Kategorie: Datenschutz

Einführung

Seit 25. Mai 2018 gilt die neue Datenschutz-Grundverordnung (DS-GVO). Seitdem müssen Unternehmen alle Maßnahmen getroffen haben, die zur Umsetzung der Datenschutzgrundverordnung erforderlich sind. Hierzu zählt insbesondere die Erstellung eines Konzepts zur Löschung personenbezogener Daten. „Löschen“ bedeutet die Unkenntlichmachung gespeicherter personenbezogener Daten. In Art. 17 der DS-GVO verankert ist zudem das sog. Recht auf Löschung („Recht auf Vergessenwerden“), welches als eines der Hauptmotive für die Entstehung der DS-GVO gilt. In Ergänzung zur DS-GVO hat der nationale Gesetzgeber mit § 35 des neuen Bundesdatenschutzgesetzes (BDSG) Gebrauch von der in der DS-GVO vorgesehenen Öffnungsklausel gemacht. Allerdings gehen die Tatbestände des Art. 17 DS-GVO über die des § 35 BDSG hinaus. Unternehmen müssen nun also abhängig vom Ort der Verarbeitung prüfen, wann welche Daten einer Löschung bedürfen. Seit Mai können für die Nichteinhaltung dieser Pflicht Bußgelder von bis zu 4% des gesamten weltweit erzielten Jahresumsatzes oder bis zu 20 Millionen Euro angeordnet werden. Parallel können Betroffene nach Art. 82 Abs. 1 DS-GVO einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter haben. Die Umsetzung des Art. 17 DS-GVO ist damit auch vor dem Hintergrund der drohenden Konsequenzen im Falle der Nichtbeachtung unumgänglich.

Art. 17 Abs. 1 DS-GVO

Nach Art. 17 Abs. 1 DS-GVO hat die betroffene Person ein Recht auf Löschung ihrer personenbezogenen Daten, wenn eine der Voraussetzungen des Art. 17 Abs. 1 DS-GVO vorliegt. Dabei gilt das Recht auf Löschung als Kernrecht eines umfassenden Rechts auf Vergessenwerden (Abs. 2). Eine Löschung kann verlangt werden, wenn die Daten für den Zweck, für den sie erhoben wurden, nicht mehr notwendig sind (Art. 17 Abs. 1 lit. a). Ein Löschungsbegehren ist darüber hinaus auch dann begründet, wenn die betroffene Person ihre Einwilligung widerruft (Art. 17 Abs. 1 lit. b). Legt die betroffene Person Widerspruch gegen die Verarbeitung ein, so liegt auch dann ein begründetes Löschungsbegehren nach Art. 17 Abs. 1 lit. c DS-GVO vor, sofern keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen. Art. 17 Abs. 1 lit. a-c DS-GVO umfasst damit also Fälle, in denen eine ursprünglich rechtmäßige Datenverarbeitung rechtswidrig geworden ist.

Nach Art. 17 Abs. 1 lit. d DS-GVO ist eine unverzügliche Löschung vorzunehmen, wenn eine unrechtmäßige Verarbeitung der Daten erfolgt ist. Der Tatbestand der Unrechtmäßigkeit ist zu bejahen, wenn kein Rechtmäßigkeitsgrund iSv. Art. 6 bzw. Art. 9 DS-GVO vorliegt oder wenn die Datenverarbeitung aus anderen Gründen gegen die DS-GVO verstößt (Erwägungsgrund 65). Art. 17 Abs. 1 lit. d DS-GVO ist u.a. dann einschlägig, wenn die Verarbeitung den Grundsätzen von Treu und Glauben widerspricht.

Art. 17 Abs. 1 lit. f DS-GVO stellt eine Schutzregel zugunsten Minderjähriger dar. Demnach besteht ein Löschungsrecht, wenn die personenbezogenen Daten in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DS-GVO erhoben wurden. Art. 8 DS-GVO verweist dabei auf die Bedingungen für die Einwilligung eines Kindes iSd. Art. 6 Abs. 1 lit. a zur Datenverarbeitung im Zusammenhang mit Diensten der Informationsgesellschaft iSv. Art. 4 Nr. 25 DS-GVO.

