Skip to content

Wir beleuchten die Änderungen des neuen Datenschutzanpassungs- und Umsetzungsgesetzes.

Überblick zum zweiten Datenschutzanpassungs- und Umsetzungsgesetz (2019)

Einleitung

Schon 2017 hat der Bundestag ein Datenschutzanpassungs- und Umsetzungsgesetz erlassen. Dieses umfasste allerdings nur die Novellierung des Bundesdatenschutzgesetzes (BDSG), um dieses an die DS-GVO (Verordnung (EU) 2016/679) anzupassen. Mit dem zweiten Datenschutzanpassungs- und Umsetzungsgesetz (2. DSAnpUG) hat der Bundestag nun auch das bereichsspezifische Datenschutzrecht des Bundes an die seit Mai 2018 geltende Datenschutz-Grundverordnung (DS-GVO) angepasst. 

Zusätzlich soll mit dem zweiten Datenschutzanpassungs- und Umsetzungsgesetz die Richtlinie (EU) 2016/680 (JI-Richtlinie) zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates umgesetzt werden. Mit dieser soll ein einheitlicher Rahmen in der EU für den Bereich der Polizei und Justiz geschaffen und ein höheres Datenschutzniveau in der Union erreicht werden.

Um den Vorgaben aus dieser Richtlinie nachzukommen, hat der Gesetzgeber im 2. DSAnpUG zahlreiche Änderungen bestehender Gesetze vorgenommen. Der Bundesrat hat dem Gesetz am 20. September 2019 zugestimmt. Es soll am Tag nach der Verkündung im Bundesgesetzblatt in Kraft treten.

Änderungen

Im Folgenden werden auszugsweise einige Änderungen aufgelistet.

BDSG: Benennung des Datenschutzbeauftragten

Die am meisten spürbare Änderung wird sicherlich die Erhöhung von zehn auf 20 Mitarbeiter als Voraussetzung für die Benennung eines Datenschutzbeauftragten gem. § 38 Abs. 1 S.1 BDSG im Unternehmen sein. Dabei ist zu bedenken, dass die Pflicht zur Einhaltung der Datenschutzauflagen natürlich weiter besteht und es nun vor allem an den Mitarbeitern und dem Vorgesetzten liegt, diese einzuhalten. Dies ist einerseits ein Vorteil für kleine Unternehmen, wie zum Beispiel Start-Ups, andererseits verringert es die Verbreitung eines Bewusstseins für die Einhaltung von Datenschutzbestimmungen. 

Ob durch den Wegfall eines Datenschutzbeauftragten nicht nur Bürokratie, sondern auch Kompetenz und Sachverstand abgebaut wird und zu einem laxeren Umgang mit dem Datenschutzrecht führt, wird sich in der Praxis zeigen.

BDSG: Elektronische Einwilligung zur Datenverarbeitung

Als weitere Änderung ist § 26 Abs. 2 S. 3 BDSG zu nennen. Momentan ist bezüglich der Einwilligung für die Verarbeitung von personenbezogenen Daten von Mitarbeitern im Rahmen von Beschäftigungsverhältnissen nur die Schriftform vorgeschrieben. Dieses Schriftformerfordernis fällt weg. Stattdessen soll mit dem 2. DSAnpUG künftig auch eine elektronische Einwilligung des Betroffenen zugelassen werden.

BDSG: Verarbeitung bei erheblichem öffentlichem Interesse 

In § 22 Abs. 1 Nr. 1 BDSG wird mit lit. d) ein neuer Erlaubnistatbestand für öffentliche und nichtöffentliche Stellen eingefügt. Demnach soll die Verarbeitung von besonderen Datenarten zulässig sein, wenn diese „bei einem erheblichen öffentlichen Interesse zwingend erforderlich ist“. 

Damit wird der Erlaubnistatbestand bei Vorliegen von öffentlichem Interesse aus § 22 Abs. 1 Nr. 2 lit. a) BDSG, der bislang nur für öffentliche Stellen galt, auch auf nichtöffentliche Stellen ausgeweitet.

BDSG: Verarbeitung bei Auszeichnungen und Ehrungen 

Mit § 86 BDSG wird ein komplett neuer Paragraph hinzugefügt. Damit sollen im Rahmen der „Vorbereitung und Durchführung staatlicher Verfahren bei Auszeichnungen und Ehrungen sowohl die zuständigen als auch andere öffentliche und nichtöffentliche Stellen die dazu erforderlichen personenbezogenen  Daten, einschließlich besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 (DS-GVO), auch ohne Kenntnis der betroffenen Person verarbeiten“ dürfen. 

Zivilprozessordnung und Grundbuchordnung

Die Zivilprozessordnung und die Grundbuchordnung werden im Rahmen der Auskunftsrechte an die Bestimmungen des Art. 15 DS-GVO angepasst. 

Der Zivilprozessordnung wird § 882i hinzugefügt. Danach kann die betroffene Person Einsicht in das Schuldnerverzeichnis über die zentrale und länderübergreifende Abfrage im Internet nach § 882h Abs. 1 Satz 2 ZPO nehmen. Eine Information der betroffenen Person über konkrete Empfänger,  gegenüber denen die personenbezogenen Daten, die im Schuldnerverzeichnis und in den an das zentrale Vollstreckungsgericht übermittelten Anordnungen der Eintragung in das Schuldnerverzeichnis enthalten sind, offengelegt werden, erfolgt nur insoweit, als Daten zu diesen Empfängern nach den Vorschriften für Zwecke der Datenschutzkontrolle zu speichern sind

Die Grundbuchordnung wird um § 12d ergänzt. Dieser ermöglicht der betroffenen Person, die als Eigentümer oder Inhaber grundstücksgleicher Rechte von Grundstücken eingetragen ist, ein Auskunftsrecht nach Art. 15 DS-GVO. Konkret sind das: das Grundbuch, die Urkunden, auf die im Grundbuch zur Ergänzung einer Eintragung Bezug genommen ist und die noch nicht erledigten Eintragungsanträge.

Wenn Sie weitere Fragen zur neuen Rechtslage haben, zögern Sie nicht, uns zu kontaktieren!

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir informieren Sie über das Kopplungsverbot und gehen dabei insbesondere auf dem Begriff der Freiwilligkeit ein.

DSGVO

Neues zum Kopplungsverbot – Begriff der Freiwilligkeit

Einleitung

Seit Verbreitung der „Kostenloskultur“ im Internet findet das Kopplungsverbot zunehmende Beachtung im Datenschutz. Das Kopplungsverbot war in Deutschland in § 28 Abs. 3b BDSG a.F. normiert und bezog sich nur auf Monopolsituationen, wonach es einem Dienstleister untersagt war, eine Leistungserbringung von der Einwilligung des Betroffenen in eine Datenerhebung oder Datenverarbeitung seiner personenbezogenen Daten abhängig zu machen. Erst mit Einführung der DS-GVO fand diesbezüglich ein Paradigmenwechsel in Deutschland statt, so dass sich das Kopplungsverbot auf jede Verarbeitung personenbezogener Daten erstreckt.

Siehe dazu auch: früheren Blogbeitrag.

Problematik 

Das Kopplungsverbot des Art. 7 Abs. 4 DS-GVO ist getrennt vom Erforderlichkeitsgrundsatz des Art. 6 Abs. 1 lit. b) DS-GVO zu betrachten. Nach diesem ist eine Verarbeitung personenbezogener Daten nur erlaubt, wenn diese zur Durchführung eines Vertrags oder vorvertraglicher Maßnahmen erforderlich ist. 

Hingegen regeln Art. 6 Abs. 1 S. 1 lit. a, Art. 7 Abs. 4 DS-GVO die Verarbeitung von personenbezogenen Daten, die für die Erfüllung eines Vertrages eben nicht zwingend erforderlich sind, und so nicht der Regelung des Art. 6 Abs. 1 lit. b) DS-GVO unterfallen. In diesen Fällen ist explizit eine Einwilligung des Betroffenen notwendig. Zwingende Voraussetzung für diese Einwilligung ist unter anderem nach Art. 7 Abs. 4 DS-GVO, dass diese von den Betroffenen freiwillig erteilt wurde. Fehlt es an der Freiwilligkeit der Einwilligung, ist diese unwirksam und die Verarbeitung rechtswidrig.

Damit bemisst sich die Reichweite des Kopplungsverbots nach der Freiwilligkeit der Einwilligung. Wie das Erfordernis der Freiwilligkeit auszulegen ist, regelt Art. 7 Abs. 4 DS-GVO:

„(Es muss) dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“

Hingegen verneint Erwägungsgrund 43 DS-GVO bereits die Freiwilligkeit, wenn:

„zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.“

Wie man sieht, legt einerseits Art. 7 Abs. 4 DS-GVO den Begriff der Freiwilligkeit weit aus („in größtmöglichem Umfang“), andererseits grenzt Erwägungsgrund 43 ihn stärker ein („…wenn die Erfüllung eines Vertrags (…) von der Einwilligung abhängig ist.“) Diese Diskrepanz führt zu einer Rechtsunsicherheit, mit der sich die Rechtsprechung wird befassen müssen.

Urteil des OLG Frankfurt 

Das OLG Frankfurt beschäftigte sich im Urteil vom 27.06.2019 (Az.: 6 U 6/19) damit, ob die Klägerin dem beklagten Unternehmen eine Einwilligung für Werbeanrufe erteilt hat. Die Einwilligung für Werbeanrufe war mit der Teilnahme an einem Gewinnspiel gekoppelt. Ohne ein solche Einwilligung war die Teilnahme am Gewinnspiel nicht möglich. Das Unternehmen rief in der Folge die Klägerin an und berief sich hierbei auf die durch die Teilnahme an dem Gewinnspiel erhaltene Genehmigung. Da die Beklagte keinen Nachweis über das Vorliegen einer Einwilligung erbringen konnte, entschied das Gericht zugunsten der Klägerin auf Unterlassung der Werbeanrufe. 

Merkmal der Freiwilligkeit

Das Gericht stellt jedoch fest, dass keine Bedenken gegen die wirksame Einwilligung bestehen, wenn der Verbraucher der Werbung zugestimmt hat und der Geschäftsbereich des werbenden Unternehmens hinreichend klar beschrieben worden ist. Eine Umschreibung des Geschäftsbereichs mit „Marketing und Werbung“ ist nicht genug präzise, da nicht erkennbar ist, für welche Art von Produkten die Einwilligung in die Werbung erteilt wurde.

Zudem muss die Einwilligung freiwillig erfolgen. Nach dem OLG Frankfurt ist eine Einwilligung „freiwillig“, wenn sie „ohne Zwang“ erteilt wird – was der Begriffsbestimmung des Art. 2 lit. h) RL 95/46/ EG entspricht. Dabei muss der Betroffene eine echte oder freie Wahl haben und somit in der Lage sein, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden (siehe Erwägungsgrund Art. 42 S. 5 DS-GVO). Auf den Betroffenen darf kein Druck ausgeübt werden. Ein bloßes Anlocken durch Versprechen einer Vergünstigung, oder die Teilnahme an einem Gewinnspiel, reicht nicht, um Druck zu erzeugen. Wer sich für ein Gewinnspiel anmeldet und im Gegenzug seine Daten im Rahmen einer Werbeeinwilligung preisgibt, tut dies ohne Zwang. Die Verknüpfung eines Einwilligungserfordernisses mit der Teilnahme an einem Gewinnspiel stehe der Freiwilligkeit einer solchen Einwilligung nicht entgegen. 

Fazit

Das OLG Frankfurt hat in seinem Urteil zwar eine Präzisierung des Merkmals der „Freiwilligkeit“ im Rahmen von Werbeeinwilligungen vorgenommen. Anzumerken ist jedoch, dass das Gericht nicht explizit zum Kopplungsverbot aus Art. 7 Abs. 4 DS-GVO Bezug nimmt. Auch ob ein DS-GVO-Verstoß über das Wettbewerbsrecht sanktioniert werden kann, wird vom Gericht nicht angesprochen. 

Auch ist weiterhin unklar, wie die Wirksamkeit einer früheren Einwilligung für die Nutzung eines kostenlosen Dienstes nach Änderung der AGB dieses Dienstes zu beurteilen ist, was besonders für die Nutzung von großen sozialen Netzwerken wie Facebook relevant sein dürfte.

