BLOG

Die Datenschutz-Grundverordnung (DSGVO) vereinheitlicht das europäische Datenschutzrecht und hat einige Änderungen mit sich gebracht. Die Auswirkungen dieser Änderungen sind auch im Hinblick auf Marketing Analytics erkennbar. Studien zufolge ist einer Mehrheit der europäischen Verbraucher und Unternehmer der Schutz der personenbezogenen Daten wichtig. Verbraucher möchten von den neu zugesprochenen Rechten Gebrauch machen und ihre Vorteile nutzen. Unternehmen, welche die Regelungen der DSGVO konsequent einhalten, sorgen bei ihren Kunden und Partnern für Vertrauen und wecken zudem Kaufanreize.

Die DSGVO als Chance für Unternehmen

Durch die Einführung der DSGVO sind viele Internetnutzer darauf aufmerksam geworden, was eigentlich mit ihren Daten passiert oder auch nur passieren könnte. Unternehmen haben einen entscheidenden Einfluss auf die Verwendung der Daten und können mit entsprechenden Maßnahmen den Schutz der personenbezogenen Daten gewährleisten. In nahezu jeder Branche liegen zwischen einzelnen Unternehmen nur Nuancen, welche sie von ihren Wettbewerbern unterscheiden. Besondere Vorteile oder einzigartige Produkte können die Beliebtheit auf dem Markt steigern. Zu einem solchen Vorteil kann auch der gelebte Datenschutz zählen. Für Unternehmen bedeutet dies, dass sie neben einer angemessenen Ausgestaltung der Prozesse und Kontrollen auch deren Wirksamkeit sicherstellen müssen. Hierfür ist eine Sensibilisierung der Mitarbeiter von essenzieller Bedeutung. Mit Datenschutz-Siegeln oder Auszeichnungen kann die Einhaltung der DSGVO werbend eingesetzt werden.

Mit dem gewonnenen Vertrauen von Kunden kann eine wertvolle Loyalität zum Unternehmen hergestellt werden. Durch ein modernes und digitales Datenschutzmanagement wird die Thematik sowohl intern als extern greifbarer und interessanter. Jeder Mitarbeiter kann seinen Teil zur Umsetzung der DSGVO beitragen. Ein funktionierender Prozess ist besonders wichtig, weil bereits kleine und einzelne Verstöße bei öffentlichem Bekanntwerden in den Medien unkontrollierbare Auswirkungen annehmen können. Mit dem effizienten und zuverlässigen Schutz personenbezogener Daten wird daher auch das Vertrauen der Kunden nachhaltig gestärkt.

In der Datenschutz-Grundverordnung (DSGVO) wird auch der Umgang mit einer sog. Datenpanne geregelt. Eine Datenpanne ist die Verletzung des Schutzes personenbezogener Daten. Eine Verletzung von personenbezogenen Daten liegt nach Art. 4 Nr. 12 DSGVO immer dann vor, wenn diese Daten verlorengegangen, vernichtet, verändert oder ohne rechtliche Grundlage offengelegt wurden.

Sobald ein Unternehmen eine Datenpanne feststellt, ist ein unverzügliches Handeln erforderlich. Eine Datenpanne muss von Unternehmen gemäß Art. 33 Abs. 1 DSGVO innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden. Ergeben sich aus der Datenpanne sogar hohe Risiken für Betroffene, sind diese nach Art. 34 zwingend ebenfalls zu informieren. Eine Datenpanne kann ein Hackerangriff oder ein Missbrauch von Zugriffsrechten sein. Zudem zählen unverschlüsselte E-Mails oder unbewusste sowie versehentliche Veröffentlichungen von personenbezogenen Daten zu den möglichen Datenpannen. Ein sehr klassisches Beispiel für eine Datenpanne ist das Versenden einer E-Mail an den falschen Empfänger.

Was müssen Unternehmen bei einer Datenpanne tun?

Sobald eine Datenpanne in einem Unternehmen festgestellt wurde, ist eine entsprechende Analyse anzustellen. Hierbei werden zunächst die Ursache sowie der Umfang der Auswirkungen festgestellt. An dieser Stelle sind insbesondere auch die sich ergebenen Risiken zu betrachten. Je nach Art und Umfang der Datenpanne ist zu entscheiden, ob die Aufsichtsbehörde oder mögliche betroffenen Personen darüber zu informieren sind. Diese Risikoanalyse ist sorgfältig aufzustellen und zu dokumentieren. Im Rahmen der Meldung kann sie ein wichtiger Nachweis sein.