Die Öffnungsklausel nach Art. 17 Abs. 1 lit. e DS-GVO

Auffällig ist die Öffnungsklausel nach Art. 17 Abs. 1 lit. e DS-GVO. Danach kann eine Löschung personenbezogener Daten aufgrund rechtlicher Verpflichtungen nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich sein. Öffnungsklauseln zeichnen sich dadurch aus, dass sie zwar einen entsprechenden Rahmen vorgeben, die konkrete Umsetzung wird aber weiterhin den Mitgliedsstaaten überlassen.

Die Löschpflichten des Art. 17 DS-GVO wurden durch den deutschen Gesetzgeber durch § 35 Abs. 1 und Abs. 3 BDSG modifiziert. Hiernach entfällt die Pflicht zur Löschung auch dann, wenn satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen.

35 BDSG (neu)

Das Recht auf Löschung ist ab dem 25. Mai 2018 auf nationaler Ebene im Bundesdatenschutzgesetz in       § 35 BDSG (neu) geregelt. Demnach besteht ein solches Recht lediglich dann nicht, wenn die Art der Speicherung nur mit unverhältnismäßigem Aufwand möglich ist und wenn das Interesse der betroffenen Person an der Löschung als gering anzusehen ist. Der Betroffene bleibt dann jedoch nicht rechtlos, sondern es kommt zu einer Sperrung der betroffenen Daten nach Art. 18 DS-GVO. § 35 Abs. 1 BDSG nimmt direkten Bezug auf die Ausnahmetatbestände des Art. 17 Abs. 3 DS-GVO. Eine Einschränkung der Verarbeitung soll vorliegen, wenn personenbezogene Daten in der Weise markiert sind, dass ihre künftige Verarbeitung eingeschränkt ist.

Eine besondere Herausforderung in der Praxis ist der richtige Umgang mit unstrukturierten Datensätzen wie E-Mail-Postfächern. Aufgrund der großen Datenmenge erfordert die Prüfung der Löschverpflichtung einen hohen personellen Aufwand. Jedoch müssen Unternehmen die Verfügbarkeit personenbezogener Daten gewährleisten können: Nach Art. 32 Abs. 1 lit. b DS-GVO muss die Herstellung eines Zugangs zu diesen Daten bei einem physischen oder technischen Zwischenfall jederzeit möglich sein. Hieraus resultiert eine gesetzliche Verpflichtung zur Erstellung von Backups. Eine Bewältigung des Problems ist nur durch eine umfassende und präzise Festlegung der Zwecke der Datenverarbeitungen möglich.

Auch im Rahmen des Umgangs mit E-Mails sind die Aufbewahrungspflichten zu beachten. E-Mails können unter anderem der Vorbereitung und Durchführung von Handelsgeschäften dienen und damit als Handelsbriefe zu qualifizieren sein. § 257 Abs. 1 Nr. 2 HGB sowie § 147 Abs. 1 Nr. 2 AO normieren insoweit eine Pflicht zum geordneten Aufbewahren. Ein bestimmtes Aufbewahrungsformat wird handelsrechtlich jedoch nicht vorgeschrieben.

Ausnahmen nach Art. 17 Abs. 3 DS-GVO

Von besonderer Relevanz sind gerade auch für Unternehmen die in Art. 17 Abs. 3 DS-GVO normierten Ausnahmen von Löschpflichten.

Nach Art. 17 Abs. 3 lit. a DS-GVO hat die betroffene Person keinen Anspruch auf Löschung, soweit die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich ist. Diese Norm weist somit auf eines der Hauptspannungsfelder im Bereich der Löschungsansprüche hin. Im Rahmen der bei Art. 17 Abs. 3 lit. a DS-GVO vorzunehmenden Abwägung ist das Verhältnis von Datenschutz und Meinungsfreiheit von Relevanz.

Weitere Ausnahmetatbestände sind in Art. 17 Abs. 3 lit. b bis e DS-GVO normiert. Nachfolgend liegt der Schwerpunkt auf Art. 17 Abs. 3 lit. b und Art. 17 Abs. 3 lit. e DS-GVO.