Somit lässt sich festhalten, dass das OLG Frankfurt ein absolutes Kopplungsverbot ablehnt. Dies ist zu begrüßen, da es Usus in der Kostenloskultur des Internets ist, einen Teil seiner personenbezogenen Daten freiwillig preiszugeben, um in den Genuss zahlreicher Dienste zu kommen. Es wäre praxisfern, anzunehmen, dass Verbraucher den Großteil dieser Dienste weiterhin nutzen würden, wenn sie kostenpflichtig wären. Ob dem Verbraucher die Preisgabe seiner Daten „wert“ ist oder er lieber ganz auf den Dienst verzichtet, muss er selbst entscheiden.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Rund um den "Gefällt-mir"-Button: EuGH-Urteil und datenschutzrechtliche Einordnung.

Zulässigkeit von Facebooks „Like-Button“

Einleitung

Im Urteil C-40/17 „Fashion-ID“ vom 29.7.2019 hat der EuGH entschieden, dass Webseitenbetreiber, die Facebooks „Gefällt-mir“- Button auf ihrer Seite einbinden, für die Einhaltung datenschutzrechtlicher Vorgaben ebenso verantwortlich sind, wie Facebook selber. Deshalb ist der Webseitenbetreiber verpflichtet, den Webseitenbesucher über die Erhebung seiner Daten zu informieren und seine Einwilligung einzuholen. 

Unterschied zur Facebook-Fanpage

Bereits im Urteil zu den Facebook-Fanpages vom 05.06.2018 (Az. C-210/16) begründet der EuGH eine gemeinsame Verantwortlichkeit damit, dass Fanpage-Betreiber durch Erstellen der Fanpage einen Beitrag leisten, der es Facebook erst ermöglicht, mithilfe von Cookies umfassende Einblicke in die Nutzung seiner Dienste zu erhalten, um sein System der Werbung zu verbessern.

Im vorliegenden Urteil C-40/17 liegt der Beitrag des Webseitenbetreibers darin, durch Einbinden des „Gefällt-mir“-Buttons, Facebook Einblicke in die Nutzungsstatistik zu geben.

Während im Urteil zu Facebook-Fanpages eine gemeinsame Verantwortlichkeit ausschließlich auf das Erstellen und Betreiben einer Facebook-Fanpage bezogen war, weitet der EuGH die gemeinsame Verantwortlichkeit auf die Verwendung von Social Plug-ins aus. 

Im Urteil zu den Facebook-Fanpages hat der EuGH zwar den unterschiedlichen Grad der Verantwortlichkeit gewürdigt (C-210/16 Rn. 43), aber erst im vorliegenden Urteil dahingehend präzisiert (C-40/17 Rn. 85), dass „diese Verantwortlichkeit (…) jedoch auf den Vorgang oder die Vorgänge der Datenverarbeitung beschränkt (ist), für den bzw. für die er tatsächlich über die Zwecke und Mittel entscheidet, d. h. das Erheben der in Rede stehenden Daten und deren Weitergabe durch Übermittlung.“ Für die Vorgänge darüber hinaus ist Facebook verantwortlich.

Vorliegen eines gemeinsamen Zwecks

Bereits in den Schlussanträgen vom 19. Dezember 2018 hat der Generalanwalt angemerkt, dass, obwohl keine identische kommerzielle Nutzung der Daten stattfindet, der Webseitenbetreiber und Facebook allgemein offenbar kommerzielle Zwecke verfolgen, die sich wechselseitig ergänzen. Damit besteht trotz fehlender Zweckidentität eine Einheit der Zwecke: Es werden nämlich kommerzielle und werbliche Zwecke verfolgt. 

Der Webseitenbetreiber möchte durch die Einbindung des Buttons seine Werbung für ihre Produkte so optimieren, indem diese im sozialen Netzwerk Facebook sichtbarer gemacht werden, wenn ein Besucher ihrer Website den Button anklickt (C-40/17 Rn. 80).

Der EuGH würdigt zwar auch die eigenständigen Verarbeitungsvorgänge, wonach Facebook nur Besucherdaten sammelt und der Webseitenbetreiber seine Inhalte verbreiten will, differenziert jedoch nicht weiter und fasst beide unter „wirtschaftlichen Interessen“ zusammen:

 „Dabei werden diese Verarbeitungsvorgänge im wirtschaftlichen Interesse sowohl von Fashion ID als auch von Facebook Ireland durchgeführt, für die die Tatsache, über diese Daten für ihre eigenen wirtschaftlichen Zwecke verfügen zu können, die Gegenleistung für den Fashion ID gebotenen Vorteil darstellt.“

Facebook könnte jederzeit, unabhängig vom Webseitenbetreiber, die Funktionsweise des Like-Buttons ändern. Dieser muss das gar nicht erst mitbekommen. Durch die vom EuGH vorgenommen Aufteilung der Verantwortlichkeit, muss der Webseitenbetreiber jedoch nicht über die von Seiten Facebooks vorgenommenen Änderungen informieren, sondern nur über seine eigenen Verarbeitungsvorgänge. Für die weitere Verarbeitung durch Facebook bedarf es einer gesonderten Einwilligung des Nutzers.

Kritik

In der Literatur wurde diese geringe Schwelle zur Mitverantwortlichkeit bereits im Rahmen der Begründung des EuGH zu Facebook-Fanpages kritisiert, da eine bloße Mitursächlichkeit an einem Datenstrom nicht für eine gemeinsame Verantwortlichkeit genügen soll. Erforderlich soll ein zumindest rein tatsächlicher Einfluss auf die Erhebung und Verarbeitung personenbezogener Daten sein. Die Figur der gemeinsamen Verantwortlichkeit im Sinne des Art. 26 DS-GVO (Joint Controllership) beruht eben auf einem bewussten und gewollten Miteinander und nicht auf einer losen oder gar zufälligen Zusammenarbeit. Insbesondere hat der Webseitenbetreiber keinen Zugriff auf die Facebook-Server. Ebenso ist nicht nachvollziehbar wieso der Empfänger der Daten (hier Facebook) zusammen mit dem Webseitenbetreiber verantwortlich sein soll, wenn er keinen Einfluss auf die Übermittlung durch den Webseitenbetreiber hat.

Offene Fragen

Zwar schafft der EuGH mit dem Urteil Klarheit in Bezug auf den unterschiedlichen Verantwortungsgrad im Rahmen der Verarbeitung personenbezogener Daten – er schafft jedoch auch Unklarheit.

Sonstige Plug-ins 

Fraglich ist, ob eine Verantwortlichkeit auch besteht, wenn der Seitenbetreiber andere Plug-ins, wie z.B. Twitter, Instagram oder Pinterest verwendet, die zwar dem Plug-in-Betreiber zu kommerziellen Zwecken dienen, dem Seitenbetreiber aber nur als Beispiel zur Veranschaulichung im Rahmen eines Beitrags für einen Blog dienen, und damit nicht zu kommerziellen Zwecken. Auch die Situation von Plug-ins zu technischen Zwecken, zum Beispiel iframes im Rahmen Webseitendarstellung, oder Googles Plug-ins wie Analytics oder reCAPTCHA ist nicht klar. Stellt man dabei auf das Auslesen von Nutzungsdaten, einschließlich der IP-Adresse ab, wäre dafür auch schon eine Einwilligung des Nutzers erforderlich.

Die Argumentation des EuGH, dass der Webseitenbetreiber zusammen mit dem Plug-in-Betreiber zu kommerziellen Zwecken agiert, greift hier nicht. Deswegen kann man genauso gut argumentieren, dass Plug-ins, mit denen der Webseitenbetreiber keine eigenen kommerziellen Zwecke verfolgt, von der gemeinsamen Verantwortlichkeit ausgenommen sind. Damit bleibt es nur bei der Notwendigkeit einer Auftragsdatenvereinbarung gem. Art. 28 DS-GVO. Diesen gibt es nicht für reCAPTCHA. Google selber gibt keine transparenten Informationen über die von reCAPTCHA gesendeten Informationen preis.

Cookies

Der EuGH hat weiterhin offengelassen, ob eine Einwilligung des Webseitenbesuchers in die Nutzung des Facebook Like-Buttons erforderlich ist oder diese durch ein berechtigtes Interesse gedeckt ist. 

Diese Frage wird das OLG Düsseldorf beantworten müssen. Dabei beruft sich der EuGH (C-40/17 Rn. 87) auf die Richtlinie 2002/58 (Cookie-Richtlinie / ePrivacy-RIchtlinie), die jedoch in Deutschland nie richtig umgesetzt worden ist. Außerdem beruht der vor dem OLG Düsseldorf anhängige Prozess auf der alten Datenschutzrichtlinie 95/46 und nicht auf der DS-GVO. 

Der EuGH stellt zumindest klar, dass, sollte ein berechtigtes Interesse ausreichen, sowohl der Webseitenbetreiber als auch der Plugin-Anbieter, jeweils berechtigte Interessen wahrnehmen müssen (C-40/17 Rn. 97).

Fazit

Welche Auswirkungen das Urteil in der Praxis haben wird und ob nun alle Webseitenbetreiber, die Social Plug-ins verwenden, eine Vereinbarung gem. Art. 26 Abs. 1 Satz 2 DS-GVO (Joint Controller Agreement) zusätzlich zu einer Auftragsdatenvereinbarung nach Art. 28 DS-GVO abschließen müssen, bleibt abzuwarten. 

Ob eine Einwilligung für Cookies notwendig ist, ist weiterhin unklar. Endgültige Rechtssicherheit wird wohl erst die ePrivacy-Verordnung bringen. Bis dahin empfiehlt es sich, eine 2-Klick Lösung zum Beispiel „Shariff-Lösung“ bei der Implementierung von Social-Plug-ins zu benutzen.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir erläutern anhand einiger Beispielen, inwieweit eine Videoüberwachung an öffentlichen Orten zulässig ist und nicht gegen das Datenschutzrecht verstößt.

Zulässigkeit von Videoüberwachung im öffentlichen Raum

Einleitung

Vandalismus, Pöbeleien, Beleidigungen oder auch Straftaten stellen keine Seltenheit im Öffentlichen Raum dar. Um diese Taten zu verringern bzw. strafrechtlich zu verfolgen, wird die öffentliche Videoüberwachung zunehmend ausgebaut. Jedoch muss im Vorfeld eine umfassende Interessenabwägung stattfinden. Zwar sollen Täter von Straftaten abgeschreckt werden, andererseits soll jedoch eine freie Bewegung im Raum möglich sein, ohne dass der einzelne Bürger einem ständigen Überwachungsdruck ausgesetzt wird. Diese Abwägung unterschiedlicher Interessen hat seit Anwendungsbeginn der DS-GVO, und damit einhergehend dem neuen BDSG, an Komplexität hinzugewonnen.

Grundsatz

Vor Einführung der DS-GVO richtete sich die Zulässigkeit der Installation von Überwachungskameras nach § 6b BDSG a.F. Dieser wurde durch die neue Fassung des § 4 BDSG ersetzt. Demnach ist gem. § 4 Abs. 2 S.1 BDSG im Rahmen einer umfangreichen Interessenabwägung eine Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) nur zulässig, soweit sie:

  1. zur Aufgabenerfüllung öffentlicher Stellen,
  2. zur Wahrnehmung des Hausrechts oder
  3. zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke

erforderlich ist und keinerlei Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Da der neue § 4 Abs. 1 S. 1 BDSG mit dem § 6b Abs. 1 S. 1 BDSG a.F. inhaltsgleich übernommen wurde und auch die DS-GVO eine Interessenabwägung im Rahmen der Zulässigkeitsprüfung einer Datenverarbeitung durch eine Videoüberwachung in Art. 6 Abs. 1 S. 1 lit. f) DS-GVO vorsieht, ist es denkbar, dass die nachfolgenden Urteile auf die aktuelle Rechtslage übertragbar sind.

Praxis

Für eine Interessenabwägung der Videoüberwachung in der Praxis und deren Vereinbarkeit mit dem Datenschutzrecht sollen hier Beispiele jüngerer Rechtsprechung herangezogen werden. Allesamt beziehen sich jedoch nur auf private Betreiber.

Videoüberwachung im ÖPNV

Das OVG Lüneburg hat im Urteil vom 07.09.2017 (11 LC 59/16) die von den Hannoverschen Verkehrsbetrieben (ÜSTRA AG) praktizierte Videoüberwachung als mit dem Datenschutzrecht für vereinbar erklärt. Die klagende Landesbeauftrage für Datenschutz hat zuvor eine Differenzierung beim Einsatz der Videokameras je nach Tageszeit und Linie unter Berücksichtigung der konkreten Gefahrenlage verlangt. Das OVG Lüneburg lehnte dies ab und hat besonders die Umstände gewürdigt, dass die Hannoverschen Verkehrsbetriebe zahlreiche Störfälle wie, Vandalismus, Pöbeleien, Beleidigungen oder tätliche Angriffe auf Mitarbeiter, vor Einführung der Videoüberwachung verzeichnet haben. Nach Ansicht des Gerichts ist eine Videoüberwachung gem. § 6b BDSG a.F. erforderlich, um die von den Hannoverschen Verkehrsbetrieben festgelegten Ziele der Verfolgung von Straftaten bei der Fahrgastbeförderung und Sicherung von Beweismaterial, der Gefahrenabwehr einschließlich der Verhütung von Straftaten und der Steigerung des subjektiven Sicherheitsgefühls der Fahrgäste als Nebenzweck zu erreichen.

