch eine funktionale Trennung in Betracht, wie sie oben beschrieben wurde.

Beim Kompatibilitätstest werden alle oben genannten Faktoren berücksichtigt und gewertet. Im Ergebnis können also geeignete Schutzmaßnahmen durchaus auch umfangreichere Zweckänderungen legitimieren.

Am falschen Ende sparen - Probleme mit der Datensparsamkeit

Neben dem Zweckbindungsgrundsatz kann der Einsatz von Big-Data- und Business-Intelligence-Analysen auch zu Konflikten mit dem Grundsatz der Datensparsamkeit führen. Personenbezogene Daten dürfen nur gespeichert werden, solange hierfür eine Rechtsgrundlage besteht. Daten aus Vertragsverhältnissen dürfen zum Beispiel zur Durchführung und Beendigung des Vertragsverhältnisses gespeichert werden. Ist der Vertrag abgewickelt, etwa nachdem die verkaufte Ware an den Kunden ausgeliefert wurde, sind die Daten grundsätzlich zu löschen. Eine Speicherung kann sich dann allenfalls aus einer anderen Rechtsgrundlage ergeben, zum Beispiel weil die Daten aus steuerlichen Gründen archiviert werden müssen. Die so archivierten Daten dürfen dann aber nach dem Zweckbindungsgrundsatz nur für steuerliche Prüfungen genutzt werden.

Für die Auswertung historischer Daten bei Big Data oder Business Intelligence müssen Daten aber meist längerfristig gespeichert werden. Zudem werden die Daten oft aus den operativen Systemen in ein Data Warehouse übertragen. Die in den operativen Systemen vorgesehenen Löschmechanismen greifen dann nicht mehr.

Um Verstöße gegen das Datenschutzrecht zu vermeiden, sollten die Daten im Data Warehouse anonymisiert sein. Ist dies nicht möglich, muss eine Rechtsgrundlage für eine verlängerte Speicherung gefunden werden. Da Einwilligungen in der Regel ausscheiden, kommen die oben bei der Zweckbindung geschilderten Schutzmaßnahmen in Betracht. Zudem kann versucht werden, den Zweck der Auswertung schon bei der Datenerhebung transparent zu machen, sodass dieser legitimierte Auswertungszweck eine längerfristige Speicherung ermöglicht.

Die Betroffenenrechte

Werden die genutzten Daten in einem Data Warehouse vorgehalten, ist neben dem Löschungsgebot auch besonderes Augenmerk auf das Recht der Betroffenen auf Auskunft zu legen. Betroffene haben das Recht, vom Unternehmen Auskunft zu allen über sie gespeicherten Daten zu erhalten. Das schließt ein Data Warehouse ein, selbst wenn die Daten dort nicht mit Klarnamen, sondern unter einem auflösbaren Pseudonym gespeichert sind. Das Data Warehouse muss technisch in der Lage sein, solche Auskunftsansprüche durch Bereitstellung von Datenextrakten zu erfüllen.

In bestimmten Fällen kann den Betroffenen zudem das Recht zustehen, der Auswertung ihrer Daten zu widersprechen. Die genutzte Software muss entsprechend die Möglichkeit bieten, die betroffenen Datensätze bei der Analyse auszublenden oder im Data Warehouse zu löschen.

Automatisierte Einzelfallentscheidung, Scoring und Profiling

Für bestimmte Datenauswertungen hat der Gesetzgeber neben den allgemeinen Vorschriften Sonderreglungen erlassen. So verbietet das Gesetz etwa »automatisierte Einzelfallentscheidungen« (§ 6a BDSG). Entscheidungen, die für den Betroffenen rechtliche Folgen nach sich ziehen oder ihn erheblich beeinträchtigen, dürfen nach diesem Verbot nicht ausschließlich auf die Entscheidung einer Maschine gestützt werden, wenn diese der Bewertung einzelner Persönlichkeitsmerkmale dient. Die Bewertung einzelner Persönlichkeitsmerkmale liegt zum Beispiel vor, wenn die berufliche Leistungsfähigkeit, die Kreditwürdigkeit, die Zuverlässigkeit oder das Verhalten von Menschen durch Computer errechnet oder vorhergesagt werden.

Entscheidet ein Computer anhand von Bewerbungsunterlagen, wer eingeladen bzw. eingestellt wird, so wäre dies eine verbotene automatisierte Einzelfallentscheidung. Das Gleiche dürfte gelten, wenn man die Effektivität von Mitarbeitern anhand ihrer elektronischen Post und anderer Metadaten automatisiert bewertet und dies unreflektiert in Beförderungsentscheidungen übernimmt. Aber auch das Verweigern von Vorzugskonditionen für Kunden auf der Basis maschinengestützter Entscheidungen soll nach ein Verboten sind indes nur Fälle, in denen allein der Computer entscheidet und kein Mensch zwischengeschaltet ist. Empfiehlt die Maschine nur oder schafft sie lediglich eine Entscheidungsgrundlage, so bereitet das Verbot automatisierter Einzelfallentscheidungen keine Probleme. Wenn man bei automatisierten ablehnenden Entscheidungen die Letztentscheidung einem Menschen überlässt, gerät man in keinen Konflikt mit dem Verbot der automatisierten Einzelfallentscheidung.