Art. 17 Abs. 3 lit. b DS-GVO

Eine weitere Ausnahme nach Art. 17 Abs. 3 lit. b DS-GVO stellt eine erforderliche Datenverarbeitung zur Erfüllung rechtlicher Pflichten nach dem Recht der Union oder der Mitgliedstaaten, zur Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe oder einer dem Verantwortlichen übertragenen Ausübung öffentlicher Gewalt dar. Art. 17 Abs. 3 lit. b DS-GVO enthält damit eine weitere Öffnungsmöglichkeit zu Gunsten der nationalen Gesetzgeber, einen Anspruch auf Löschung im jeweiligen Fall auszuschließen.

Es bestehen diverse Aufbewahrungspflichten nach deutschem Recht. Beispielsweise regelt  § 147 AO eine Aufbewahrungspflicht für steuerlich bedeutsame Unterlagen. Zu den wichtigsten aufbewahrungspflichtigen Unterlagen zählen somit Bücher, Aufzeichnungen, Inventare, Jahresabschlüsse, Lageberichte, Eröffnungsbilanzen, wie auch empfangene Handels- und Geschäftsbriefe, Buchungsbelege und sonstige Unterlagen, soweit sie für die Besteuerung von Relevanz sind. Unter die sonstigen Unterlagen aus § 147 Abs. 1 Nr. 5 AO fallen beispielsweise Prüfungsberichte, Preislisten und Handelsregister- und Grundbuchauszüge. Gemäß § 147 Abs. 1 Nr. 5 und Abs. 3 AO beträgt die Aufbewahrungsfrist sechs Jahre für alle für den Lohnsteuerabzug bedeutsamen Unterlagen. Nach § 140 AO wird die steuerrechtliche Aufbewahrungspflicht auch durch „andere Gesetze“ begründet. § 257 Abs. 1 HGB verweist beispielsweise auf die Unterlagen, die zwingend von jedem Kaufmann aufbewahrt werden müssen. Im Rahmen des HGB sind die Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse, Lageberichte als auch die empfangenen Handelsbriefe und Buchungsbelege als wichtigste aufbewahrungspflichtige Unterlagen zu nennen.

Art. 17 Abs. 3 lit. e DS-GVO

Ist die Verarbeitung personenbezogener Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich, so besteht gem. Art. 17 Abs. 3 lit. e DS-GVO ebenfalls kein Löschungsanspruch. Durch diese Vorschrift soll verhindert werden, dass die betroffene Person ihre Daten mit dem Ziel löscht, eine Rechtverfolgung von Dritten zu erschweren.

Restliche Ausnahmetatbestände

Nach Art. 17 Abs. 3 lit. c DS-GVO  liegt eine Ausnahme dann vor, wenn eine Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit nach dem Art. 9 Abs. 2 lit. h und i sowie Art. 9 Abs. 3 erfolgt.

Gemäß Art. 17 Abs. 3 lit. d DS-GVO ist der Ausnahmetatbestand auch dann erfüllt, sofern eine Verarbeitung erforderlich ist für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gem. Art. 89 Abs. 1. DS-GVO.

Logfiles

Grundsätzlich besteht aufgrund der mit der DS-GVO verstärkten Rechenschaftspflichten wie auch aufgrund allgemeiner Vorgaben aus der IT-Sicherheit eine Pflicht zur Dokumentation. Bei Logfiles (oder Protokolldatei) handelt es sich um Daten, die für einen bestimmten Zeitraum sämtliche Vorgänge in einem IT-System protokollieren, also Ereignisprotokolle in Textformat. Logdateien listen die durchgeführten Aktivitäten auf, wobei teilweise ein direkter Personenbezug besteht. Eine Erstellung von Logfiles erfolgt überall dort, wo eine Dokumentation von Vorgängen erforderlich oder gewünscht ist. Der große Vorteil von Logfiles besteht darin, dass beispielsweise im Falle einer fehlerhaften oder korrupten Datenübertragung die Ursache eines Fehlers herausgefunden und exakt bestimmt werden kann. Sind die Systeme beispielsweise von einem Virus infiziert, so kann die Analyse von Logfiles der rascheren Isolation befallener Sektoren dienen.