Meldung der Datenpanne

Die Meldung einer Datenpanne an die Aufsichtsbehörde sollte schriftlich erfolgen. Notwenige Informationen sind hierbei die Beschreibung der Verletzung der personenbezogenen Daten sowie die Anzahl der betroffenen Datensätze und Personen. Zudem müssen Name und Kontaktdaten des Datenschutzbeauftragten und die Ergebnisse der durchgeführten Risikoanalyse enthalten sein. Ein Verstoß gegen die Meldepflicht bei Datenpannen wird grundsätzlich mit teilweise hohen Bußgeldern geahndet.

Die Datenschutzkonferenz (DSK) hat am 18. Februar 2022 die bereits vor längerer Zeit angekündigte Neufassung der Orientierungshilfe der Datenschutzkonferenz zur Direktwerbung veröffentlicht. Mit der Orientierungshilfe gibt die DSK Anhaltspunkte für die Auslegung der Anforderungen der DSGVO bei der Verarbeitung personenbezogener Daten für die Zwecke der Direktwerbung. Interessant ist die neue Orientierungshilfe für alle Unternehmen und Selbstständige, die selbst Werbung betreiben.

Regelungen der DSGVO

Als Direktwerbung wird die unmittelbare Ansprache einer Zielperson definiert, welche in unterschiedlicher Form erfolgen kann. In der DSGVO finden sich keine detaillierten Regelungen zu Werbung und Direktwerbung. Eine Grundlage wird jedoch durch die Artikel 6 i.V.m. Erwägungsgrund 47 der DSGVO geboten, wonach die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden kann.

Informationspflichten

Im zweiten Kapitel der Orientierungshilfe der Datenschutzkonferenz zur Direktwerbung werden die Informationspflichten nach Artikel 13 DSGVO näher betrachtet. Demnach müssen Kunden grundsätzlich bereits bei Erhebung der Daten über den Zweck der Verwendung unterrichtet werden.

Neben den Informationspflichten werden in der neuen Orientierungshilfe noch weitere praxisnahe Tipps gegeben. Das dritte Kapitel widmet sich der Einwilligung in die Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung. Im vierten Kapitel werden spezielle Sachverhalte bei der Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung beschrieben. Im fünften und letzten Kapitel werden Hinweise zum Widerspruchsrecht gegen Direktwerbung gemäß Art. 21 Abs. 2 bis 4 DSGVO gegeben. Insgesamt hat die Datenschutzkonferenz mit der Orientierungshilfe eine praktische Hilfestellung für Unternehmen zur Verfügung gestellt. Die in der Vergangenheit unklaren Regelungen zur Direktwerbung konnten nun konkretisiert werden und haben an Transparenz gewonnen.

Mit der Datenschutz-Folgenabschätzung (DSFA) hat der Gesetzgeber eine Regelung zur Risikoanalyse für den Umgang mit personenbezogenen Daten geschaffen. Diese Analyse soll Risiken bewerten, die aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung entstehen und voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben können. Das Ziel liegt darin, diese Risiken zu erkennen und zu bewerten und Maßnahmen zum Schutz dieser Daten zu treffen. Unternehmen mit einem Zugang zu sensiblen personenbezogenen Daten sind dazu verpflichtet, eine DSFA zu machen. Betroffene Unternehmen sollen mithilfe der DSFA individuelle Strategien entwickeln, um das Risiko für betroffene Personen und deren Daten auf ein Minimum zu reduzieren.

Weiterhin soll in diesem Rahmen sichergestellt und auch nachgewiesen werden, dass gesetzliche Regelungen zum Datenschutz eingehalten werden. Die bisherige Vorabkontrolle, welche im alten Bundesdatenschutzgesetz verankert war, wurde durch die DSFA ersetzt. Sie stellt eine der wichtigsten Änderungen in der Datenschutz-Grundverordnung dar. Ob ein Unternehmen eine DSFA machen muss, ergibt sich entweder aus der Datenschutz-Grundverordnung, den Leitlinien der Artikel-29-Gruppe, eines Beratergremiums auf europäischer Ebene oder aus den Blacklists der Aufsichtsbehörden.

Was können Mitarbeiter tun?

Zunächst können in Abstimmung mit dem Verantwortlichen Listen und Berichte von Mitarbeitern, welche Umgang mit sensiblen Daten haben, strukturiert gemeldet werden. Dies minimiert den Aufwand, den das Zusammentragen aller relevanten Daten mit sich bringt und verhindert darüber hinaus, dass eventuell relevante Datenbestände nicht berücksichtigt werden. Weiterhin kann jeder Mitarbeiter unterstützen, indem er Ideen einbringt, die zum Schutz der sensiblen Daten beitragen.