Zudem sieht das Gesetz bestimmte Ausnahmen vor: Das Verbot gilt nicht bei positiver Entscheidung im Rahmen des Abschlusses oder der Erfüllung eines Vertrags, also etwa wenn ein Kredit oder ein Kauf auf Rechnung bewilligt wird. Nicht verboten sind automatisierte Entscheidungen auch dann, wenn das Unternehmen Schutzmaßnahmen zugunsten der Betroffenen trifft, die Betroffenen über die Computerentscheidung informiert und ihnen auf Verlangen die wesentlichen Gründe der automatisierten Entscheidung mitteilt und erläutert. Der Mechanismus muss also transparent gemacht werden, zum Beispiel in den AGB oder Datenschutzhinweisen. Außerdem muss der Kunde eine Einspruchsmöglichkeit erhalten.

Neben dem Verbot automatisierter Einzelfallentscheidungen enthält das Gesetz auch Sonderanforderungen für das sogenannte Scoring (§ 28b BDSG). Beim Scoring wird ein Wahrscheinlichkeitswert für ein bestimmtes zukünftiges Verhalten eines Menschen ermittelt, z. B. ob dieser seine Zahlungen fristgerecht begleichen wird. Zweck der Ermittlung dieses Wertes muss sein, über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses zu entscheiden. Liegt ein solches Scoring vor, so verlangt das Gesetz, dass ein wissenschaftlich anerkanntes mathematisch-statistisches Verfahren zum Einsatz kommt, das nachweisbar für die Berechnung der Wahrscheinlichkeit des Verhaltens erheblich ist. Zudem dürfen für ein solches Scoring nicht ausschließlich die Anschriften der Betroffenen verwendet werden. Werden die Anschriften neben anderen Daten genutzt, ist dies zulässig, es muss dann aber explizit über die Verwendung der Anschriftendaten informiert werden. Beim Scoring hatte der Gesetzgeber vor allem das Kredit-Scoring im Auge, bei dem die Zahlungswahrscheinlichkeit von Schuldnern berechnet wird. Die Bestimmung kann aber auch bei Big-Data- bzw. Business-Intelligence-Projekten relevant werden, wenn der Computer das Verhalten von Menschen prognostiziert und dies für Vertragsentscheidungen genutzt wird. Wird jedoch die Affinität von Kunden für einzelne Produkte ermittelt, um diesen passgenaue Werbung zuzusenden (Werbe-Scoring), so greift die Vorschrift nicht.

In den Entwürfen der EU-Datenschutzgrundverordnung finden sich die Bestimmungen zum Verbot automatisierter Einzelfallentscheidungen unter dem Stichwort »Profiling« in veränderter Form wieder. Wie die Regelung aussieht, ist zum derzeitigen Stand offen, eine gute Übersicht findet sich in [5]. Der Gesetzentwurf der EU-Kommission sieht eine dem jetzigen Verbot automatisierter Einzelfallentscheidungen ähnliche Regelung vor, wobei die Einwilligung des Betroffenen vom Verbot befreien können soll. Der Vorschlag des EU-Parlaments sieht dagegen eine Ausweitung des Verbots vor. Auch Auswertungen, die zu bestimmten Diskriminierungen führen können (z. B. aufgrund der sexuellen Neigung) sollen verboten werden. Die EU-Aufsichtsbehörden fordern die Einführung ergänzender Begleitpflichten [6]. So sollen Unternehmen die Verfahren für Betroffene offenlegen und ihnen Zugriff auf die über sie erstellen Profile gewähren.

Standort-, Kommunikations-, Gesundheits- und Internetdaten

Neben Spezialregelungen zu einzelnen Anwendungsfeldern wie den automatisierten Einzelfallentscheidungen hat der Gesetzgeber auch für bestimmte Arten von Daten Sonderregelungen aufgestellt. Dies betrifft etwa Standortdaten mobiler Endgeräte, Gesundheitsdaten und Kommunikationsdaten aus E-Mails, Telefonaten oder Chats. Auch für Daten, die über Apps oder von Besuchern auf Websites erfasst werden, gelten Spezialregelungen.

Online gesammelte Daten dürfen grundsätzlich nur verwendet werden, soweit dies zur Erbringung des jeweiligen Onlinedienstes erforderlich ist. Der deutsche Gesetzgeber hat hier im Telemediengesetz Regelungen aufgestellt, die teilweise strenger als das Bundesdatenschutzgesetz und die europäischen Vorgaben sind.