Löschungskonzept und Aufbewahrungsfristen

Gepaart mit den erweiterten Rechenschaftspflichten aus der DS-GVO ist es von nun an unabdingbar, ein unternehmensspezifisches Löschkonzept festzulegen. Unter einem Löschkonzept versteht man dabei eine Festlegung, anhand derer eine verantwortliche Stelle sicherstellt, dass ihre personenbezogenen Datenbestände rechtskonform gelöscht werden. Im Rahmen dieses Konzepts wird eine Festlegung von konkreten Speicher- bzw. Löschfristen vorgenommen. Resultierend aus dem Prinzip der Zweckgebundenheit sowie dem Gebot zur Datenminimierung folgt für verantwortliche Stellen die Pflicht, ohne Rechtfertigung vorgehaltene Daten aus ihren Systemen zu löschen. Grundsätzlich dient das Löschkonzept als Anleitung und Nachweis, wie und auf welche Weise innerhalb des Unternehmens datenschutzrechtliche Pflichten zur Löschung von personenbezogenen Daten rechtskonform erfüllt werden. Anknüpfend an die in der DS-GVO vorgesehenen Dokumentations- und Rechenschaftspflichten sollten vorgenommene Löschungen – freilich ohne Personenbezug – dokumentiert werden.

Im Rahmen der Anwendung des Löschkonzepts ist zwingend darauf zu achten, dass hierdurch keine für das Unternehmen relevanten Aufbewahrungspflichten verletzt werden. Die danach zu löschenden Daten werden vor der Löschung aus dem aktiven System an einem sicheren Ort außerhalb des aktiven Systems archiviert. Es wird sichergestellt, dass auf dieses Archiv nur die Geschäftsführung Zugriff hat, sofern diese ein berechtigtes Interesse an der Einsichtnahme hat.

Gewinnspiel im Unternehmen

Gewinnspiele sind legal, solange kein Verstoß gegen § 284 StGB vorliegt. Dies gilt im Unternehmen gleichermaßen wie im privaten Freundeskreis. Die Definition des Glücksspiels richtet sich nach § 3 Abs. 1 GlüStV, wonach ein „Glücksspiel“ vorliegt, „wenn im Rahmen eines Spiels für den Erwerb einer Gewinnchance ein Entgelt verlangt wird und die Entscheidung über den Gewinn ganz oder überwiegend vom Zufall abhängt. Die Entscheidung über den Gewinn hängt in jedem Fall vom Zufall ab, wenn dafür der ungewisse Eintritt oder Ausgang zukünftiger Ereignisse maßgeblich ist. Auch Wetten gegen Entgelt auf den Eintritt oder Ausgang eines zukünftigen Ereignisses sind Glücksspiele.“ Dabei ist in jedem Fall zu beachten, dass das Glücksspiel nicht öffentlich beworben werden darf. Es darf also nur im privaten Rahmen mit beschränktem Personenkreis stattfinden. In diesem privaten Rahmen darf es außerdem weder gewohnheitsmäßig noch gewerbsmäßig stattfinden. Das heißt, der Organisator darf keinen Gewinn einstreichen und alle Wetteinsätze müssen ausgezahlt werden. Gewohnheit liegt vor, wenn z.B. das Glücksspiel jede Woche am selben Tag stattfindet. Da Wetten ein reines Privatvergnügen darstellen, lassen sich gem. § 726 Abs. 1 BGB auch keine zivilrechtlichen Ansprüche daraus ableiten. Wettrunden, die alle zwei und oder alle vier Jahre im Rahmen der Fußball EM/WM stattfinden, gelten nicht als regelmäßig. Aber wenn die Compliance-Richtlinien des Unternehmens die Annahme von Geschenken verbieten, darf die Gewinnprämie nicht ausgezahlt werden. Dann gilt das Tippspiel unter Kollegen nämlich gerade nicht als Privatvergnügen. Insofern bietet es sich an, mit dem Segen der Geschäftsleitung als Unternehmen ein Tippspiel zu veranstalten. Die dafür häufig genutzte App Kicktipp bietet eigens ein Profipaket an, was eine Auftragsverarbeitungsvereinbarung gem. Art. 28 DS-GVO umfasst. Dieser bedarf es jedoch nur, wenn das Unternehmen ein Tippspiel auf der unternehmenseigenen Homepage implementieren möchte, um Kunden miteinzubeziehen. Für das Tippspiel rein unter Kollegen braucht man diese nicht, wenn sich jeder Mitarbeiter selbstständig über die App anmeldet.