Die österreichische Datenschutzbehörde hat festgestellt, dass die Nutzung des Webanalyse-Dienstes Google Analytics aufgrund der Datenübermittlung in die USA als rechtswidrig anzusehen ist. Google verstößt nach Auffassung der Datenschutzbehörde insbesondere gegen die allgemeinen Grundsätze der Datenübertragung nach Art. 44 DSGVO. Auch die deutschen Aufsichtsbehörden äußern sich entsprechend. In den Niederlanden laufen ebenfalls zwei Verfahren, um diese Frage auf nationaler Ebene zu klären. Die Datenschutzbehörden warnen derzeit davor, dass der Statistikdienst Google Analytics bald nicht mehr erlaubt sein könnte. Der Grund hierfür ist, dass der Einsatz des Tools auf Webseiten in der Europäischen Union nicht mit der Datenschutz-Grundverordnung (DSGVO) vereinbar ist.

Kritik der Datenschützer

Der Webanalyse-Dienst Google Analytics steht aufgrund mehrerer Faktoren in der Kritik. Insbesondere die Speicherung sowie Übermittlung von vollständigen IP-Adressen an die USA wird von Datenschützern kritisiert. Zudem wird bemängelt, dass Google seine Nutzer nur unzureichend über die eigenen Datenschutzbestimmungen und die erhobenen Daten aufklärt. In der Konsequenz wurde der Statistikdienst als nicht datenschutzkonform eingestuft.

Insbesondere im Hinblick auf die Cookie-Urteile des EuGHs wurden bereits mehrfach Bußgeldverfahren im Zusammenhang mit Google Analytics eingeleitet. Hierbei ging es vorwiegend um die fehlende ausdrückliche Einwilligung von Nutzern. Mit einem Consent-Tool kann der Nutzer der Datenübertragung und Speicherung von Daten explizit zustimmen.

Warum Google Analytics verboten ist

Laut einem Teilbescheid der österreichischen Datenschutzbehörde GZ. D155.027 vom 22. Dezember 2021 ist die Verwendung Google Analytics als rechtswidrig anzusehen, da der Statistikdienst personenbezogene Daten erhebt und an Google überträgt. Nach US-Recht unterliegt das Unternehmen Google der Überwachung durch US-Geheimdienste. Dieser Umstand schließt die zuverlässige Gewährleistung eines angemessenen Schutzniveaus nach Art. 44 DSGVO aus. Einige Unternehmen setzten auf Standardvertragsklauseln, welche mit Google geschlossen wurden. Diese helfen jedoch nicht, wie der EuGH in seiner Entscheidung im Jahr 2020 zum „Privacy Shield“ (Schrems II) feststellte.

Entscheidend für die rechtliche Beurteilung der Verwendung Google Analytics ist die Möglichkeit, ob sich US-Geheimdienst die personenbezogenen Daten besorgen könnte und ergänzende Maßnahmen zur Einhaltung des Schutzniveaus nicht ausreichend möglich sein sollen.

Bereits drei Wochen nach Inkrafttreten des neuen TTDSG (Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien) hat die DSK eine Hilfestellung für Unternehmen herausgegeben. Die 33-seitige Orientierungshilfe wurde am 20. Dezember 2021 veröffentlicht und ist an die neuen Regelungen des TTDSG angepasst. Sie soll eine frühere Version aus dem Jahr 2019 in weiten Teilen ersetzen.

Orientierungshilfe als praktischer Ratgeber

Mit der Orientierungshilfe hat die DSK den betroffenen Unternehmen einen wertvollen Ratgeber zur Seite gestellt. Dieser soll die Unternehmen und Verantwortlichen dabei unterstützen, die TTDSG im Sinne des Gesetzgebers umzusetzen. Der Schwerpunkt dieser Ausarbeitung liegt auf dem Schutz der Privatsphäre in Endeinrichtungen gemäß § 25 TTDSG. Oftmals wird diese Vorschrift als zentrale Norm des TTDSG bezeichnet. Für die Gerichte dienen die Empfehlungen der DSK ebenfalls als Orientierungshilfe, welche bei Entscheidungen herangezogen werden kann. Die deutschen Datenschutzbehörden legen anhand der Orientierungshilfe fest, welche Maßstäbe bei der Prüfung der Einhaltung gesetzlicher Vorschriften gesetzt werden.