Die Information, wann sich ein Nutzer in seinen Online-Account eingeloggt hat, muss zur technischen Abwicklung des Log-ins möglicherweise kurzfristig gespeichert werden. Für eine längerfristige Speicherung und Verwendung über den Nutzungsvorgang hinaus fehlt es allerdings bereits an einer rechtlichen Grundlage. Das Gleiche gilt für das Speichern der von einem Nutzer aufgerufenen Seiten eines Onlineangebots oder der eingegebenen Suchbegriffe. Die Spezialregeln schränken die Erfassung und Auswertung von Onlinedaten für Business-Intelligence-Zwecke stark ein, sofern keine Einwilligung vorliegt oder die Daten nicht anonymisiert wurden.

Glücklicherweise hat der deutsche Gesetzgeber aber eine Möglichkeit offengelassen: Das Telemediengesetz erlaubt nämlich die Bildung von Nutzerprofilen zu Werbezwecken anhand von Pseudonymen, wenn der Nutzer hierüber informiert wurde und die Möglichkeit hat zu widersprechen. Der Websiteanbieter darf also erfassen und auswerten, wann sich Nutzer angemeldet und welche Aktionen sie auf der Seite ausgeführt haben. Er darf diese Information allerdings nicht zusammen mit dem Nutzernamen, der E-Mail-Adresse oder der Nutzerkennung speichern. Vielmehr sind die Daten unter Pseudonymen, etwa einer für jeden Nutzer zufällig generierten Kennzahl, zu speichern und dürfen mit den Klarnamen der Nutzer nicht zusammengeführt werden. Außerdem sind die Nutzer über die Datenerfassung und Auswertung in den Datenschutzhinweisen der Website bzw. App klar und verständlich zu informieren. Über einen Link ist eine Widerspruchsmöglichkeit einzuräumen; nach Anklicken des Links darf keine Auswertung des Nutzerverhaltens (Tracking) mehr erfolgen. Die entsprechenden Anforderungen sind zum Beispiel bei Analysetools wie Google Analytics oder Kissmetrics zu beachten. Daten, die durch diese Vorkehrungen gesammelt werden, sind rechtlich nicht oder kaum nutzbar.

Besonderheiten sind auch bei der Erfassung und Auswertung von Kommunikationsdaten, etwa aus Telefonaten, Chats oder E-Mails, zu beachten. Hier enthält das Telekommunikationsgesetz Spezialvorschriften. Zudem kann das Fernmeldegeheimnis betroffen sein, sodass den IT-Verantwortlichen bei unbefugter Auswertung von E-Mails sogar eine Strafbarkeit droht. Dabei wird die Ansicht vertreten, dass ein Arbeitgeber, der seinen Mitarbeitern die eingeschränkte private Nutzung von E-Mail, Internet oder Telefon erlaubt, dies nicht verboten hat oder faktisch duldet, als Telekommunikationsanbieter anzusehen ist. Folge ist, dass der Arbeitgeber im Verhältnis zu seinen Mitarbeitern an das Fernmeldegeheimnis gebunden ist. Ohne Einwilligung der Mitarbeiter könnte sich der Arbeitgeber dann bei Einsichtnahme oder Auswertung von Kommunikationsdaten strafbar machen. Als Daumenregel gilt daher bei Kommunikationsdaten einschließlich Standortdaten von Handys: Eine Auswertung ist in der Regel nur anonymisiert oder mit Einwilligung der Betroffenen zulässig.

Ähnliche Vorsicht ist bei bestimmten sensiblen, »besonderen« Arten von Daten geboten. Dazu gehören Informationen über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Auch hier funktioniert ohne Einwilligung in der Regel gar nichts. Die Definition von »sensible Daten« ist dabei recht weit. Alles, was Rückschlüsse zum Beispiel auf die Gesundheit erlaubt, kann unter diese Kategorie fallen. So werden etwa die Krankheitsfehltage der Mitarbeiter von Aufsichtsbehörden zu den sensiblen Daten gezählt.

So klappt es mit dem Datenschutz: zusammenfassende Empfehlungen

Nehmen Sie sich die folgenden Empfehlungen zu Herzen, dann klappt es auch mit dem Datenschutz:

Halten Sie Datenschutzanforderungen bei Big Data oder Business Intelligence nicht voreilig für irrelevant, weil vermeintlich nur anonyme Daten genutzt werden. Der Anwendungsbereich des Datenschutzrechts ist weit. Auch Informationen, die nur mit gewissem Aufwand und Zusatzwissen Dritter auf Einzelpersonen zurückgeführt werden können, unterliegen den Datenschutzbestimmungen.

Binden Sie bei Big-Data- oder Business-Intelligence-Projekten den Datenschutzbeauftragten oder die Rechtsabteilung so früh wie möglich und kontinuierlich ein. Für die Verwertbarkeit Ihrer Daten sollten Sie bereits bei der Erhebung die Weichen richtig stellen.