WhatsApp Nutzung

Die Nutzung von WhatsApp als Messenger-Dienst wirft zahlreiche datenschutzrechtliche Fragen auf. Grundsätzlich nutzt WhatsApp nach eigenen Angaben seit April 2016 eine „Ende zu Ende“-Verschlüsselung. Jedoch werden dabei Metadaten gesammelt, z.B.: mit welchen Nutzern man kommuniziert, wie oft sich die Nutzer mit bestimmten Kontakten verbinden, wie lange die Nutzer einander Nachrichten schreiben etc. Dabei lässt WhatsApp völlig offen, wie diese verarbeitet werden und an wen diese übertragen werden. Wenn ein Unternehmen WhatsApp verwendet, um mit Kunden zu kommunizieren, kann es auch bei diesen Themen nicht das „Recht auf Information“ oder „Recht auf Vergessenwerden“ der DS-GVO erfüllen. Ein weiteres Problem ist, dass die meisten Nutzer das Backup ihrer WhatsApp-Nachrichten aktiviert haben. D.h. die Nachrichten werden je nach Endgerät in der Cloud von z.B. Apple oder Google als Backup gespeichert. Was die wenigsten Nutzer dabei wissen: Die Nachrichten werden dort entschlüsselt gespeichert. Dadurch könnten nicht nur Apple oder Google sondern auch amerikanische Sicherheitsbehörden auf diese Daten zugreifen. Außerdem lädt WhatsApp zum Abgleich der bei WhatsApp gespeicherten Telefonnummern das gesamte Telefonbuch auf den Server hoch. Dieser Abgleich der gespeicherten Informationen stellt eine Verarbeitung im datenschutzrechtlichen Sinne dar und bedürfte daher einer Einwilligung jedes Kontakts, die allerdings regelmäßig nicht vorliegt. Abgesehen davon kann ein ausreichender Schutz von Kundendaten auch deshalb nicht gewährleistet werden, da WhatsApp seine Server in den USA stehen hat und somit alle personenbezogenen Daten außerhalb der EU übertragen oder gespeichert werden, was dem Grundgedanken der DS-GVO zuwider läuft.

WhatsApp im Unternehmen

Kommunikation unter Mitarbeitern

Selbst wenn alle Mitarbeiter ihre Einwilligung erteilt haben, ist – datenschutzrechtliche Bedenken außen vor gelassen – eine betriebliche Nutzung nicht zu empfehlen, da eine betriebliche Kommunikation einen Verstoß gegen die AGB von WhatsApp darstellt, da diese nur die private Nutzung des Messengers erlauben.

Kommunikation mit Kunden

Auch bei der Kommunikation mit Kunden besteht erstmal grundsätzlich die Problematik der Einwilligung der Kunden zur Übermittlung der persönlichen Daten an WhatsApp. Selbst wenn diese vorliegen sollten, kann das Unternehmen, wie oben erwähnt, die Bestimmungen der DS-GVO nicht einhalten, da nicht bekannt ist wie Metadaten verarbeitet und an wen diese übertragen werden. Zusammenfassend ist klar, dass WhatsApp nicht den Datenschutzbestimmungen der DS-GVO entspricht und ein Unternehmen nicht konform ist, wenn es WhatsApp für geschäftliche Zwecke nutzt. Unternehmen sollten eine professionelle und sichere Enterprise Messaging App einsetzen. Auch WhatsApp Business ist, trotz seines klangvollen Namens, kein Allheilmittel dieser Probleme, da es zwar zusätzliche B2B und B2C-Services anbietet, jedoch aller Wahrscheinlichkeit nach weiterhin US-Server nutzt.