Videoüberwachung in einer Apotheke

Das OVG Saarlouis hat in seinem Urteil vom 12.12.2017 (2 A 662/17) hingegen die Notwendigkeit einer Videoüberwachung teilweise bejaht. Gegenstand der Rechtssache war eine Anordnung der Landesbeauftragten für Datenschutz an eine Apotheke, die Videoüberwachung im Verkaufsraum einzustellen.

Die Vorinstanz (VG Saarlouis 29.01.2016, 1 K 1122/14) sah eine Rechtfertigung nur hinsichtlich des Medikamentenschranks im nicht-öffentlichen Bereich vor und gab ansonsten der Datenschutzaufsichtsbehörde Recht. Als milderes Mittel hat sie die Verkürzung des Inventurzyklus vorgeschlagen. Das OVG Saarlouis hat daraufhin im Rahmen der Berufung der beklagten Apotheke gegen die Anordnung der Argumentation der Beklagten insoweit Folge geleistet, dass auch die Videoüberwachung in den Verkaufsräumen notwendig ist, um den hohen Schwund an Verkaufsartikeln einzudämmen. In Bezug auf die schutzwürdigen Interessen der Arbeitnehmer muss berücksichtigt werden, dass diese sich mit der Videoüberwachung ausdrücklich einverstanden erklärt hätten und auch deren schutzwürdige Interessen nicht dem Bedürfnis des Klägers entgegenstünden.

Videoüberwachung in einer Zahnarztpraxis

Das Bundesverwaltungsgericht (BVerfG) hat mit Urteil vom 27. März 2019 (Az. 6 C 2.18) entschieden, dass eine Videoüberwachung in einer Zahnarztpraxis, die ungehindert öffentlich betreten werden kann, strenge datenschutzrechtliche Regeln befolgen muss.

Die Zahnarztpraxis kann durch Öffnen der Eingangstür ungehindert betreten werden. Die aufgenommenen Bilder können in Echtzeit auf Monitoren angesehen werden, die sich in Behandlungszimmern befinden (sogenanntes Kamera-Monitor-System). Die Datenschutzbehörde in Brandenburg erließ gegen die Zahnarztpraxis einen Bescheid, die Videokamera so auszurichten, dass der den Patienten und sonstigen Besuchern zugängliche Bereich nicht mehr erfasst werden.

Nach erfolglosem Widerspruchsverfahren und den Vorinstanzen, erhob die die Praxis betreibende Zahnärztin Klage vor dem Bundesverwaltungsgericht.

Dieses stellte vorab fest, dass die seit 25.05.2018 geltende Datenschutz-Grundverordnung (DS-GVO) keine Anwendung auf datenschutzrechtliche Anordnungen findet, die vor diesem Zeitpunkt erlassen worden sind.

Damit richtet sich die Beurteilung der Zulässigkeit nach dem BDSG in seiner alten Fassung – konkret nach § 6b BDSG a.F. Diese erfolgt im Rahmen einer Interessenabwägung; es müssen also gem. § 6b Abs. 1 BDSG a.F. die Interessen der Videoüberwachung gegenüber den schutzwürdigen Interessen der Betroffenen überwiegen.

Das Bundesverwaltungsgericht stellte fest, dass die Klägerin nicht hinreichend dargelegt hat, dass sie für den Betrieb ihrer Praxis auf die Videoüberwachung angewiesen ist. Es bestünden keine tatsächlichen Anhaltspunkte, die ihre Befürchtung, Personen könnten ihre Praxis betreten, um dort Straftaten zu begehen, berechtigt erscheinen ließen. Die Videoüberwachung sei nicht notwendig, um Patienten, die nach der Behandlung aus medizinischen Gründen noch einige Zeit im Wartezimmer sitzen, in Notfällen betreuen zu können. Auch seien die Angaben der Klägerin, ihr entstünden ohne die Videoüberwachung erheblich höhere Kosten, völlig pauschal geblieben.

Verwendung von Dashcams

Der BGH hat in seinem Urteil vom 15.05.2018 (VI ZR 233/17) bezüglich Dashcams Stellung zum Verhältnis von Datenschutz und Einsatz als Beweismittel bezogen. Zuvor haben die beiden Vorinstanzen (Amts- und Landgericht) die Verwertbarkeit der Aufnahmen der Dashcam als Beweismittel im Zivilprozess abgelehnt, da die Aufnahmen unter Verstoß gegen das Datenschutzrecht entstanden waren. 

Hingegen hat der BGH die Verwertbarkeit der Aufnahmen gestattet. Zwar bejaht der BGH das unzulässige Erlangen der Beweismittel, verweist jedoch auch darauf, dass solche Tatbestände nicht ausdrücklich in der Zivilprozessordnung geregelt sind (im Gegensatz zu der im amerikanischen Recht herrschenden Theorie „fruit of the poisonous tree“). Der BGH stimmt den Vorinstanzen bezüglich des datenschutzrechtlichen Verstoßes bei der Verwendung von Dashcams zu. Die kontinuierliche Aufzeichnung des Straßenverkehrs mit einer Dashcam verstößt gegen § 4 Abs. 1 BDSG a.F., da Betroffene nicht ihre Einwilligung in die Erhebung von Daten gegeben. 

Auch § 6b Abs. 1 Nr. 3 BDSG a.F. ist nicht einschlägig, da keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen im Rahmen öffentlicher Videoüberwachung durch die Dashcam überwiegen.

Stattdessen stuft der BGH das Interesse des Geschädigten an der Durchsetzung seiner zivilrechtlichen Ansprüche und sein Grundrecht auf rechtliches Gehör aus Art. 103 Abs. 1 GG, in Verbindung mit dem Interesse an einer funktionierenden Zivilrechtspflege, höher ein als die Interessen des Betroffenen. Des Weiteren hat sich der Betroffene durch seine Teilnahme am öffentlichen Straßenverkehr der öffentlichen Beobachtung durch andere Verkehrsteilnehmer freiwillig ausgesetzt. Außerdem zeichnet die Dashcam des Geschädigten nur Vorgänge auf öffentlicher Straße auf, die grundsätzlich für jedermann wahrnehmbar waren. Zu berücksichtigen ist, dass der Betroffene als Unfallbeteiligter gem. § 142 StGB verpflichtet ist, seine personenbezogenen Daten herauszugeben. 

Dabei hat der BGH betont, dass die Aufzeichnung nicht permanent erfolgen darf. Nur eine kurzzeitige anlassbezogene Speicherung im Zusammenhang mit einem Unfallgeschehen ist zulässig. Auch eine automatische regelmäßige Löschung ist möglich. Zwar war zum Zeitpunkt des Urteils des BGH die DS-GVO noch nicht in Kraft, aber auch aus heutiger Sicht ist eine andere Wertung nicht ersichtlich.

Zusammenfassung

Die vorgegangenen Urteile zeigen gut den starken einzelfallabhängigen Charakter der Urteile der Gerichte im Rahmen der Videoüberwachung durch private Betreiber auf. 

Zwar widerspricht die Faktenlage in Hannover – kein nennenswerter Rückgang von Straftaten im ÖPNV – der Argumentation des OVG Lüneburg. Dem stehen jedoch als Argumente die Verfolgung von Straftaten und die Sicherung von Beweismaterial sowie die Steigerung des subjektiven Sicherheitsgefühls der Fahrgäste gegenüber. 

Aufgrund dieses massiven Eingriffs in die Privatsphäre, ist eine umfangreiche Interessenabwägung, wie § 4 Abs. 1 S.1 Nr. 2 und 3 BDSG sie im Rahmen der Videoüberwachung durch private Videoanlagen in der Öffentlichkeit vorsieht, unentbehrlich. Auch eine nicht regelmäßig über einen längeren Zeitraumstattfindende Überwachung, wie das OVG Lüneburg sie anhand der meist kurzen Verweildauer in einem Transportmittel des ÖPNV angenommen hat, ist nicht unbeachtlich. Eine Überwachung findet in der Öffentlichkeit beinahe nahtlos durch Kameras an hochfrequentierten Plätzen und vorherigen / folgenden Fahrten mit U-Bahnen, Bussen oder Straßenbahnen und dort vorhandenen Kameras statt. Dies wird durch die Missbrauchsmöglichkeiten, die von potenziell hunderttausenden Dashcams ausgeht, komplettiert.

Auch in Zukunft wird die Thematik sicherlich nicht, insbesondere im Zusammenhang von mit Kameras bestückten Drohnen, nicht an Aktualität einbüßen.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir blicken nun auf ein Jahr DS-GVO zurück. Hier erläutern wir die Auswirkungen in Deutschland seit Inkraftreten der Verordnung.

Ein Jahr Datenschutz-Grundverordnung (DS-GVO)

Einleitung

Vor genau einem Jahr ersetzte die EU-Datenschutz-Grundverordnung (DS-GVO) die aus dem Jahr 1995 stammende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Bevor im Mai 2020 die EU Kommission die Evaluierung der DS-GVO vornehmen wird, wollen wir bereits das erste Jubiläum zum Anlass nehmen, das erste Jahr DS-GVO zu beleuchten und einen Ausblick auf noch zu erwartende Entwicklungen zu bieten. Als Fazit voranstellen lässt sich sicherlich, dass der Datenschutz bereits seit Inkrafttreten der DS-GVO in ganz Europa eine völlig neue Bedeutung erfährt. Die Umsetzung der neuen (und teils auch alten) Anforderungen dauert in den meisten Unternehmen aber noch an. 

Auswirkungen in Deutschland

Mit Geltungswirkung der DS-GVO zum 25.05.2018 schienen zwei Gefühlsausprägungen zu dominieren: Durch Unsicherheit geprägter Aktionismus und andererseits besonnenes oder leichtfertiges Zuwarten. Mit Beginn des „DS-GVO-Hypes“ bildeten sich mit Blick auf die gesetzlich angedrohten Bußgelder der teils neuen, teils alten Anforderungen Mythen innerhalb der Wirtschaftswelt. Webseiten wurden offline genommen, Klingelschilder demontiert, Handwerker mussten Teppich- und Raummaße DS-GVO-konform verarbeiten und Gesichter in Fotoalben wurden geschwärzt. Viele Punkte haben sich zwischenzeitlich relativiert. Beispielsweise im Bereich der Personenfotografie äußerten sich Aufsichtsbehörden beschwichtigend. Mit Urteilen vom 18.6.2018 (15 W 27/18) und 8.10.2018 (15 U 110/18) hat das OLG Köln eine weitere Anwendbarkeit des KunstUrhG jedenfalls im journalistischen Bereich bejaht. Abzuwarten bleibt, ob sich diese Auffassung auch in höheren Instanzen und bundesweit durchsetzen kann. Dennoch: Das „one size fits all“ Prinzip der DS-GVO führt nach wie vor vielfach aufgrund des für unverhältnismäßig hoch erachteten Bürokratie- und Dokumentationsaufwand zu viel Kritik. 

Auf der anderen Seite blieben und bleiben viele Unternehmen noch weitgehend untätig. Vor dem Hintergrund, dass die Aufsichtsbehörden bisher eher selten öffentlichkeitswirksam eingeschritten waren und die große Abmahnwelle ausblieb, werden sich diese Unternehmen in ihrer Vorgehensweise vermutlich zunächst bestätigt fühlen. In Deutschland gab es bisher weniger als 100 Bußgeldbescheide, welche sich der Höhe nach ganz überwiegend eher am unteren Ende des Bußgeldrahmens bewegt haben dürften. Doch die Aufsichtsbehörden haben bereits angekündigt, nach Ablauf einer gewissen Schonfrist verstärkt von den ihnen zur Verfügung stehenden Sanktionsmitteln Gebrauch machen zu wollen. Zum Vorbild nehmen könnten sich die deutschen Datenschutzwächter die französische Datenschutzaufsichtsbehörde. Gegen Google verhängte diese Anfang 2019 bereits ein Bußgeld in Höhe von 50 Millionen Euro wegen mangelnder Transparenz bei den Informationen zur Verwendung der erhobenen Daten. Trotz der – in Absolutheit betrachtet – hohen Summe steht hierbei jedoch zu vermuten, dass es sich dabei zunächst um einen Schuss vor den Bug gehandelt haben dürfte. 