Prüfen Sie sorgfältig die datenschutzrechtlichen Risiken und treffen Sie geeignete Vorkehrungen. Nur weil Auswertungen möglich sind, Dienstleister diese anpreisen und andere es machen, sind sie noch lange nicht zulässig. Im Datenschutzrecht gelten ein strenges Verbot mit Erlaubnisvorbehalt, ein Zweckbindungsgrundsatz und ein Löschgebot. Zudem stehen Betroffenen Auskunftsansprüche zu. Durch Analyse der Datenschutzanforderungen lassen sich Schutzmaßnahmen treffen, um das rechtliche Risiko zu minimieren. Dazu gehört etwa, Auswertungen transparent zu machen, Daten zu pseudonymisieren, Betroffenen Widerspruchsrechte einzuräumen, Verwendungszwecke einzuschränken oder bestimmte Datenarten außen vor zu lassen.

Lassen Sie sich beim Datenschutz nicht von allgemeinen Aussagen in die Irre führen. Jeder Sachverhalt hat seine Besonderheiten. Zudem gibt es eine Vielzahl von Sonderregelungen, etwa bei maschinengestützten Entscheidungen, beim Anlegen von Nutzerprofilen sowie bei der Verwendung von Online- oder Gesundheitsdaten oder Daten aus Kommunikationsvorgängen.

Nehmen sie die geplante Reform des Datenschutzrechts in Europa nicht zum Anlass, den Datenschutz auf die lange Bank zu schieben. Die neuen Regeln dürften allenfalls Anfang 2018 in Kraft treten. Derzeit ist der Gesetzgebungsprozess in vollem Gange. Auf welche Inhalte sich die Kommission, das Parlament und der Rat einigen werden, ist derzeit noch unklar. Behalten Sie deshalb die Reform im Auge.

Internetquellen

[1] https://www.thomashelbing.com/de/links-quellen-datenschutzrecht (letzter Zugriff am 12. April 2015)

[2] http://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=pm&Datum=2014&Sort=3&nr=69184&pos=0&anz=152, Pressemitteilung des Bundesgerichtshof Nr. 152/2014 (letzter Zugriff am 12. April 2015)

[3] http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp203en.pdf (nur in Englisch verfügbar) (letzter Zugriff am 12. April 2015)

[4] https://www.datenschutz.hessen.de/k89.htm#entry4317, Entschließung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 18. und 19. März 2015 (letzter Zugriff am 12. April 2015)

[5] http://www.out-law.com/en/articles/2015/february/eu-data-protection-reforms-the-implications-for-profiling/ (auf Englisch) (letzter Zugriff am 12. April 2015)

[6] http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2013/20130513_advice-paper-on-profiling_en.pdf, Artikel-29-Arbeitsgruppe: Advice paper on essential elements of a definition and a provision on profiling within the EU General Data Protection Regulation, 13. Mai 2013 (letzter Zugriff am 12. April 2015)

[7] BITKOM : Big Data im Praxiseinsatz – Szenarien, Beispiele, Effekte, 2012, S. 16. Online verfügbar unter: https://www.bitkom.org/Publikationen/2012/Leitfaden/Leitfaden-Big-Data-im-Praxiseinsatz_Szenarien_Beispiele_Effekte/BITKOM_LF_

Bild
Datenschutz bei Big Data und Business Analytics
Rechtsgebiet
Datenschutzrecht
Stichwörter
Big Data
Business Intelligence
BDSG-1990
Data Analytics
  • Anmelden, um Kommentare verfassen zu können
German

Leitfaden: Binding Corporate Rules

Binding Corporate Rules (BCR) sind ein datenschutzrechtliches Instrument, bei dem sich eine Unternehmensgruppe nach bestimmten Vorgaben verbindliche Datenschutzregeln gibt und ein Datenschutzprogramm auferlegt, das die zuständige Datenschutz-Aufsichtsbehörde genehmigt. Mein Leitfaden erläutert Funktionsweise, Vor- und Nachteile, Schritte zur Umsetzung und hilft Missverständnisse zu vermeiden. 

Nutzen und Vorteile

  • Funktionsweise von Binding Corporate Rules schnell erfassen
  • Vor- und Nachteile des Instruments und Alternativen verstehen
  • typische Fehleinschätzungen vermeiden
  • fundierte Entscheidung für das eigene Unternehmen treffen

 

Praxisleitfaden herunterladen

Inhaltsübersicht

Was der Leitfaden bietet

Erläuterung des Instruments

Was sind Binding Corporate Rules (BCR)?

Sind Binding Corporate Rules (BCR) für mein Unternehmen sinnvoll?

Vor- und Nachteile

Was sind die Vor- und Nachteile von Binding Corporate Rules (BCR)?

Welche Alternativen gibt es?

Umsetzung

Welche Schritte sind zur Umsetzung von Binding Corporate Rules (BCR) nötig?

 

Fehleinschätzungen

Was ist noch wichtig und welche Fehlvorstellungen gilt es zu vermeiden?

Ausblick

Welche Auswirkungen hat die DSGVO?

Systemhäuser und Vertragshändler & Reseller

Wie können Sie bei Binding Corporate Rules unterstützen?

Wo erhalte ich weiterführende Informationen?