WhatsApp in der Schule

Auch bei der Nutzung von WhatsApp durch Lehrer in der Kommunikation mit Eltern und oder Schülern stellen sich die oben genannten Probleme. Lehrkräfte müssen stets unterscheiden, ob sie mit Betroffenen dienstlich oder privat kommunizieren. Rechtlich betrachtet ist die dienstliche Kommunikation eine Kommunikation der Schule, z.B. die Bekanntgabe von Noten oder Stundenausfall. Bei privater Kommunikation handelt die Lehrkraft dagegen für sich selbst, d.h. als Privatperson. Ein Beispiel für private Kommunikation wären z.B. Geburtstagsgrüße. Eine eindeutige Trennung kann sich kompliziert darstellen, weshalb in Zweifelsfällen von einer dienstlichen Kommunikation auszugehen ist. Kommuniziert eine Lehrkraft dienstlich, hat sie die besonderen datenschutzrechtlichen Vorgaben der Schulgesetze der Länder und insbesondere der DS-GVO zu beachten. Da durch den Abgleich der Kontakte mit den WhatsApp-Servern in den USA immer eine Verarbeitung i.S.d. DS-GVO vorliegt, ist eine DS-GVO-konforme Nutzung von WhatsApp im Schulbetrieb ausgeschlossen. Dabei ist unerheblich, ob Einwilligungen der Eltern für sich selbst, für Lehrer-Eltern-Gruppen oder für ihre Kinder, für Lehrer-Klassen-Gruppen vorliegen, da in jedem Fall die Verarbeitung durch WhatsApp nicht nachvollziehbar ist.

Mit Eltern

Außerdem kann, selbst wenn die Eltern der Mitgliedschaft in der „WhatsApp“-Gruppe zugestimmt haben, die Freiwilligkeit dieser Erklärung bezweifelt werden, da nicht auszuschließen ist, dass das Akzeptieren der Teilnahme an der „WhatsApp“-Gruppe mit der Befürchtung einherging, dass ihre Kinder ansonsten schulische Nachteile zu erleiden hätten.

Mit Schülern

Abgesehen von der datenschutzrechtlichen Problematik stellt sich die Frage in welchem Alter – 14, 16 oder 18 – die Schüler wirksame Einwilligungen erteilen können. Sinnvoll ist eine Einwilligung vertreten durch die Erziehungsberechtigten.

WhatsApp in der privaten Nutzung

Auch im Bereich der privaten Kommunikation ist zu berücksichtigen, dass Telefonnummern von Kontakten, die selber kein WhatsApp nutzen und somit keine Einwilligung gegeben haben, an dessen Server weitergegeben werden.

Fazit

Zusammenfassend lässt sich sagen, dass von einer Nutzung von WhatsApp außerhalb des privaten Bereichs abzuraten ist. Da Fax keine realistische Alternative darstellt, bleibt nur die klassische E-Mail oder alternative Messenger. Ein Messenger, der datenschutzrechtlich sicher sein soll, muss folgende Punkte erfüllen:

1. Keine Verarbeitung oder Speicherung von Daten außerhalb der Europäischen Union.

2. Daten eines Unternehmens sollten pseudonymisiert und stark verschlüsselt werden.

3. Keine Analyse und Sammlung von Metadaten.

4. Keine Speicherung des Adressbuchs, außer bei Einwilligung aller Kontakte eines Nutzers. Da das Einholen einer Vielzahl von Einwilligungen aufwändig ist, ist der Verzicht auf Speicherung des Adressbuchs sinnvoller.

5. Zugriff auf das Adressbuch sollte auf Basis von Einweg-verschlüsselten Werten (z. B. SHA256) erfolgen, die nicht wieder zurückverwandelt werden können und danach sofort von den Servern der Enterprise Messaging App gelöscht werden.

6. Ein Unternehmen und seine Mitarbeiter müssen der Enterprise Messaging App eine klare und bejahende Zustimmung zur Verarbeitung personenbezogener Daten geben.

7. Bereitstellung eines Archivs der gesamten Messaging-Kommunikation und Audit-Logs bereitstellen sowie Möglichkeit zur Archivdurchsuchung.

8. Transparenz der verwendeten personenbezogenen Daten: detaillierte Informationen zur Verfügung stellen, welche personenbezogenen Daten verwendet werden, warum die Nutzung erforderlich ist und was mit den Daten geschieht.