Die gering ausfallenden Sanktionen deutscher Unternehmen mögen in Teilen natürlich auch der Tatsache geschuldet sein, dass zumindest in Deutschland mit dem BDSG in seiner alten Fassung regelungstechnisch bereits ein solides Datenschutzniveau gewährleistet war. Die DS-GVO hat im Vergleich zur alten Rechtslage nur wenig an den grundlegenden Datenschutzbestimmungen geändert. Vielmehr übernimmt sie die Begriffe aus der Richtlinie 95/46/EG und ergänzt sie durch neue Präzisierungen. Unternehmen, welche bereits im Vor-DS-GVO-Zeitalter an ihrer Datenschutz-Compliance arbeiteten, dürften sich insofern weitgehend entspannt zurückgelehnt haben. 

Doch mit der Hoffnung, es werde auch weiterhin nur die Großen treffen, dürften die wenigen untätig abwartenden Unternehmen schon in näherer Zukunft nicht mehr gut fahren. Freilich liegt und lag der Fokus der Aufsichtsbehörden tatsächlich zunächst auf den im großen Stil personenbezogene Daten verarbeitenden Playern der Wirtschaft. Begründet liegen dürfte diese aufsichtsbehördliche Vorgehensweise neben der voran zu stellenden Überlastung der Behörden auch damit, dass mit dem Vorgehen gegen Großkonzerne das Bewusstsein der Bevölkerung für den Datenschutz weiter geschärft werden kann. Gerade Unternehmen, welche technisch und organisatorisch noch nicht nachgebessert haben, besonders sensible oder besondere Kategorien von Daten verarbeiten oder ihre Kunden über Prozesse nicht transparent informieren, sind gut beraten, die Zurückhaltung der Behörden nicht fehl zu interpretieren. 

Denn festzustellen ist aus der Beraterperspektive bereits jetzt, dass betroffene Personen kritischer geworden sind. Dies zeigt schon die hohe Zahl von geltend gemachten Betroffenenrechten, insbesondere in Form von Auskunftsansprüchen und dem Recht auf Löschung, wobei insbesondere das Löschen von Daten viele Unternehmen vor praktische Probleme in der Umsetzung stellt. Neben dem starken öffentlichen Fokus auf das Thema Datenschutz mag die Erhöhte Sensibilität der Betroffenen auch daran liegen, dass Unternehmen sich mittlerweile transparenter zeigen (müssen), was im Nebeneffekt zu kritischen Rückfragen der betroffenen Personen führt. So zeigt sich, dass Verbraucher auch den Weg zu den Aufsichtsbehörden nicht scheuen, insbesondere wenn geltend gemachte Betroffenenansprüche aus ihrer Sicht nicht zufriedenstellend erfüllt wurden. 

Handreichungen der Behörden und Unterstützung durch Berater

Auch „ein Jahr danach“ herrscht noch vielfach Rechtsunsicherheit bei der praktischen Umsetzung der Vorgaben aus der DS-GVO und dem neuen BDSG. Aufsichtsbehörden werden daher auch künftig gefordert sein, Unternehmen weitere Hilfestellung zu geben. Zur Unterstützung haben sich die Aufsichtsbehörden zwar bereits mit einer großen Zahl an Publikationen hervorgetan. Was den Detailgrad der Handreichungen und auch die erforderliche Abstimmung der europäischen Behörden untereinander angeht, besteht, jedenfalls aus unserer Sicht, noch Potential zur Verbesserung. Um bei der hohen Zahl von (sich teils widersprechenden) Guidelines, Leitfäden, sonstigen Angaben der Behörden und Urteilen nicht den Überblick zu verlieren und selbige richtig einordnen zu können, sind viele Unternehmen auf externe Beratung angewiesen. Berater können den Unternehmen dabei helfen, Widersprüche zu erkennen und mit Auslegung zu schließende Lücken der zur Verfügung stehenden Texte einzuordnen, um somit eine weitgehend rechtssichere Umsetzung der gestellten Anforderungen zu gewährleisten. 

Wichtigstes Ziel der Datenschutz-Grundverordnung war, Transparenz zu schaffen. Dies dürfte den meisten Unternehmen ansatzweise bereits gelungen sein. Nun gilt es, im Wege von Soforthilfemaßnahmen erstellte Datenschutzinformationen nochmals mit der technischen und organisatorischen Realität abzugleichen und den propagierten Datenschutz im Unternehmen auch tatsächlich zu leben. 

Ausblick

Mit Spannung zu beobachten bleiben die Entwicklungen rund um den Gesetzgebungsprozess der e-Privacy-Verordnung. Diese dürfte auf lange Sicht im Zusammenhang mit dem Tracking von Internetnutzern mittels der Verwendung von Cookies für Klarheit sorgen. Hier bleibt zu hoffen, dass das ursprünglich für 2018 geplante Gesetz noch vor dem zweiten Jahrestag der DS-GVO verabschiedet wird.

Softwarehersteller, welche Unternehmen bei der technischen Umsetzung effizienter Löschkonzepte unterstützen können, werden sich einen klaren Wettbewerbsvorteil gegenüber der Konkurrenz erarbeiten. Abzuwarten bleiben weitere Entwicklungen aus der Rechtsprechung und Einlassungen der Datenschutzaufsichtsbehörden. Und doch werden auch in nächster Zeit – auch für uns Berater –viele Fragen offenbleiben. Gerne unterstützen wir Sie auch in Zukunft dabei, mit bestehenden Rechtsunsicherheiten umzugehen.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir beleuchten das neue Geschäftsgeheimnisgesetz und gehen darauf ein, was Unternehmen beachten müssen.

Das neue Geschäftsgeheimnisgesetz (GeschGehG)

Einführung

Seit dem 26.4.2019 ist das neue Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) in Kraft. Dieses dient der Umsetzung der Geschäftsgeheimnis-RL 2016/943/EU. Damit ist der bislang sporadisch gesetzlich geregelte Schutz von Geschäftsgeheimnissen (siehe §§ 17-19 UWG, die nun keine Anwendung mehr finden) und daraus resultierende vertragliche Schadensersatzansprüche, weil Arbeitnehmer eine Nebenpflicht zum Schutz von Geschäfts- und Betriebsgeheimnissen gem. § 242 BGB trifft, und der durch die Rechtsprechung geformte Geheimnisbegriff in einem Spezialgesetz zusammengefasst und konkretisiert.

Vorliegend sollen die Punkte aufgelistet werden, die Unternehmen besonders beachten müssen.

Geschäftsgeheimnis

Definition

Das Geschäftsgeheimnisgesetz definiert in § 2 Nr. 1 den Begriff des Geschäftsgeheimnisses als eine Information:

  1. die weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne Weiteres zugänglich ist und daher von wirtschaftlichem Wert ist und
  2. die Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber ist und
  3. bei der ein berechtigtes Interesse an der Geheimhaltung besteht.

Das Kriterium des „berechtigten Interesses an der Geheimhaltung“ gründet in der nach altem Recht üblichen Differenzierung zwischen Betriebs- und Geschäftsgeheimnis. Durch die Aufnahme dieses Kriteriums hat der Gesetzgeber die zuvor im deutschen Recht praktizierte Trennung (Geschäftsgeheimnisse: organisatorische und kaufmännische Details; Betriebsgeheimnisse: technische Informationen) beider Begriffe aufgehoben.

Zu beachten ist das Kriterium der angemessenen Geheimhaltungsmaßnahmen durch den Geheimnisinhaber. Unternehmen müssen nun aktiv werden, damit ihr schützenswertes Know-how vom Schutz des neuen Gesetzes profitiert.

Geheimhaltungsmaßnahmen

Die angemessenen Geheimhaltungsmaßnahmen aus § 2 Nr. 1 GeschGehG richten sich nach der Geschäftsgeheimnis-RL 2016/943/EU, die sich wiederum an die in Art. 39 des TRIPS-Abkommens enthaltene Definition der „nicht offenbarten Informationen“ anlehnt.

Unternehmen müssen aktiv Maßnahmen zur Geheimhaltung ergreifen, um in den Schutz des Gesetzes zu kommen. Diese Geheimhaltungsmaßnahmen können in Form von technischem, organisatorischem und vertraglichem Know-how-Schutz durchgeführt werden, müssen also objektiven Maßstäben genügen.

Damit unterscheidet sich das Geschäftsgeheimnisgesetz von der bisherigen Rechtslage, wonach ein subjektiver Geheimhaltungswille ausreichte, an den keine hohen Anforderungen gestellt wurden und es teilweise für ausreichend befunden wurde, wenn sich dieser Geheimhaltungswille aus der Natur der geheim zuhaltenden Tatsachen ergab. 

Zusätzlich zu den gem. § 242 BGB aus dem Arbeitsvertrag entstammenden Nebenpflichten zum Schutz von Geschäfts- und Betriebsgeheimnissen, sollten vertragliche Geheimhaltungsmaßnahmen durch arbeitsrechtliche Vereinbarungen, wie mit einer Verschwiegenheitsverpflichtung, aufgenommen werden. Ebenso ist es empfehlenswert Verschwiegenheitsvereinbarungen (Non-Disclosure Agreements) zu vereinbaren, die die Zeit nach dem Ausscheiden aus dem Unternehmen regeln. Sonst könnte der Arbeitnehmer diese für eigene Zwecke verwenden. Dabei ist zu beachten, nicht die Grenze zum nachvertraglichen Wettbewerbsverbot zu überschreiten, da sonst die Unwirksamkeit der Verschwiegenheitsverpflichtung droht.

Ob die Geheimhaltungsmaßnahmen angemessen sind, hängt vom Einzelfall ab und kann folgende Kriterien umfassen:

  • Wert des Geschäftsgeheimnisses und dessen Entwicklungskosten,
  • Bedeutung für das Unternehmen,
  • übliche Geheimhaltungsmaßnahmen im Unternehmen (Zugangssperren, Passwörter, IT-Sicherheitsmaßnahmen),
  • Art der Kennzeichnung der Information,
  • Verschwiegenheitsverpflichtungen mit Arbeitnehmern und Geschäftspartnern.

Denkbar ist, die Angemessenheit von Geheimhaltungsmaßnahmen nach den Kriterien der technischen und organisatorischen Maßnahmen des Art. 32 DS-GVO zu beurteilen.

Reverse Engineering

Ebenfalls im Gegensatz zur bisherigen Rechtslage in Deutschland legitimiert § 3 Abs. 1 Nr. 2 GeschGehG nun ausdrücklich das Reverse Engineering, also das Kopieren eines funktionierenden Produkts durch Beobachten, Untersuchen, Rückbauen oder Testen desselben. Der europäische Gesetzgeber will so – im Rahmen bestehender gewerblicher Schutzrechte wie Patent- oder Designrechte – den technischen Fortschritt fördern.  Für Unternehmen gilt damit besondere Vorsicht im Umgang mit Prototypen und Musterstücken und ob, wem und in welchem Umfang sie diese zur Verfügung stellen. 

Tatbestandslose Offenlegung

Besondere Beachtung verdient die Ausnahme des § 5 Nr. 2 GeschGehG. Dieser betrifft Whistleblower, also Hinweisgeber, die zur Aufdeckung einer rechtswidrigen Handlung oder eines beruflichen oder sonstigen Fehlverhaltens, ein Geschäftsgeheimnis erlangen, nutzen oder offenlegen, um das allgemeine öffentliche Interesse zu schützen und so nicht dem Tatbestand des § 4 GeschGehG unterfallen.

Problematisch ist hier die unpräzise Formulierung „Sonstiges Fehlverhalten“. Zwar wird der Rechtfertigungsgrund durch das Kriterium des allgemeinen öffentlichen Interesses eingeschränkt, trotzdem lässt sich befürchten, dass böswillige Mitarbeiter sogar Hinweise aus Rache oder anderen, wenig edlen Motiven veröffentlichen, um die neu gewonnene Straffreiheit auszunutzen.

Jedoch bietet die unpräzise Formulierung „Sonstiges Fehlverhalten“ auch dem Whistleblower keinen Freifahrtschein, da nicht abzusehen ist, wie ein Gericht im Einzelfall entscheiden wird und bei rechtswidrigem Verhalten seinerseits nicht eine hundertprozentige Straffreiheit erwarten kann. Sollte der Whistleblower jedoch in gutem Glauben gehandelt haben, ist er trotzdem durch die allgemeinen Irrtumsvorschriften geschützt.