Versicherungen

Worauf ist beim Abschluss von IT-Haftpflicht-Versicherungen zu achten?

Leitfaden

Vollständiger Inhalt als Webseite

Einleitung

Binding Corporate Rules (BCR) sind ein datenschutzrechtliches Instrument, bei dem sich eine Unternehmensgruppe nach bestimmten Vorgaben verbindliche Datenschutzregeln gibt und ein Datenschutzprogramm auferlegt, das die zuständige Datenschutz-Aufsichtsbehörde genehmigt.

Als rechtliche Folge können innerhalb der Unternehmensgruppe personenbezogene Daten leichter von EU-Gesellschaften in Länder außerhalb der EU - sogenannte Drittländer - übermittelt werden. In praktischer Hinsicht sind Binding Corporate Rules dagegen vor allem ein Instrument, um innerhalb von Unternehmensverbünden einheitliche Datenschutzstandards zu schaffen und ein globales Datenschutzprogramm umzusetzen und dies nach außen hin zu zeigen.<--break->

1. Was sind Binding Corporate Rules (BCR)?

Binding Corporate Rules bezeichnet ein Datenschutzprogramm, das sich eine Gruppe von Unternehmen auferlegt. Im Kern bestehen Binding Corporate Rules aus einer internen Unternehmens-Richtlinie, die den Umgang mit personenbezogenen Daten in Anlehnung an die Europäische Datenschutzrichtlinie regelt. Die Unternehmensgruppe legt sich die Unternehmens-Richtlinie rechtsverbindlich auf, d.h. alle Mitarbeiter müssen an diese gebunden sein (interne Bindung).

Daneben sind den Menschen, deren Daten verarbeitet werden (z.B. Kunden oder Mitarbeitern), bestimmte unmittelbare Rechte einzuräumen, etwa Auskunftsrechte (externe Bindung). Ergänzend ist ein Verfahren für den Umgang mit Beschwerden von Betroffenen festzuschreiben.

Binding Corporate Rules müssen außerdem ein internes Programm zur Datenschutz-Schulung von Mitarbeitern vorsehen und ein Netzwerk von Verantwortlichen für den Datenschutz im Unternehmen implementieren. Daneben sind regelmäßig Kontrollen und Audits der selbstauferlegten Regeln durchzuführen.

2. Sind Binding Corporate Rules (BCR) für mein Unternehmen sinnvoll?

Binding Corporate Rules machen zum einen Sinn, wenn eine Unternehmensgruppe ein weltweites Datenschutz-Programm aufsetzen will und hierfür einen „großen Masterplan“ benötigt oder verfolgen will.

Zum anderen lohnen sich Binding Corporate Rules, wenn eine Unternehmensgruppe umfangreich personenbezogene Daten ihrer EU-Gesellschaften an ihre außereuropäischen Unternehmen übermittelt, eine Vielzahl von Gesellschaften und Datentransfers im Spiel sind und sich dabei regelmäßig Änderungen ergeben.

3. Was sind die Vor- und Nachteile von Binding Corporate Rules (BCR) und welche Alternativen gibt es?

Binding Corporate Rules sind mehr als auf Papier geschriebene Datenschutzgrundsätze. Binding Corporate Rules beinhalten ein weltweites Datenschutzprogramm mit umfangreich vorgegebenen Inhalten, welche von Aufsichtsbehörden genehmigt werden müssen und deren Umsetzung eine erhebliche und dauerhafte Anstrengung erfordert.

Die Vorteile:

  • Eine Mission: Mit dem Entschluss der Unternehmensgruppe Binding Corporate Rules einzuführen wird ein langfristig angelegter Prozess zum Aufbau eines Datenschutzprogramms angestoßen. Die Unternehmensleitung hat ein „Großes Ziel“ vorgegeben, das die Organisation kontinuierlich verfolgt. Das Projekt Binding Corporate Rules rückt den Datenschutz ins Bewusstsein aller Mitarbeiter.
  • Bewährt: Da Binding Corporate Rules bestimmten Vorgaben genügen und von Aufsichtsbehörden genehmigt werden müssen, ist sichergestellt, dass ein Datenschutzprogramm nach bewährtem Muster und ohne wesentliche Lücken entsteht.
  • Außenwirkung und Akzeptanz: Binding Corporate Rules signalisieren nach außen hin umfassende Datenschutz-Bemühungen des Unternehmens. Binding Corporate Rules können so auch in der Außendarstellung gegenüber Kunden, Investoren und Lieferanten genutzt werden. Zudem werden Binding Corporate Rules von Aufsichtsbehörden sehr positiv gewertet.

Die Nachteile:

  • Starres Korsett: Die Vorgaben an Binding Corporate Rules sind vergleichsweise umfassend und strikt. Dies kann sich als unflexibel erweisen für Unternehmen, die ihr Datenschutzprogramm klein und überschaubar beginnen wollen.
  • Langes Genehmigungsverfahren: Die Unternehmensgruppe tritt zwar nur mit einer Datenschutzbehörde in der EU in Kontakt, diese muss aber eine Abstimmung mit allen anderen betroffenen Datenschutzbehörden durchführen. Das ist zeitaufwändig (mindestens 12 Monate) und konfrontiert das Unternehmen mit Vorstellungen unterschiedlichster Behörden. Die EU Datenschutzbehörden sammeln aber zunehmend Erfahrung bei dem Abstimmungsverfahren.