Diese Vorgaben erfüllen die Messenger Signal, Telegram, Viber und Threema bzw. Threema Work. Jedoch ist zu beachten, dass aufgrund kommender Regelungen in Bezug auf die Vorratsdatenspeicherung in der Schweiz sich Abweichungen zur DS-GVO ergeben könnten. Threema erwägt deshalb einen Umzug seiner Server. Möchte man als Unternehmen in der Kundenkommunikation einen Messenger nutzen, ist die Notwendigkeit einer Auftragsverarbeitungsvereinbarung / – vertrags zu beachten. Diesen bietet bislang explizit nur Threema Work an.

Fotografien

Bedeutung im Alltag findet die DS-GVO auch im Bereich der gewerbsmäßigen Personenfotografie. Hier stellt sich die Frage, ob §§ 22, 23 KUG als spezialgesetzliche Regelung i.S.d. Art. 85 Abs. 2 DS-GVO einzuordnen sind. In dem Fall ist DS-GVO-Konformität gewahrt. Räumt man jedoch der DS-GVO Anwendungsvorrang gegenüber dem KUG ein, muss die Rechtmäßigkeit der Datenverarbeitung nach Art. 6 DS-GVO gewahrt sein.

DS-GVO im Gesundheitswesen

Für die Verarbeitung von gesundheitsbezogenen Daten gilt die Definition aus Art. 4 Nr. 15 DS-GVO. Deren Verarbeitung ist gem. Art. 9 Abs. 1 DS-GVO untersagt, außer bei Vorliegen der Voraussetzungen aus Art. 9 Abs. 2 lit. a) – j) DS-GVO.

Einführung

Häufig haben Unternehmensgruppen, die international tätig sind und mit selbständigen Einheiten in unterschiedlichen Ländern auch außerhalb Europas agieren, ein großes Interesse daran, personenbezogene Daten der gesamten Unternehmensgruppe verfügbar zu machen. Für eine solche internationale Datenübermittlung kommen besondere Vorschriften der DS-GVO zum Tragen. Denn in der Regel wird der Transfer in mindestens ein Land erfolgen, in dem kein angemessenes Datenschutzniveau besteht, so dass der Transfer in die besagten Länder, einer weiteren Rechtfertigung bedarf, um die Mängel hinsichtlich des Datenschutzniveaus auszugleichen.

Zum einen kann eine Angemessenheitsentscheidung der Europäischen Kommission nach Art. 45 Abs. 3 DS-GVO ergehen, wie es im Falle des EU-US Privacy Shield passiert ist, wenn hinreichende Garantien bestehen, dass ein vergleichbares Schutzniveau im Drittland herrscht. Fehlt es an einem solchen vergleichbaren Schutzniveau, darf keine Angemessenheitsentscheidung getroffen werden und das entsprechende Land gilt als sog. Unsicherer Drittstaat. In diesem Fall kommen die Garantiemaßnahmen des Art. 46 Abs. 2 DS-GVO in Betracht. Zu nennen sind hierbei die Möglichkeit von rechtlich bindenden und durchsetzbaren Dokumenten zwischen den Behörden oder öffentlichen Stellen, Standarddatenschutzklauseln, die von der Kommission erlassen wurden, genehmigten Zertifizierungsmechanismen gem. Art. 42 DS-GVO oder verbindliche interne Datenschutzvorschriften, auf Englisch Binding Corporate Rules (BCR) genannt. 