Anwendungsbereich der Orientierungshilfe

Der § 25 TTDSG findet nicht nur auf Cookies Anwendung, sondern betrifft auch beispielsweise Web-Storage-Objekte oder automatische Update-Funktionen. Die DSK stellt klar, dass ein Nichtstun und damit die Verwendung von vorangekreuzten Feldern keine Einwilligung darstellt. Es kommt bei der Beurteilung von Einwilligungen darauf an, wie die einzelnen Buttons in einem Cookie-Banner sowie weitere Handlungsoptionen beschriftet und gestaltet sind. Nach Ansicht der DSK muss die Ablehnung von Cookies zudem ebenso einfach wie die Zustimmung sein. Den Besuchern einer Website darf die Ablehnung der Cookies daher nicht durch zusätzliche oder unnötige Klicks erschwert werden.

Kommt es in einem Unternehmen zu Verstößen gegen die geltenden Datenschutzbestimmungen, kann dies je nach Schweregrad des Verstoßes Bußgelder nach sich ziehen. Zudem haben die betroffenen Personen in einigen Fällen einen Anspruch auf Schadensersatz oder Schmerzensgeld gegenüber den Verantwortlichen. Die Datenschutz-Grundverordnung (DSGVO) enthält spezielle Regelungen über eine Haftung auf Schadenersatz.

Art. 82 DSGVO – Haftung und Recht auf Schadensersatz

Mit dem Art. 82 DSGVO hat der Gesetzgeber klare Folgen eines Verstoßes gegen die geltenden Datenschutzbestimmungen festgelegt. Nach Art. 82 Nr. 1 DSGVO hat jede Person, welcher wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadenersatz gegen den Verantwortlichen und den Auftragsverarbeiter. Durch diese Regelungen zur Haftung sollen die Rechte der betroffenen Personen gestärkt werden. Zudem befördert dies die konsequente Durchsetzung der datenschutzrechtlichen Vorschriften.

Eine Voraussetzung für einen Anspruch auf Schadensersatz ist ein Schaden, welcher durch den Verstoß gegen die DSGVO entstanden sein muss. Die Definition eines Schadens findet sich im Erwägungsgrund 146 DSGVO. In den bislang ergangenen Entscheidungen ist immer noch umstritten, wie und durch wen Kausalität und Verschulden der schadensverursachenden Handlung zu beweisen sind und welchen Umfang der Schaden (Bagatellgrenze) erreicht haben muss. Zu diesen Fragen wird der EuGH sich aber wohl nächstes Jahr in anhängigen Verfahren äußern müssen.

Wer ist gemäß DSGVO schadensersatzpflichtig?

Der Gesetzgeber unterscheidet zwischen einer Haftung des Verantwortlichen und einer Haftung des Auftragsverarbeiters. Weiterhin kommt eine gesamtschuldnerische Haftung in Betracht, wenn Verantwortliche oder Auftragsverarbeiter an derselben schädigenden Verarbeitung beteiligt sind.

Grundsätzlich haften alle Verantwortlichen, welche an einem für den Schaden ursächlichen Verstoß gegen die DSGVO beteiligt waren. Der Auftragsverarbeiter haftet zunächst immer dann, wenn ein Schaden entsteht, weil er seinen auferlegten Pflichten nicht nachgekommen ist. Eine bedeutende Pflicht liegt beispielsweise darin, einen Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DSGVO abzuschließen. Weiterhin haftet der Auftragsverarbeiter, wenn sich der entstandene Schaden darin begründet, dass er eine rechtmäßig erteilte Anweisung des für die Datenverarbeitung Verantwortlichen missachtet hat. Letztlich kommt eine Haftung in Betracht, wenn ein Schaden eintritt, weil der Auftragsverarbeiter entgegen solcher Anweisungen gehandelt hat.

Bereits am 04. Juni 2021 veröffentlichte die Europäische Kommission die finale Fassung der neuen Standarddatenschutzklauseln für die Übermittlung von personenbezogenen Daten in Drittländer. Zu diesem Zeitpunkt wurde zudem die finale Fassung der Standardvertragsklauseln bekannt gegeben. Diese gelten für Auftragsverarbeitungsverträge für Verarbeitungen in der gesamten EU.

Umsetzungsfristen für Unternehmer

Durch das Inkrafttreten der neuen Standarddatenschutzklauseln laufen Umsetzungsfristen. Seit dem 27. September 2021 dürfen für Neuverträge nur noch die neuen Vorlagen verwendet werden. Bestehende Vereinbarungen müssen bis zum 27. Dezember 2022 auf die neuen Klauseln umgestellt werden.