Alternativen und sich daraus ergebende Vor- und Nacheile:

  • EU Standardverträge: Statt Binding Corporate Rules können die Unternehmen in der EU auch mit den datenempfangenden Unternehmen außerhalb der EU Verträge gemäß den Standardverträgen der EU Kommission für Datenexporte schließen. Je nach Anzahl der beteiligten Gesellschaften kann dadurch eine Vielzahl von Verträgen nötig werden. Durch die Bündelung in Rahmenverträgen kann der Aufwand aber deutlich reduziert werden und dürfte fast immer geringer sein als bei Binding Corporate Rules. Letztlich sind Binding Corporate Rules der umfassendere und nachhaltigere Ansatz. Für schnelle und schlanke Lösungen taugen dagegen auch die Standardverträge.
  • Hausgemachtes Datenschutzprogramm. Wer die Vorzüge der Einfachheit von Standardverträgen und des umfassenden Compliance Ansatzes der Binding Corporate Rules kombinieren will, kann einen Datenschutz-Rahmenvertrag mit den EU Standardvertragsklauseln abschließen und dazu eine konzernweite Datenschutzrichtlinie erlassen, bei der die Binding Corporate Rules Vorgaben als Blaupause dienen. So kann schnell und effizient ein Datenschutzprogramm ohne behördliche Genehmigung aufgebaut werden.
  • Safe Harbor. Für Datentransfers aus der EU in die USA – und nur dorthin – kann sich das US Unternehmen gemäß dem Safe Harbor Programm selbst zertifizieren. Es müssen dann keine EU Standardverträge geschlossen werden. Die teils ungünstigen Klauseln zur Haftung und Aufsicht in den Standardverträgen werden vermieden. Safe Harbor funktioniert aber nur bei US Unternehmen bestimmter Branchen. Außerdem wird die Safe Harbor Lösung von deutschen Aufsichtsbehörden zunehmend kritisch gesehen und die EU Kommission verhandelt mit den USA derzeit deren Rahmen neu.

4. Welche Schritte sind zur Umsetzung von Binding Corporate Rules (BCR) nötig?

  • Schritt 1 - Die Entscheidung: Die Unternehmensgruppe evaluiert Vor- und Nachteile von Binding Corporate Rules sowie Alternativen und entscheidet sich für deren Einführung. Diese Entscheidung muss vom gesamten Vorstand und Top-Management mitgetragen werden („Tone from the Top“)
  • Schritt 2 - Kontakt mit der Datenschutzbehörde: Das Unternehmen identifiziert die für sie zuständigen verfahrensführende Aufsichtsbehörde (Lead Authority) und tritt mit dieser in Kontakt, um die Zuständigkeit zu klären (Dauer: ca. 2-4 Wochen).
  • Schritt 3 - Entwurf der Binding Corporate Rules: Das Unternehmen entwirft ein Dokument, das die verbindlichen Regelungen zum Umgang mit personenbezogenen Daten festlegt,sowie eine Reihe begleitender Unterlagen (z.B. Trainingskonzept, Organisation von Datenschutzverantwortlichen, Auditierungen). Hierzu ist eine umfassende Analyse der Datenflüsse sowie bereits vorhandener Datenschutzmechanismen im Unternehmen und ein Abgleich mit den Vorgaben für Binding Corporate Rules nötig. (Dauer: Unternehmensabhängig, ca. 2 bis 9 Monate)
  • Schritt 4 - Einreichung und Erstprüfung: Das Unternehmen reicht die Dokumente bei der verfahrensführenden Aufsichtsbehörde ein, diese prüft die Unterlagen und gibt erste Rückmeldungen, die das Unternehmen in die Entwürfe integriert. Es entsteht ein konsolidierter Entwurf.
  • Schritt 5 - Kommentierung: Die Aufsichtsbehörde zirkuliert den konsolidierten Erstentwurf an die Datenschutzbehörden der anderen EU-Länder, von denen aus die Gruppe Daten in Drittländer exportiert. Diese Aufsichtsbehörden geben ihre Kommentare an die verfahrensführende Aufsichtsbehörde (Dauer ca. einen Monat). Diese konsolidiert die Rückmeldungen und gibt sie an das Unternehmen zurück. Soweit nötig werden von diesem noch in Absprache mit der verfahrensführenden Aufsichtsbehörde Anpassungen vorgenommen. Das Ergebnis ist der finalisierte Entwurf.
  • Schritt 6 - Genehmigung. Die verfahrensführende Aufsichtsbehörde zirkuliert den finalisierten Entwurf an die anderen Datenschutzbehörden, die ihre Freigabe erteilen. An diesem Verfahren der gegenseitigen Anerkennung (Mutual Recognition) nehmen derzeit 21 EU Länder Teil.
  • Schritt 7 – Umsetzung. Die einzelnen Unternehmen der Gruppe passen ihre Organisation, Datenverarbeitung und Prozesse gemäß den neuen Unternehmensrichtlinien an („BCR Readiness“) und erklären dann die Binding Corporate Rules für verbindlich. Dies erfolgt in der Regel durch Unterzeichnung eines entsprechenden Vertrages mit der Konzernmuttergesellschaft.