Aber auch Journalisten werden von der Vorschrift des § 5 Nr. 2 GeschGehG geschützt. 

Empfehlungen für die Praxis

Unternehmen sollten überprüfen, ob ihre Geschäftsgeheimnisse ausreichenden Geheimhaltungsmaßnahmen unterliegen. Dazu muss zum einen eine sichere IT-Infrastruktur vorhanden sein, zum anderen müssen hinreichende Vertraulichkeitsverpflichtungen mit den Arbeitnehmern, sonstigen Dienstleistern und Geschäftspartnern ausformuliert sein.

Vor Inkrafttreten des Geschäftsgeheimnisgesetzes befanden sich Unternehmen bei Verstößen von Mitarbeitern gegen Geheimhaltungsmaßnahmen in der paradoxen Situation, dass sie zur gerichtlichen Durchsetzung von Sanktionen im Zweifelsfall vor Gericht die Inhaberschaft von Geschäftsgeheimnissen durch Preisgabe eben jener nachweisen müssen. Diese unbefriedigende Situation konnte dann nur durch den Verzicht auf gerichtliche Durchsetzung vermieden werden. Leider hat sich durch das neue Gesetz nichts an der Situation geändert, so dass der Gang vor Gericht wohl überlegt sein muss.

Um Mitarbeiter vom externen Whistleblowing abzuhalten, im Falle, dass das Unternehmen sich sonstiges Fehlverhalten zu Schulde kommen lässt, ist eine interne Whisteblowing-Strategie zu empfehlen, auch wenn dies keine hundertprozentige Sicherheit bietet. Dies kann sich jedoch noch durch die geplante EU-Whistleblower-Richtlinie ändern, da diese eine interne Meldung vorranging verlangt.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir beleuchten das Recht auf Datenportabilität aus Art. 20 DS-GVO und gehen unter anderem auf dessen Inhalt und praktische Bedeutung ein.

Neues Recht der Datenportabilität

Einführung

Mit der neuen Datenschutz-Grundverordnung (DS-GVO) haben Nutzer seit Mai 2018 die Möglichkeit, eigene Daten beim Wechsel eines Informationssystems zu übernehmen. Dieses Recht wird „Datenportabilität“ oder auch Datenübertragbarkeit genannt und findet in Art. 20 DS-GVO seinen Niederschlag.

Inhalt der Vorschrift

Nach Art. 20 DS-GVO können Betroffene die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format erhalten. Wenn die automatisierte Datenverarbeitung auf einer Einwilligung beruhte oder zur Durchführung eines Vertrages erfolgte, können Betroffene diese Daten einem anderen Verantwortlichen übermitteln und zwar ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden. Soweit technisch machbar, kann der Betroffene die Übermittlung direkt von einem für die Verarbeitung Verantwortlichen einem anderen Verantwortlichen für die Verarbeitung erwirken.

Voraussetzungen der Geltendmachung

Art. 20 DS-GVO setzt für die Geltendmachung des Rechts folgende Voraussetzungen voraus: Es muss sich um personenbezogene Daten im Sinne des Art. 4 Nr. 1 DS-GVO handeln, die dem Verantwortlichen bereitgestellt worden sind. Weiter muss die Verarbeitung der personenbezogenen Daten auf einer Einwilligung oder einem Vertrag beruhen und mithilfe automatisierter Verfahren erfolgen. Zweck der Einführung einer Datenportabilität ist die Stärkung der Kontrolle der Betroffenen über ihre personenbezogenen Daten, die automatisch verbreitet werden. Ebenso soll durch die Regelung die Mitnahme eingestellter Daten erleichtert werden.

Praktische Bedeutung

Die Meinungen über die neu eingeführte Datenportabilität gehen auseinander. Von Datenschützern wird die Änderung als ein „Meilenstein“ gesehen, indem sie mehr Rechtssicherheit auch für Unternehmer sowie für alle Marktteilnehmer gleiche Bedingungen schafft. Es geht um eine Anpassung des Datenschutzes an den Wandel des digitalen Zeitalters sowie eine Vereinheitlichung der Regelungen in den einzelnen Mitgliedstaaten der EU. Besonders aus der Wirtschaft hagelt es Kritik gegen die Vorschrift. Die Regelung sei zu vage und unklar formuliert und finde einen zu großen Anwendungsbereich. Ferner entstünden für alle betroffenen Unternehmen zusätzliche Kosten. Bezüglich der Datenportabilität wird eingewandt, dass der Nutzer nicht immer von seinem in Art. 20 DS-GVO eingeräumten Recht Gebrauch machen möchte. Zudem ziele der Gesetzgeber auf die Social Media Plattform „Facebook“ ab, wobei auch andere Unternehmen in den Adressatenkreis der Vorschrift fielen. Diese Kritik kann aber leicht beanstandet werden. Ein Anspruch ist ein Recht und eben keine bindende Verpflichtung für den Berechtigten. Er kann geltend gemacht werden, muss aber nicht. Ferner hat die Art.-29-Gruppe der europäischen Datenschutzbeauftragten bereits in ihrer Stellungnahme vom 13. Dezember 2016 den weitergefassten Anwendungsbereich der Datenportabilität thematisiert.

Probleme

Die neue Regelung bringt aber auch viele offene Fragen mit sich. Beispielsweise ist unklar, welche Schnittstellen und Datenformate die verschiedenen Diensteanbieter für die Datenportabilität zur Verfügung stellen sollen. Aus technischer Sicht ist einzuwenden, dass die meisten Diensteanbieter keine separaten Datenbanken für Rohdaten haben, was zur Aufdeckung von Kerntechniken und Geschäftsinformationen und somit zum Verstoß gegen geistige Eigentumsrechte und Geschäftsgeheimnisse führen könne. Grund dafür wäre, dass mit der Übermittlung der Daten auch detaillierte Hintergrundinformationen über die technische Einrichtung des ursprünglichen Verantwortlichen und die verwendeten Algorithmen transportiert werden können. Zudem ist noch nicht geklärt, wie kompatibel die untereinander übertragenden Dienste sein müssen. Probleme ergeben sich bei den unterschiedlichen Angeboten der Dienste. Ein Beispiel ist die Angabe des Geschlechts in sozialen Netzwerken. Während Facebook zwischen 60 verschiedenen Geschlechtern unterscheidet, tut Google+ es nur zwischen „männlich“, „weiblich“ und „unbestimmt“. Hier wäre die Datenportabilität praktisch nicht einfach umzusetzen und stellt die Diensteanbieter also vor große Probleme. Ein weiteres Problem ist die Konstellation in einem Drei-Personen-Verhältnis, wenn also etwa bei Kommunikationspartnern per Telefon oder E-Mail Daten von Dritten hinzukommen. Die Privatheit von Außenstehenden ist zu schützen, womit Datenschützer vermuten, dass die Diensteanbieter erst einmal alle Ordner nebst Inhalten eines Webmail-Services oder Listen von Anrufen herausgeben. Keinesfalls dürfe es aber zu einer Nutzung der Informationen für den Fall der Kundengewinnung durch die Kontaktliste Dritter kommen. Auch der Bundesverband für Informationswirtschaft, Telekommunikation und Neue Medien e.V. (bitkom) sieht die Daten Dritter bei der Geltendmachung personenbezogener Daten problematisch und fordert zur Erleichterung für die Entscheidung im konkreten Einzelfall detaillierte Ergänzungen. Als Beispiel kann der Begriff „Bereitstellung der Daten“ durch den Betroffenen genannt werden. Im Rahmen der Auslegung des Zwecks der Vorschrift, auch durch die Gesetzesbegründung der EU-Kommission ist die bessere Kontrolle über die Daten durch den Betroffenen maßgeblich, wonach es ausreichen sollte, lediglich die entsprechenden benötigten Daten zur Weiternutzung des neuen Dienstes zu transportieren. Bezüglich der praktischen Umsetzung wird bemängelt, dass die dafür benötigten technischen Standards für die unproblematische Ausübung des Rechts im Moment fehlen. Aufgrund des hohen dafür beanspruchten Zeitaufwands wird ein Vorliegen einer rechtzeitigen Lösung bis zum Inkrafttreten der Vorschrift als sehr unrealistisch gesehen. Standards seien gerade für den Anbieterwechsel innerhalb einzelner Sektoren wie Gesundheitswesen und Telekommunikation wichtig, um die Umsetzung der Datenportabilität zu vereinfachen. Um das Recht der Datenportabilität ausüben zu können, müsse allerdings zunächst die Identität der Betroffenen durch die Diensteanbieter geprüft werden. Das Verfahren einer Identitätsprüfung sei allerdings den Verantwortlichen bislang unbekannt. Auch das verdeutlicht wieder die Notwenigkeit eines möglichen Leitfadens der Aufsichtsbehörden zur allgemeinen Regelung des Authentifizierungsverfahrens.

Fazit

Zusammenfassend ist zu sagen, dass die Einführung der Datenportabilität das Datenschutzrecht wesentlich ändert. Die direkte Datenübermittlung spielt eine größere Rolle als zunächst für hauptsächlich die Social Media Plattformen vorgesehen, in dem auch kleinere Unternehmen unter den Anwendungsbereich der Vorschrift fallen. Befürwortet wird der vereinfachte Anbieterwechsel für Kunden und damit die Anpassung des Datenschutzrechts an das digitale Zeitalter. Probleme sind allerdings noch hinsichtlich der Umsetzung der Datenportabilität aus Gründen der Kapazitäten der Unternehmen zu sehen. Es wird sich zeigen, wie Unternehmen die volle Gewährleistung dieses Rechts sichern wollen. Bezüglich der einheitlichen und vereinfachten praktischen Umsetzung der Neuerung bleiben allerdings noch Leitlinien und Auslegungshilfen abzuwarten.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Die Verschlüsselung von E-Mails ist mit Blick auf die DS-GVO essenziell. Wir beleuchten nun die verschiedenen Verschlüsselungsmethoden.

Verschlüsselung von E-Mails

Einführung

Spätestens seit Anwendungsbeginn der DS-GVO am 25. Mai 2018 sollten Unternehmen auch im Zusammenhang mit der E-Mail-Kommunikation umfangreiche technische Sicherheitsmaßnahmen zum Schutze der Rechte und Freiheiten der von Datenverarbeitungen betroffenen Personen gewährleisten. Doch auch in Ansehung zu schützender Geschäftsgeheimnisse sollte zwingend angedacht werden, sich mit dem Thema der E-Mail Verschlüsselung auseinanderzusetzen. Schließlich kann der unverschlüsselte E-Mail Versand mit dem einer Postkarte verglichen werden. Nachfolgend wollen wir Ihnen in aller Kürze aus der Perspektive eines Rechtsanwalts darstellen, welche Möglichkeiten hierzu bestehen. 

Kategorien von Verschlüsselungsmethoden

Es existieren zwei grundlegende Verschlüsselungsmechanismen: Punkt-zu-Punkt-Verschlüsselung/Transportverschlüsselung und Ende-zu-Ende-Verschlüsselung.

Vorauszuschicken ist, dass eine E-Mail nicht nur aus Daten in Form des versendeten Inhalts (Body) besteht, sondern auch umfangreiche Metadaten wie Absender und Empfänger, das Datum und den Betreff (Header) enthält.

Eine Punkt-zu-Punkt-Verschlüsselung verschlüsselt nur die einzelnen Abschnitte im Versandkanal, das heißt, von wem, wann und von wo die E-Mail versandt wurde. Das sind die Metadaten. Eine Verschlüsselung des E-Mail-Inhalts kann sehr aufwändig mithilfe einer Ende-zu-Ende-Verschlüsselung vorgenommen werden, wobei jedoch die Metadaten nicht verschlüsselt werden und weiter einsehbar bleiben. 

Punkt-zu-Punkt-Verschlüsselung/Transportverschlüsselung

Bei der Punkt-zu-Punkt-Verschlüsselung bei E-Mails lautet der aktuelle Standard TLS – entweder mit oder ohne STARTTLS. TLS ist der Nachfolger von SSL. Eine Verschlüsselung erfolgt hier jedoch nur auf Transportebene, das heißt, dass nur die Kommunikation zwischen zwei E-Mail-Servern verschlüsselt erfolgt. Die interne Weitergabe der E-Mail auf dem Server des Host-Providers der E-Mail an den Adressaten verläuft unverschlüsselt. STARTTLS dient nur der Einleitung einer mit TLS verschlüsselten Kommunikation. Zuerst beginnt die Kommunikation unverschlüsselt, indem der E-Mail-Client über STARTTLS die angebotenen Möglichkeiten des E-Mail-Servers anfragt. Erst dann erfolgt ein Aufbau einer verschlüsselten Verbindung.