Nutzen der neuen Standardvertragsklauseln

Die Rechtmäßigkeit der Übermittlung von Daten in Länder außerhalb der EU muss in zwei Stufen betrachtet werden. Zunächst muss nach Art. 6 Abs. 1 DSGVO eine Rechtsgrundlage für die Datenübermittlung vorliegen. Auf der zweiten Stufe wird geprüft, ob bei dem Empfänger im Drittland ein angemessenes Schutzniveau für die übermittelten Daten besteht. Nach Art. 46 DSGVO kann durch geeignete Garantien ein solches Schutzniveau hergestellt werden. Die neuen Standardvertragsklauseln sind Garantien in diesem Sinne (Art. 46 Abs. 2 lit. c DSGVO). Eine Reihe von Änderungen begleitet die neuen Standardvertragsklauseln. Sie sind modular aufgebaut, verlangen erstmals eine obligatorische Risikoeinschätzung und schreiben weitere Schutzmaßnahmen vor. Datenexportierende Unternehmen müssen bei Umstellung auf die neuen Standarddatenschutzklauseln sämtliche auf die bisherigen Standarddatenschutzklauseln gestützte Übermittlungen in Drittländer erneut prüfen. Bereits seit dem 1. Juni 2021 werden Fragebögen von den Datenschutzbehörden an Unternehmen gesendet, um die Umsetzung zu dokumentieren und zu kontrollieren. 

Das Offboarding bezeichnet einen Prozess, bei welchem ein Mitarbeiter nach der Kündigung des Arbeitsverhältnisses aus einem Unternehmen ausgegliedert wird. Einem strukturierten Offboarding-Prozess kommt aus personalwirtschaftlicher sowie aus datenschutzrechtlicher Sicht eine hohe Bedeutung zu. Der Prozess wird als organisatorische Maßnahme bezeichnet und fällt damit unter die Regelungen des Art. 32 DSGVO. Mit diesen Vorschriften soll die Vertraulichkeit, Verfügbarkeit und Integrität personenbezogener Daten geschützt werden. Insbesondere bei einer fristlosen Kündigung oder einem unerwarteten Austritt können aufgrund der Kurzfristigkeit etwaige Gefahren im Hinblick auf den Datenschutz entstehen.

Entzug von Zugangsmöglichkeiten

Bei der Beendigung des Arbeitsverhältnisses müssen alle Schritte aus dem Eingliederungsprozess des Mitarbeiters rückgängig gemacht werden. Der Entzug von Zutritts- und Zugriffsmöglichkeiten wird durch den Art. 32 DSGVO vorgeschrieben. Demnach müssen Unternehmen sicherstellen, dass Unbefugte keinen Zugang zu personenbezogenen Daten erhalten können. Unternehmen müssen daher alle Schlüssel oder Zugangskarten zurückfordern, digitale Zugriffsrechte sowie Passwörter zurücksetzen und die Kollegen sowie die Geschäftspartner über die Beendigung des Arbeitsverhältnisses informieren. Zu überwachen ist auch die Rückgabe von Unternehmenseigentum und sämtliche Unterlagen und Datenträger, worauf sich personenbezogene Daten befinden können.

Löschung bzw. Archivierung von Daten

Unternehmen dürfen personenbezogene Daten nur solange speichern, wie eine Rechtsgrundlage hierfür besteht und sie zur Erfüllung des Verarbeitungszwecks benötigt werden. Im Falle eines Arbeitnehmers ist der Zweck in der Regel die Durchführung eines Beschäftigungsverhältnisses. Sobald ein Mitarbeiter das Unternehmen verlässt, fällt dieser Grund weg. Sofern kein weiterer, besonderer Grund für die Archivierung von Daten besteht, müssen sie gelöscht werden. Vor dem Löschen von Personalakten sollte geprüft werden, ob für diese eine gesetzliche Aufbewahrungsfrist besteht. Solche Aufbewahrungsfristen können sich insbesondere aus steuerrechtlichen Gesichtspunkten ergeben, Arbeitnehmer haben einen Auskunftsanspruch nach Art. 15 DSGVO zu den über Sie verarbeiteten Daten, insbesondere in der Personalakte. Arbeitgeber müssen in diesen Fällen innerhalb eines Monats Auskunft darüber geben, welche Daten wozu und wie lange gespeichert werden.