5. Was ist noch wichtig und welche Fehlvorstellungen gilt es zu vermeiden?

  • Nur interne Datentransfers: Binding Corporate Rules erleichtern nur Datentransfers zwischen Unternehmen einer Unternehmensgruppe. Bei Datenübermittlungen an Externe, zum Beispiel einen externen IT-Provider, helfen sie nicht.
  • Beschränkung möglich: Die Unternehmensgruppe kann die Anwendung von Binding Corporate Rules zunächst auf bestimmte Datenarten (z.B. nur Kundendaten, keine Mitarbeiterdaten) beschränken, Binding Corporate Rules können aber auch auf solche Daten beschränkt werden, die aus der EU in Drittstaaten exportiert werden, so dass rein „lokale“ Verarbeitungen in der EU oder in Drittstaaten nicht den selbstauferlegten Regeln unterliegen.
  • Genehmigungen weiter nötig: In einigen Ländern sind für Datenexporte in Drittländer trotz Binding Corporate Rules noch zusätzliche Genehmigungen der lokalen Datenschutzbehörden nötig.
  • Kein „freier Datenfluss“: Binding Corporate Rules gestatten keinen „freien Datenfluss“ innerhalb des Konzerns. Es muss weiterhin für jede Datenübermittlung eine gesetzliche Erlaubnisnorm vorliegen. Binding Corporate Rules bewirken rechtlich nur, dass die nicht EU Gesellschaften wie solche in der EU behandelt werden.
  • Auftragsdatenverarbeitungsverträge weiterhin nötig: Binding Corporate Rules befreien nicht davon, Auftragsdatenverarbeitungsverträge innerhalb der Unternehmensgruppe zu schließen, wenn zum Beispiel eine Konzerngesellschaft für die anderen Konzernunternehmen IT-Services erbringt.
  • Konzerninterne Verträge nötig: Konzerninterne Verträge lassen sich bei Binding Corporate Rules auch deshalb nicht vermeiden, weil Verträge mit der Muttergesellschaft geschlossen werden müssen, um Betroffenen unmittelbare Rechte einzuräumen (externe Bindung, Verträge zu Gunsten Dritter).
  • Weniger Papier, mehr Aufwand: Im Vergleich zum Abschluss von EU Standardverträgen sorgen Binding Corporate Rules für „weniger Papier“ aber nicht für weniger Aufwand.
  • Aufwand der Umsetzung wird unterschätzt: Mit der Genehmigung der Binding Corporate Rules beginnt die Arbeit erst: Die Umsetzung der Vorgaben, zum Beispiel in Bezug auf Schulungen und den Aufbau einer entsprechenden Datenschutz-Organisation verursachen einen oft unterschätzen Aufwand. Das Andocken an eine bestehende Compliance Organisation kann hierbei helfen.
  • Verweigerer und Nachzügler: Im Unternehmensverbund gibt es oft Gesellschaften, bei denen es mit der Umsetzung hapert. Für diese bedarf es dann einer ggf. übergangsweisen alternativen Lösung, zum Beispiel über EU Standardvertragsklauseln.

6. Welche Auswirkungen hat die DSGVO?

Auf EU Ebene ist eine Reform des Datenschutzrechts durch Erlass einer EU-Datenschutz-Grundverordnung geplant. Europa hätte dann statt nationaler Gesetze einen einheitlichen Gesetzestext für den Datenschutz.

Aktuell (Anfang Juni 2015) liegt ein Entwurf für eine Datenschutz-Grundverordnung der EU-Kommission vom 25. Januar 2012 und ein Entwurf des EU-Parlaments vom 12. März 2014 vor. Zudem steht der Rat, in welchem die Vertreter der Regierungen der Mitgliedsstaaten sitzen, kurz vor der Einigung über seinen Vorschlag. Ab Mitte Juni soll der Einigungsprozess zwischen Rat, Parlament und Kommission beginnen, der sogenannte Trilog. Nach aktuellen Planungen könnte dieser bis Ende 2015 abgeschlossen sein. Da der Entwurf eine zweijährige Übergangsfrist vorsieht, würde das neue Recht frühestens ab Anfang 2018 gelten.