Da die Kommunikation zwischen E-Mail-Client und E-Mail-Server unverschlüsselt abläuft, ist die Authentizität der E-Mail nicht gewährleistet. Dies kann durch Signieren korrigiert werden. Das Signieren muss im Client oder Browser aktiviert werden. Mithilfe eines Zertifikats wird dann festgestellt, ob die E-Mail tatsächlich vom angegebenen Absender stammt und auf dem Weg zum Empfänger nicht verändert wurde.

Für die Verschlüsselung auf Transportebene lässt sich auf die durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) erarbeiteten Richtlinie „BSI TR-03108: Secure E-Mail Transport“ zurückgreifen. Diensteanbieter können auf Grundlage dieser Richtlinie durch das BSI zertifiziert werden. 

Ein Problem bei STARTTLS ist, dass das Mailprogramm den unverschlüsselten Port aussucht und erst danach die Verschlüsselung benutzt. Dabei muss sich das Mailprogramm mit dem Server abstimmen. Ist das Mailprogramm so konfiguriert, dass es eine Verschlüsselung zwingend voraussetzt, können sich Server und das Mailprogramm nicht einig werden und die E-Mail wird unverschlüsselt übertragen.

Ende-zu-Ende-Verschlüsselung

Um auf Nummer sicher zu gehen, bedarf es einer Ende-zu-Ende-Verschlüsselung. Dabei haben sich zwei Verfahren etabliert: S/MIME und OpenPGP. Außerdem kann eine Ende-zu-Ende-Verschlüsselung in Form einer symmetrischen oder asymmetrischen Verschlüsselung erfolgen. Bei der symmetrischen Verschlüsselung besitzen Versender und Empfänger einen gemeinsamen Schlüssel (Single-Key-Verfahren). Dabei wird eine Information mit einem Kennwort verschlüsselt. Diese Information wird zusammen mit dem Schlüssel übertragen, z.B. PDF-Datei, ZIP-Archiv. Dieses Verfahren lässt sich jedoch mit hohem Rechenaufwand (Brute-Force-Attacke) aushebeln. Außerdem kann der Empfänger nicht überprüfen, von wem das Dokument stammt.

Von der Single-Key-Methode hebt sich Ende-zu-Ende-Verschlüsselung ab. Hierbei handelt es sich um eine asymmetrische Verschlüsselung (Public-Key-Verfahren), da Versender und Empfänger über jeweils einen individuellen Schlüssel verfügen. Das darauf basierende Verfahren heißt RSA. Im Falle der asymmetrischen Verschlüsselung müssen sowohl Sender als auch Empfänger gegenseitig ihre Schlüssel austauschen, was zugleich das größte Problem in der Praxis offenbart: Sämtliche Kommunikationspartner müssen vor Aufnahme der Kommunikation ihre öffentlichen PGP-Schlüssel austauschen. Mithilfe eines solchen Schlüssels lässt sich dann die Nachricht des jeweils anderen entschlüsseln und lesen. Das Dokument muss somit mit dem eigenen (private key) Schlüssel 1 verschlüsselt werden, um mit dem dazu korrespondierenden Schlüssel 2 (public key) – der zuvor dem Empfänger übermittelt werden muss – entschlüsselt werden zu können.

Cloud Mail

Neben den oben genannten Optionen existiert mit der Cloud-Mail ein weiteres Verfahren mit Ende-zu-Ende-Verschlüsselung. Dabei wird eine E-Mail nicht direkt an den Adressaten versendet, sondern in eine Cloud hochgeladen, zu der man sich mittels eines zuvor telefonisch übermittelten Passworts anmelden muss. Technisch bedingt können die Teilnehmer die Nachricht nur in diesem Portal lesen.

DS-GVO Vorgaben der Landesbeauftragten für Datenschutz NRW

In NRW empfiehlt der Landesbeauftragte für Datenschutz, die Einhaltung der von der DS-GVO geforderten technischen und organisatorischen Maßnahmen bezüglich des E-Mail-Versandes anhand mehrerer Punkte:

  • Es soll mindestens eine Punkt-zu-Punkt-Verschlüsselung verwendet werden.
  • Einhalten der Richtlinie BSI TR-03108.
  • Bei besonders sensiblen Daten muss eine Ende-zu-Ende-Verschlüsselung verwendet werden.
  • Keine personenbezogenen Daten innerhalb der Betreffzeile.

Eine länderübergreifende Empfehlung der Datenschutzkonferenz (DSK) steht noch aus.

Verschlüsselung im Unternehmen und Umsetzung in der Praxis

Wollen Sie wichtige Dokumente und Nachrichten schützen, empfiehlt sich eine Ende-zu-Ende-Verschlüsselung, damit keine unbefugten Dritten Ihre Dokumente lesen können. Besonders relevant ist diese Verschlüsselungsmethode, wenn sie wichtige Geschäftsgeheimnisse schützen möchten. Das Einrichten ist allerdings mit etwas Aufwand verbunden. 

Dabei empfiehlt sich beispielsweise die Installation des Programms Gpg4win. Anschließend muss ein neuer Schlüssel (Key) und ein dazu korrespondierendes Alias erstellt werden. Um Anonymität zu gewährleisten, sollten bei der Angabe der E-Mail-Adresse als auch des Alias neue Fantasie-Namen genutzt werden. Eine funktionsfähige E-Mail-Adresse wird nicht benötigt. Um nachher mit anderen Personen zu kommunizieren, muss der eigene Schlüssel weitergegeben werden und der öffentliche Schlüssel des Absenders einer verschlüsselten E-Mail importiert werden. Eine nutzerfreundliche Anleitung zur Verteilung öffentlicher Schlüssel hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt. Das Projekt heißt „EasyGPG“. Grundlage ist ein Web Key Directory (WKD), was die sonst bei PGP üblichen öffentlichen Key Server ersetzt. Das Web Key Directory muss vom E-Mail-Provider angeboten werden. Dabei durchsucht der E-Mail-Client das Web Key Directory automatisch nach dem zu einer E-Mail zugehörigen Schlüssel und stellt diesen anschließend per HTTPS bereit.

WKD ist in GnuPG seit Version 2.1.12 implementiert. Unter den E-Mail-Clients unterstützen Thunderbird mit der Erweiterung Enigmail 2.0 und Outlook mit GpgOL seit Version 2.2.0 das Web Key Directory.

Wenn Ihnen potentielle Einblicke Dritter egal sind, Sie jedoch nicht möchten, dass man mitverfolgen kann mit wem Sie kommunizieren, greifen Sie auf eine Punkt-zu-Punkt-Verschlüsselung zurück. Diese lässt sich einfach aktivieren; auf vielen Rechnern ist sie schon standardmäßig aktiviert. Verschlüsselte E-Mails erkennen Sie in Outlook an dem Schloss-Zeichen.

Fazit

Die Einrichtung einer Ende-zu-Ende-Verschlüsselung wäre das Optimum, um sicher Inhalte zu verschicken. In der Praxis steckt die Umsetzung bei vielen Nutzern aufgrund von Überforderung oder mangelnder Sensibilität, besonders aber auch aufgrund der jahrzehntelangen laxen Einstellung und fehlenden Standards seitens des Monopolisten bei PC-Betriebssystem im Umgang mit persönlichen Daten, noch in den Kinderschuhen.

Solange sich eine Ende-zu-Ende-Verschlüsselung noch nicht als Standard etabliert hat, empfiehlt sich für die Kommunikation vertraulicher Daten diese als Anhang einer E-Mail in eine externe Datei auszulagern (Z.B. PDF) und separat mit einem Kennwort zu verschlüsseln. Alternativ kann man auch personenbezogene Daten verschlüsselt auf sichere Cloudspeicher hochladen.

Die Datenschutzkonferenz (DSK) erarbeitet derzeit Empfehlungen zur datenschutzkonformen E-Mail-Kommunikation. Daher stehen die obigen Ausführungen unter dem Vorbehalt späterer Anpassungen an die Empfehlungen.

Gerne können Sie zur vertraulichen Kommunikation unseren PGP-Schlüssel erfragen.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Aktuell und heiß diskutiert: die Custom Lookalike Audiences. Hier erfahren Sie, was Lookalike Audiences sind, wie diese funktionieren und wie sie datenschutzrechtlich einzuordnen sind.

Facebooks Custom Lookalike Audiences und Datenschutz

Einführung: Custom Lookalike Audiences

Zur Steigerung der sogenannten persönlichen Reichweite gibt es das Instrument der Lookalike Audiences. Lookalike Audiences sind Zwillingszielgruppen und dienen der Neukundengewinnung. Ausgehend von der bestehenden Source Audience, also der Custom Audience aus Pixel-Daten oder Fans der Unternehmens-Fanpage, kann man nun eine neue Audience erstellen, die der Source Audience in demografischen Daten und Interessen ähnelt. Personen, mit denen noch keine geschäftliche Kontakte bestanden, die jedoch ein ähnliches Interessenprofil wie Bestandskunden haben, sollen daher durch Anzeigen als potentielle Kunden gewonnen werden.

Diese Zielgruppenfunktion ist aber nicht nur auf Facebook begrenzt, sondern kann vielmehr auch auf anderen Social Media-Kanälen wie beispielsweise Instagram angewandt werden. Wichtig ist, dass nur dann eine Lookalike Audience erstellt werden kann, wenn man „Inhaber“ der Ausgangsquelle, der sogenannten Source Audience, ist.

Unabhängig von der konkreten Zielsetzung können Lookalike Audiences vielfach eingesetzt werden, wie beispielsweise um mehr Käufe, Downloads oder Traffic zu generieren. Dabei steht dem Ersteller der Lookalike Audiences ein großer Spielraum zu. Nach Angabe der Source Audience bestimmt der Ersteller den Ort, auf den abgezielt werden soll, und danach die Größe seiner Zielgruppe. Jedoch wird die Ähnlichkeit der Profile proportional zu einer ansteigenden Größe der Reichweite geringer.

Viele Werber greifen auf dieses Instrument zum Marketing zurück, um Werbekosten durch Steuerverluste zu senken, indem gezielt Personen mit einem vermuteten Interesse an der Werbung beworben werden.

Facebook Custom Audience über die Kundenliste

Die am häufigsten verwendete Methode der Facebook Lookalike Audiences funktioniert über die Kundenliste. Der Werbende verwendet eine Liste mit Kundendaten wie der E-Mail-Adresse als Grundlage der Lookalike Audience. Dafür lädt er diese bei Facebook hoch, indem die Daten der Kunden im Browser durch das Verfahren „Secure Hash Algorithm 256“ gehasht und anschließend verschlüsselt an Facebook übermittelt werden. Dort kommt es zu einem Abgleich der Hashwerte durch Facebook mit vorhandenen Nutzerdaten. Zusätzlich erlangt Facebook Kenntnis von der Nutzung der sozialen Medien einzelner Betroffener. Nun werden die Übereinstimmungen zu einer Custom Audience zusammengefasst und für den Werbenden gespeichert.

Facebook Custom Audience Pixel-Verfahren

Neben der Möglichkeit der Erstellung einer Lookalike Audience mittels Kundenliste steht Werbenden noch die Alternative des Pixel-Verfahrens zur Verfügung. Bei diesem Verfahren ist die Webseite der Ausgangspunkt. Der Seitenbetreiber verwendet einen unsichtbaren Pixel, indem er ihn als Code auf die Webseite einbindet. Dieser Pixel erkennt Wiederkehrer und erstellt von ihnen ein pseudonymes Nutzungsprofil, wodurch Facebook die Besucher der Webseite erkennt und ihnen künftig Werbeanzeigen des Webseiten-Inhabers anzeigt.

Datenschutzrechtliche Einordnung

Bei der rechtlichen Einordnung der Custom Lookalike Audiences ist eine differenzierte Ansicht nach den verschiedenen Verfahren vorzunehmen.

Das Pixel-Verfahren

Das Pixel-Verfahren ist aus datenschutzrechtlicher Hinsicht im Ergebnis nicht als rechtswidrig einzuordnen. Im Datenschutzrecht gilt allgemein das Prinzip des Verbots mit Erlaubnisvorbehalt: danach ist eine Datenverarbeitung grundsätzlich immer rechtswidrig, es sei denn die Verarbeitung geschieht im Rahmen einer rechtlichen Erlaubnis. Bislang wurde vertreten, dass es unter die Erlaubnisnorm § 15 Abs. 3 Telemediengesetz (TMG) fällt. § 15 Abs. 3 TMG erlaubt Dienstanbietern die Erstellung pseudonymer Nutzungsprofile für Zwecke der Werbung, Marktforschung oder bedarfsgerechten Gestaltung von Telemedien. Allerdings hat der Betroffene ein Widerspruchsrecht in Bezug auf die Nutzung seiner Daten, über das er informiert werden muss. Dafür ist eine Opt-Out-Lösung im Rahmen der Datenschutzerklärung heranzuziehen, um dem Betroffenen einen Widerspruch zu ermöglichen.