Nach den Fassungen der Kommission und des Parlamentes werden die Grundlagen für Binding Corporate Rules in der Verordnung gesetzlich verankert und das Instrument damit insgesamt gestärkt. Das Erfordernis zusätzlicher Genehmigungen für Datentransfers auf Basis von Binding Corporate Rules soll zum Beispiel entfallen, der Prozess der Abstimmung unter den Aufsichtsbehörden gestrafft werden. Zudem ist ein konkreter gesetzlicher Anforderungskatalog an Binding Corporate Rules vorgesehen.

Wer derzeit die Einführung von Binding Corporate Rules plant, sollt sich von den Reformbemühungen auf EU Ebene nicht abhalten lassen: Bis die Regeln greifen, vergeht aufgrund der Übergangsregelung zum einen noch einige Zeit und nach Inkrafttreten dürfen Aufsichtsbehörden ohnehin alle Hände voll zu tun haben. Zum anderen können Organisationen mit bereits eingeführten Binding Corporate Rules die neuen EU Regeln für den Datenschutz (z.B. etwaige Datenschutzfolgeabschätzungen), leichter umsetzen, da sie bereits über entsprechende Strukturen verfügen (Datenschutzbeauftragte, Richtlinien, Schulungen und Audits).

Bei einer jetzigen Konzeption von Binding Corporate Rules sollte aber der Gesetzgebungsprozess auf EU Ebene genau beobachtet werden. Eine Anpassung der internen Richtlinien zum Datenschutz und damit eine Änderung bestehender Binding Corporate Rules dürften unumgänglich werden sobald das neue Regelwerk greift. Wer sich noch etwas Zeit nimmt und den finalen Text der EU Datenschutz-Grundverordnung abwartet, könnte versuchen, die neuen EU Regeln bereits in seinen Binding Corporate Rules vorausgreifend zu integrieren.

7. Wie können Sie bei Binding Corporate Rules unterstützen?

Ich kann Sie auf allen Stufen der Umsetzung von Binding Corporate Rules beraten und unterstützen, zum Beispiel bei der Entscheidung Für und Wider Binding Corporate Rules, der Vorbereitung der einzureichenden Unterlagen, der Kommunikation mit der Behörde und bei der späteren Umsetzung der selbstauferlegten Richtlinien im Unternehmen. Daneben kann ich für Sie alternative Lösungsansätze, z.B. mittels Rahmenverträge konzipieren und umsetzen.

8. Wo erhalte ich weiterführende Informationen?

Zu den Binding Corporate Rules haben die Datenschutzbehörden der EU im Rahmen der Artikel 29 Arbeitsgruppe eine Vielzahl von Informationen veröffentlicht. Zum Vertiefen empfehle ich folgende Lektüre und zwar in dieser Reihenfolge:

Für das Erstellen der einzureihenden Unterlagen selbst sind wichtig:

  • Tabelle der Binding Corporate Rules Anforderungen (WP 153), umfasst eine Liste der Elemente, die alle Binding Corporate Rules enthalten müssen. Es handelt sich um Zusammenfassungen der Dokumente WP 74 und WP 108.
  • Rahmen Binding Corporate Rules (WP 154) mit einem Vorschlag, wie Binding Corporate Rules aussehen können. Der Vorschlag enthält alle notwendigen Elemente aus den Dokumenten WP 74 und WP 108.
  • Fragen-Antworten-Liste (WP 155 rev04) mit den wichtigsten Fragen und Antworten zu Binding Corporate Rules, etwa zur Frage der Haftungsregelung.

Für das Verfahren der Freigabe durch Aufsichtsbehörden und die Einreichung der Dokumente relevant:

  • Standard Formular zur Einreichung von Binding Corporate Rules (WP 133 / Wordfile Englisch)
  • Mutual Recognition: Beschreibung des Verfahrens der gegenseitigen Anerkennung zwischen den Aufsichtsbehörden (WP 107)

Die grundlegenden Anforderungen sind in den folgenden Dokumenten enthalten. Die Vorgaben sind in den oben genannten (späteren veröffentlichten) Dokumenten bereits berücksichtigt:

  • Ausgangsdokument „Binding Corporate Rules als Mittel für internationale Datentransfers“ (WP 74) ist quasi die Geburtsurkunde der Binding Corporate Rules
  • Anforderungsliste für Binding Corporate Rules (WP 108)

Zur Abgrenzung „Processor Binding Corporate Rules“:

Die folgenden Dokumente enthalten Informationen zu „Processor Binding Corporate Rules“, die nicht Gegenstand dieses Beitrages sind. Processor Binding Corporate Rules sind für Unternehmensgruppen gedacht, die im Auftrag anderer Unternehmen fremde Daten als Auftragsdatenverarbeiter verarbeiten und hierbei innerhalb ihrer Gruppe Daten von der EU in Drittländer exportieren (z.B. IT Anbieter in der EU mit ausländischen Töchtern, Rechenzentren oder Headquarter in den USA): WP 195WP 195a (Wordfile / Englisch).

Bild
Binding Corporate Rules als Mittel zur Datenschutz Compliance - Leitfaden für die Praxis
Rechtsgebiet
Datenschutzrecht
Stichwörter
BDSG-1990
Saving...