Folgende Inhalte muss der Hinweis über die Custom Audiences enthalten:

  • Zweck der Datenverarbeitung
  • Art der betroffenen personenbezogenen Daten
  • Rechtsgrundlage der Datenverarbeitung (Art. 6 Abs. 1 lit. f) DS-GVO)
  • Benennung des berechtigten Interesses
  • Einsatz eines Tracking-Verfahrens
  • Möglichkeit eines Opt-Out-Verfahrens

Jedoch liegt folgende Problematik vor: Ursprünglich wollte der europäische Gesetzgeber neben der DS-GVO am 25. Mai 2018 auch die ePrivacy-VO einführen. Dadurch bezweckte er ein einfacheres Zusammenspiel der aktualisierten europäischen Regelungen im Rahmen des Datenschutzrechts und der elektronischen Kommunikation. Allerdings blieb die ePrivacy-VO im Gesetzgebungsstadium aufgrund politischer Differenzen stecken.

Die ePrivacy-VO wird die ePrivacy-Richtlinie ablösen, welche wiederrum durch die nationalen Gesetze Telemediengesetz und Telekommunikationsgesetz umgesetzt werden. Die ePrivacy-VO entfaltet unmittelbare Wirkung, jedoch herrscht bislang noch ein Schwebezustand. Unternehmen stehen vor der Frage, ob neben der DS-GVO auch das TMG zu beachten ist. Nur dann kann § 15 Abs. 3 TMG eine Erlaubnisnorm für das Pixelverfahren darstellen.

Exkurs: Anwendbarkeit des Telemediengesetzes

Hinsichtlich des Telemediengesetzes kann festgestellt werden, dass der Gesetzgeber keine Änderungen am TMG vorgenommen hat, womit das Gesetz in erste Linie in Kraft bleibt.

Das Beratungsorgan der Datenschutzaufsichtsbehörden in Deutschland, die Datenschutzkonferenz (DSK), hat nun zu dieser Problematik Stellung genommen:

Die DS-GVO genießt Anwendungsvorrang. Die datenschutzrechtlichen Regelungen aus dem TMG könnten aufgrund von Kollisionsvorschriften, Umsetzungsauftrags oder einer Öffnungsklausel aus der DS-GVO vorrangig anwendbar sein. Art. 95 DS-GVO ist eine Kollisionsregel der DS-GVO zur ePrivacy-VO, womit die Grundsätze der ePrivacy-Richtlinie weiterhin gelten können. Diese Kollisionsregel findet nach Auffassung der DSK aber nicht auf den 4. Abschnitt des TMG Anwendung. Grund dafür ist, dass der 4. Abschnitt Umsetzungsregelungen der inzwischen aufgehobenen Datenschutzrichtlinie enthält und damit bereits durch den Anwendungsbereich der DS-GVO reformiert wurde. In der Konsequenz können die §§ 12, 13 und 15 TMG nicht mehr angewandt werden. §§ 12 ff. TMG regeln die Beurteilung der Rechtmäßigkeit der Reichweitenmessung und des Einsatzes von Tracking-Mechanismen. Diese Lücke wird nicht durch entsprechende Anwendung der ePrivacy-Richtlinie geschlossen, ferner greift nur die DS-GVO. Mithin ist taugliche Rechtsgrundlage für eine Datenverarbeitung somit Art. 6 Abs. 1 DS-GVO. Auch gelten die Grundsätze für die Datenverarbeitung nach Art. 5 DS-GVO verbindlich.

Tracking-Mechanismen dienten der Untersuchung von Nutzern im Internet oder der Erstellung von Nutzerprofilen, darunter fiele auch der Einsatz von Cookies. Würden Tracking-Mechanismen eingesetzt, bedürfe es nach neuster Ansicht der DSK aufgrund der unmittelbaren Geltung der DS-GVO auf Verarbeitungen der elektronischen Kommunikation einer DS-GVO-konformen Einwilligung des Betroffenen. Nach Art. 7 DS-GVO müsse der Betroffene die Einwilligung abgeben, bevor es zur Datenverarbeitung komme und zu diesem Zweck umfassend informiert werde.

Danach sollte die Verarbeitung derzeit nicht mehr auf § 15 Abs. 3 TMG gestützt werden.

Kritik an dieser Auffassung

Allerdings ist der gezogene Schluss der DSK nicht unproblematisch. Die bloße Anwendbarkeit der DS-GVO bedeutet nicht zwingend, dass eine Datenverarbeitung nur auf eine rechtskonforme Einwilligung nach Art. 7 DS-GVO gestützt werden kann. Vielmehr könnte eine Datenverarbeitung von einem anderen Rechtfertigungsgrund wie Art. 6 Abs. 1 lit. f) DS-GVO getragen werden. Danach ist eine Datenverarbeitung zur Wahrung von berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Maßgeblich ist also, ob der Einsatz von Cookies und anderen Tracking-Mechanismen von einem berechtigten Interesse gerechtfertigt werden kann. Der Begriff des berechtigten Interesses wird weit gefasst, so dass Direktwerbung und Marktforschung darunter fallen. Jedoch ist bislang unklar, ob für die Wahrung dieser Interessen auch die Verwendung von Werbe-Tools erforderlich ist oder nicht vielmehr ein milderes Mittel gleich geeignet ist. Diesbezüglich ist die Rechtslage noch unsicher. Nach Auffassung der DSK überwiegen bei einer Abwägung der Interessen beider Parteien stets die Betroffeneninteressen, sodass Art. 6 Abs. 1 lit. f) DS-GVO effektiv gesehen nicht eingreift und somit keine Rechtsfertigungsnorm darstellt.

Für die rechtssichere Verwendung der Nutzerdaten für das Pixel-Verfahren bedürfte es entsprechend einer informierten Einwilligung. Diese müsste idealerweise bereits bei Erheben des Datums eingeholt werden.

Das Listen-Verfahren

Bei den Custom Lookalike Audiences mittels Listen-Verfahrens hingegen sieht es etwas anders aus: eine Erlaubnisnorm greift hier nicht ein, sodass der Webseitenbetreiber auf eine rechtskonforme Einwilligung zur Datenverarbeitung angewiesen ist. Anderenfalls ist die Datenverarbeitung nicht gerechtfertigt. Widerruft der Betroffene also seine Einwilligung, so entfällt damit die Rechtsgrundlage, die Datenverarbeitung darf nicht weiter vorgenommen werden, der Nutzer ist von der Kundenliste zu streichen und Facebook über den Widerruf zu informieren.

Auch im Übrigen stellen sich in Bezug auf das Listen-Verfahren mehrere Fragen. Die bayerische Datenschutzbehörde ist der Auffassung, dass das verwendete SHA-265-Verfahren, mittels dem personenbezogene Daten gehasht und verschlüsselt an Facebook gesendet werden, kein geeignetes Anonymisierungsverfahren darstellt. Ein Anonymisierungsverfahren macht datenschutzrechtlich gesehen nur dann Sinn, wenn durch das Verfahren ausgeschlossen werden kann, dass die einzelnen Daten einer natürlichen Person zugeordnet werden können. Bei dem SHA-265-Verfahren kann dies aber nicht gewährleistet werden, da weiterhin trotz Hashing ein Rückschluss auf einen konkreten Nutzer von Facebook möglich ist. Facebook benutzt hinsichtlich der Verschlüsselung der E-Mail-Adressen von Facebook-Nutzern und denen der Custom Audience das gleiche Verfahren, so dass durch einen Vergleich der Hashwerte festgestellt werden kann, welcher Facebook-Nutzer auch Kunde in der Custom Audience ist. Diese Feststellung des Personenbezugs stellt also gerade keine Anonymisierung dar. Auch befürchtet die Datenschutzbehörde eine mögliche Zurückrechnung des Klartexts mittels der Brute-Force-Methode, wodurch die personenbezogenen Daten für Facebook letztendlich nicht verschlüsselt sind. Dass damit kein ausreichender Datenschutz gewahrt wird, ist offensichtlich.

Und was nun?

Festzuhalten bleibt, dass die Custom Lookalike Audiences datenschutzrechtlich nicht unproblematisch sind. Während die DSK kürzlich noch der Auffassung war, es bedürfe in Bezug auf das Pixel-Verfahren keiner Einwilligung als Rechtfertigungsgrund, so änderte sie ihre Meinung mit Veröffentlichungen wie „EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreiber“ und „Zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018“ und sieht nun sowohl in Bezug auf das Listen-Verfahren, als auch auf das Pixel-Verfahren das Erfordernis einer DS-GVO-konformen Einwilligung.

Zwar strahlt die Auffassung der DSK keine rechtliche Bindungswirkung aus, allerdings ist sie auch nicht zu unterschätzen. Die Gerichte orientieren sich an den Einschätzungen der Aufsichtsbehörden und weichen nicht wesentlich von ihnen ab.

Bei der Nutzung von Custom Audiences sollte der Betroffene über deren Einsatz jedenfalls in der Datenschutzerklärung informiert werden. Während bei der Verwendung des Listen-Verfahrens eine Einwilligung des Betroffenen vorliegen muss, liegt in Bezug auf das Pixel-Verfahren bislang noch kein Erfordernis vor.

Das EuGH-Fanpage-Urteil

Nicht nur die Facebook Custom Lookalike Audiences sind aus der Perspektive des Datenschutzrechts höchst interessant, sondern auch das Urteil des EuGH in Bezug auf eine Fanpage auf Facebook sorgte für Aufmerksamkeit. Hintergrund des Rechtsstreits ist, dass weder der Betreiber einer Fanpage über Facebook noch Facebook Ireland Ltd selber den Nutzer der Fanpage über die von Facebook vorgenommenen Datenverarbeitungen in Form des Setzen von Cookies und der damit verbundenen Datenerhebung informiert haben. Der EuGH entscheid nun im Rahmen eines Vorabentscheidungsersuchens, dass der Betreiber der Fanpage neben Facebook mitverantwortlich für die Datenverarbeitung ist.

Eine gemeinsame Verantwortlichkeit von Dienstanbietern für Verarbeitungen personenbezogener Daten regelt Art. 26 DS-GVO. Konsequenz dessen ist die gemeinsame Haftung beider Verantwortlicher, sodass sie zusammen eine Vereinbarung zur Erfüllung ihrer Pflichten, wie beispielsweise der Informationspflichten, abschließen müssen. Danach müsste Facebook dem Fanpage-Betreiber diverse Informationen über die Datenverarbeitungen offenlegen, damit letzterer seinen Informationspflichten nachkommen kann. Inwiefern Facebook die Fanpage-Betreiber letztendlich dahingehend unterstützen wird, bleibt abzuwarten.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir gehen darauf ein, welche Gefahren Messenger-Apps wie WhatsApp auf betrieblichen Smartphones mit sich bringen.

Messenger-Dienste auf betrieblichen Smartphones

Einführung

Im Zeitalter der Digitalisierung lösen internetbasierte Instant-Messenger-Dienste wie WhatsApp die früher so beliebte SMS nahezu vollkommen ab. Momentan nutzen rund 1,5 Milliarden Menschen weltweit WhatsApp. Allein diese Zahl verdeutlicht, wie alltagstauglich internetbasierte Messenger-Dienste geworden sind. Doch Messenger-Dienste spielen nicht nur im Privatleben der Menschen eine Rolle, sondern vermehrt auch im beruflichen Alltag. Mit der Bereitstellung eines beruflichen Smartphones vom Arbeitgeber sind die Kommunikationsplattformen auch dort zu einem festen Bestandteil geworden. Aber Achtung: diese Dienste sind aus datenschutzrechtlicher Sicht mit Vorsicht zu genießen.

Vorteile der Nutzung von WhatsApp auf dem betrieblichen Smartphone

WhatsApp ist ein Instant-Messenger-Dienst und wird zum Austausch von Textnachrichten, Bild-, Video- und Ton-Dateien aber auch Kontaktdaten, Dokumenten und Standortinformationen genutzt. Als deutschlandweit eine der meist genutzten Apps und mehr als 1,5 Milliarden Nutzern weltweit ist der Messenger-Dienst auch in der unternehmerischen Nutzung sehr beliebt. Arbeitgeber koppeln häufig ein betriebliches Smartphone mit einer erlaubten Privatnutzung oder fördern die Verwendung privater Smartphones zu unternehmerischen Zwecken, damit das für den Arbeitnehmer attraktiver ist. Neben WhatsApp zählen auch Outlook oder andere E-Mail-Clients zu den genutzten Diensten auf einem betrieblichen Smartphone.

Probleme, die WhatsApp mit sich bringt

So attraktiv die Nutzung von WhatsApp auf dem betrieblichen Smartphone ist, so viele Probleme bringt sie jedoch auch mit sich. Bereits im Frühjahr 2017 kam das Amtsgericht Bad Hersfeld (Beschl. v. 20.03.2017, Az. F 111/17) zu dem Ergebnis, dass Nutzer von WhatsApp durch die Funktionsweise der fortlaufenden Datenübermittlung von Kontaktdaten aus dem Smartphone-Adressbuch an das US-Unternehmen ohne die Einholung einer Erlaubnis der Kontaktpersonen aus dem Adressbuch gegenüber diesen Personen eine deliktische Handlung begehen.

Zugriff auf das Adressbuch

Datenschutzrechtliche Probleme bringt bereits die Kernfunktionsweise von WhatsApp mit sich. Stimmt der Nutzer den Nutzungsbedingungen von WhatsApp zu, so erstellt WhatsApp eine Liste mit allen Kontakten aus dem Adressbuch des Smartphones. Diese Liste wird mit den bereits auf dem WhatsApp-Server befindlichen Kontakten abgeglichen. Damit gewährt der Nutzer WhatsApp einen Zugriff auf sowohl die Kontakte, die selbst auch die Plattform nutzen, als auch solche, die es nicht tun. Faktisch führt diese Vorgehensweise zu einer Zwangsvernetzung. Zwar hat der Nutzer eingewilligt, dass WhatsApp auf sein Adressbuch zugreift, problematisch ist jedoch, dass die Einwilligung der Personen fehlt, deren Daten sich im Adressbuch befinden, die aber noch nicht mit WhatsApp vernetzt sind.

Nach dem Grundsatz des Verbots mit Erlaubnisvorbehalt bedarf es im betrieblichen Umfeld für die Übermittlung der Kontaktdaten an einen in den Vereinigten Staaten von Amerika befindlichen Server eines Erlaubnistatbestandes nach Art. 6 und 44 ff. DS-GVO. Eine Rechtsgrundlage zur Übermittlung der Kontaktdaten wird aufseiten des WhatsApp Nutzers nur dann nicht benötigt, wenn dieser den Messenger rein im privaten Umfeld nutzt. Denn nach Art. 2 Abs. 2 lit. c) DS-GVO findet die Datenschutz-Grundverordnung dann keine Anwendung, wenn die Verarbeitung durch eine natürliche Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten erfolgt (so auch schon § 1 Abs. 1 S. 2 BDSG a. F.).

Soweit die Ausnahme nach Art. 2 DS-GVO nicht einschlägig ist, kommt für die Verarbeitung der Kontaktdaten nach überwiegender Auffassung allein die Einwilligung der Betroffenen in Betracht. Für eine solche wirksame Einwilligung gilt es allerdings, den Betroffenen über die vollständigen Verarbeitungsvorgänge zu informieren sowie die Betroffenenrechte umsetzen zu können. Mangels Kenntnis der Datenübertragung liegt die Einwilligung des Betroffenen jedoch denkbar fern, womit der Zugriff auf das Adressbuch eine rechtswidrige Handlung darstellt, wofür ggf. der Arbeitgeber des Nutzers, welcher WhatsApp den Zugriff gewährt, einzustehen hat.

Das AG Bad Hersfeld lehnte in oben zitiertem Beschluss die Einordnung dieser Zugriffsmöglichkeit als Verletzungshandlung nach dem Bundesdatenschutzgesetz (BDSG a.F) ab, da das BDSG a.F bei rein persönlichen Tätigkeiten nicht eingreift, vgl. § 1 Abs. 1 S. 2 BDSG a. F. Wird ein Smartphone und damit auch WhatsApp jedoch auch betrieblich genutzt, greift diese Ausnahme nicht ein und ein datenschutzrechtlicher Verstoß bleibt möglich. Unabhängig davon kann sich der Nutzer von WhatsApp nach § 823 Abs. 2 BGB in Verbindung mit dem informationellen Selbstbestimmungsrecht aus Art. 1 Abs. 1 iVm. Art. 2 Abs. 1 GG schadensersatzpflichtig machen. Das informationelle Selbstbestimmungsrecht ist eine Ausprägung des verfassungsrechtlich geschützten allgemeinen Persönlichkeitsrechts und umfasst das Recht des Einzelnen, über die Preisgabe und Verwendung seiner persönlichen Daten selbst zu bestimmen. Der deliktische Anspruch aus § 823 Abs. 2 BGB iVm. einem Schutzgesetz ist auch nicht von § 7 BDSG-alt gesperrt (vgl. BT-Drs. 14/4458). Zudem kann der Nutzer keine Ausführungen zu den konkreten Datenverarbeitungen machen und damit nicht die Betroffenenrechte aus der Datenschutz-Grundverordnung (DS-GVO) wie beispielsweise das Auskunftsrecht nach Art. 15 Abs. 1 DS-GVO erfüllen.

Des Weiteren speichert WhatsApp auch alle Metadaten. Das sind Informationen darüber, wer mit wem wann mit welcher Speichergröße und welcher Art kommuniziert hat.

Datenverarbeitungen durch WhatsApp

Zunächst empfängt die WhatsApp Ireland Limited die gespeicherten Daten. Von dort aus werden die Daten zunächst intern mit den Facebook-Unternehmen geteilt, denen WhatsApp seit 2014 unterliegt. Zu guter Letzt verlässt ein Teil der Daten das Unternehmen und nimmt den Weg zu externen Partnern von Facebook auf. Hier kommt es auch zu Datenübermittlungen außerhalb der EU in Drittländer, wo sie wiederum verarbeitet und gespeichert werden.

Verantwortlichkeit bei einem Geschäftshandy

Grundsätzlich liegt die Verantwortlichkeit in datenschutzrechtlicher Hinsicht bei dem Nutzer des Messenger-Dienstes. Danach könnte also der Arbeitnehmer für die Einhaltung des Datenschutzrechts verantwortlich sein. Stellt ein Arbeitgeber seinem Angestellten ein Geschäftshandy zur betrieblichen Verwendung zur Verfügung, so liegt die Verantwortlichkeit jedenfalls diesbezüglich nicht bei dem Nutzer des Smartphones, sondern bei dem Arbeitgeber. Dieser muss diverse datenschutzrechtliche Pflichten erfüllen und haftet im Falle eines Verstoßes gegen geltendes Datenschutzrecht. Aus diesem Grund sollte der Arbeitgeber sich bereits vor der Einführung von betrieblichen Smartphones über die datenschutzkonforme Nutzung der Geräte und der Kommunikationsmöglichkeiten informieren.

Besonderheiten können sich jedoch dann ergeben, wenn der Arbeitgeber dem Arbeitnehmer eine private Nutzung des betrieblichen Smartphones gestattet. Der Arbeitnehmer sollte auf Anweisung des Arbeitgebers die private von der betrieblichen Nutzung strikt trennen und mithilfe technischer Mittel wie beispielsweise einem Mobile Device Management die Trennung von privaten und betrieblichen Daten sicherstellen. Dies dient beispielsweise dem Zweck, dass zu betrieblichen Zwecken verarbeitete Kontaktdaten nicht übermittelt werden.

Dennoch haften primär Arbeitgeber gegenüber dem Betroffenen nach Art. 82 DS-GVO. Der Arbeitnehmer haftet dem Arbeitgeber gegenüber im Innenverhältnis nach den Grundsätzen des innerbetrieblichen Schadensausgleichs, in der Regel vollumfänglich jedoch nur im Falle von grober Fahrlässigkeit oder von Vorsatz.

WhatsApp Business – Die betriebliche Version von WhatsApp

WhatsApp Business ist ein für Unternehmen spezifizierter Kanal zur Kommunikation zwischen Händlern und ihren Kunden. Während es bislang unklar war, ob die Nutzung von WhatsApp nach den Lizenzbestimmungen auch zu geschäftlichen Zwecken gestattet war, bestehen nun im Hinblick darauf keine Unklarheiten mehr.

Im Unterschied zum „normalen“ WhatsApp kann in der Business-Version ein Profil des Unternehmens hinterlegt werden, das Unternehmen kann Chats in Kategorien wie beispielsweise Neukunden etc. sortieren, sowie automatische Antworten einrichten. WhatsApp Business ist lediglich kundenfreundlich gestaltet, hat sich datenschutzrechtlich gesehen aber nicht wirklich verändert. Der Nutzer des Messenger-Dienstes braucht nach wie vor eine rechtliche Grundlage für jede Datenverarbeitung. Diese kann in einer eingeholten DS-GVO-konformen Einwilligung des Kunden liegen, oder aber die Datenverarbeitung wird von einem anderen Rechtfertigungsgrund getragen. Greift kein Rechtsfertigungsgrund ein, handelt auch der Nutzer der Business-Version des Messenger-Dienstes unberechtigt und haftet. 

Handlungsmöglichkeiten

Datenschutzrechtliche Verstöße nach der DS-GVO werden streng geahndet und sollten daher nicht unterschätzt werden. Die drohenden Bußgelder können bis zu 20 Millionen Euro oder bis zu 4 % des weltweit erzielten unternehmerischen Umsatzes betragen. Aus diesem Grund verbieten bereits zahlreiche Unternehmen ihren Arbeitnehmern die Nutzung von Messenger-Diensten auf dem betrieblichen Smartphone. Wer auf WhatsApp und Co trotz der datenschutzrechtlichen Bedenken nicht verzichten kann, kann einen datenschutzrechtlichen Verstoß gegen die DS-GVO nur dann vermeiden, wenn die Kontaktdaten von Kunden nicht im Kontaktbuch eingetragen und gespeichert werden, sondern beispielsweise nur eine Speicherung in einem internen und verschlüsselten Container erfolgt. Eine alternative Handlungsmethode der Zugriffsverweigerung auf das Adressbuch durch WhatsApp hätte eine beeinträchtigende Funktionsweise zur Folge, indem anstelle des Namens der Kontaktperson nur seine Telefonnummer angezeigt wird oder der Nutzer bei Zugriffsverweigerung zum Zeitpunkt der Installation der App überhaupt keine Kontakte angezeigt bekäme und somit auf eine Kontaktaufnahme durch den Chatpartner warten müsste. Für jeden Anruf wäre die Telefonnummer des Kunden händisch einzutippen. Diese Lösung ist allerdings nicht sehr praktikabel, und in der Praxis bei einem großen Unternehmen mit vielen Kunden auch realistisch kaum umzusetzen.

WhatsApp ist aber nicht der einzige Messangerdienst auf dem Markt. Alternative Möglichkeiten stellen beispielsweise die Messanger Threema, Teamwire, Wire, Signal, Hoccer, Siilo, Beekeeper und SIMSme dar. Diese Dienste geben vor, die Kommunikationsdaten zu verschlüsseln  und im Anschluss, ohne sie abzufangen, zu löschen. Die Dienste unterscheiden sich in der konkreten Ausformung, stellen jedoch WhatsApp gegenüber den Nachteil dar, dass die Dienste in der Regel für die Nutzer kostenpflichtig sind, oder aber die Kommunikation nicht über die Telefonnummer des Kunden abläuft, sondern mittels einer eigen für den Dienst entwickelten ID. Im Einzelnen sind die Dienste jeweils auf einen bestimmten speziellen Markt ausgerichtet, wie zum Beispiel Siilo sich speziell an Ärzte, Kliniken und Zahnmediziner richtet und die sensiblen Patientendaten entsprechend behandelt.

Fazit

Zusammenfassend kann man sagen, dass die Benutzung von Messenger-Diensten datenschutzrechtlich nicht unproblematisch ist und daher ein hohes Haftungspotential mit sich bringt. Vorreiter der datenschutzrechtlich kritisiertesten Nachrichtendienste ist WhatsApp, durch welches sich der Nutzer einer hohen Gefahr der Haftung aussetzt. Bei der Bereitstellung eines betrieblichen Smartphones tritt an Stelle des App-Nutzers die Verantwortlichkeit des Arbeitgebers. Neben der ausreichenden Berücksichtigung des Beschäftigtendatenschutzes sollte der Arbeitgeber sich bereits im Vorfeld verschiedene technische Sicherungsmittel der Daten und sichere Kommunikationsmöglichkeiten überlegen. 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!