Binding Corporate Rules vor der DS-GVO 

BCR sind Unternehmensrichtlinien, zu deren Einhaltung sich ein im Hoheitsgebiet der EU niedergelassener Verantwortlicher im Hinblick auf grenzüberschreitende Datenverarbeitung verpflichtet und die in der Form eines Gruppenvertrages alle einbezogenen Unternehmenseinheiten binden und für diese einen verbindlichen Datenschutzstandard schaffen. Auch vor der Normierung der Binding Corporate Rules in den Art. 46, 47 DS-GVO, wurde von diesem Instrument Gebrauch gemacht. Bereits 82 Unternehmen haben sich seit 2002 BCR von den Aufsichtsbehörden genehmigen lassen. Rechtlich gestützt waren diese Maßnahmen auf Art. 26 Abs. 2 DSRL, der jedoch keinen ausdrücklichen Hinweis auf diese Form einer Garantiemaßnahme zur Legitimation von Datenübermittlungen in Drittländer enthält. Mangels einer expliziten Nennung der BCR als zulässiges datenschutzrechtliches Instrument, griff der deutsche Gesetzgeber diese Möglichkeit in § 4 c Abs. 2 BDSG auf, während ganz im Gegenteil dazu in Portugal BCR überhaupt nicht als Übermittlungsgrundlage anerkannt waren. Angesichts dessen, ist die klare Normierung mit detaillierten Voraussetzungen zu Inhalt und Verfahren in der neuen DSGVO sehr praxisfreundlich ausgefallen. 

Voraussetzungen für zulässige BCR 

Art. 46 Abs. 1 DS-GVO gewährt eine Datenübermittlung in unsichere Drittstaaten, wenn der Verantwortliche geeignete Garantien vorsieht und dem Betroffenen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung gestellt werden. Diese Voraussetzungen gelten für alle Garantiemaßnahmen des Art. 46 Abs.2, während in Art. 47 DS-GVO zur Zulässigkeit von Binding Corporate Rules engere Voraussetzungen gezogen werden: Zum einen müssen die internen Datenschutzvorschriften für alle Mitglieder der Unternehmensgruppe bindend sein, dazu können vertragliche Vereinbarungen zwischen den Unternehmensteilen oder einseitige Erklärungen oder Verpflichtungen des Mutterunternehmens eingesetzt werden, allerdings müssen auch die Beschäftigten beispielsweise durch Verpflichtungen in Arbeitsverträgen mit bedacht und auf Einhaltung und Durchsetzung der BCR verpflichtet werden. Zum anderen müssen die betroffenen Personen ausdrücklich durchsetzbare Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten eingeräumt bekommen, das bedeutet, sie müssen verfahrensrechtliche Möglichkeiten eingeräumt bekommen, um die Einhaltung der BCR durch die Datenschutzbehörden oder durch Gerichte durchsetzen zu können. Als dritte Voraussetzung nennt Art. 46 Abs. 1 DS-GVO, dass die in Absatz 2 genannten Voraussetzungen eingehalten werden müssen. Unter den genannten 14 Voraussetzungen sind folgende Angaben aufgeführt, die in den verbindlichen internen Datenschutzvorschriften enthalten sein müssen: 

1. Struktur und Kontaktdaten der Unternehmensgruppe 
2. Detaillierte Informationen über die Datenübermittlung, einschließlich Zweck der Datenverarbeitung, Art der betroffenen Personen und betroffenes Drittland 
3. Interne und externe Rechtsverbindlichkeit der betreffenden internen Datenschutzvorschriften
4. Angaben zur Anwendung der allgemeinen Datenschutzgrundsätze 
5. Rechte der betroffenen Personen, Drittbegünstigungsklauseln 
6. Der Verantwortliche und die haftende Stelle muss erkennbar sein 
7. Informationspflichten über Art und Umfang der Betroffenenrechte 
8. Aufgaben des Datenschutzbeauftragten oder einer anderen überwachenden internen Stelle 
9. Beschwerdeverfahren 
10. Bestehende Verfahren zur Überprüfung der Einhaltung der BCR 
11. Verfahren für die Meldung und Erfassung von Änderungen der Vorschriften und ihre Meldung an die Aufsichtsbehörde 
12. Verfahren für die Zusammenarbeit mit den Aufsichtsbehörden 
13. Meldeverfahren an zuständige Aufsichtsbehörde über nachteilige rechtliche Bestimmungen in einem Drittland 
14. Geeignete Datenschutzschulungen für Personal mit ständigem oder regelmäßigem Zugang zu personenbezogenen Daten
    
    

Genehmigungsverfahren 

Sind all diese Voraussetzungen erfüllt, können die Durchführungsrechtsakte nach einem erfolgreichen Prüfverfahren nach Art. 93 Abs.2 DS-GVO seitens der Europäischen Kommission erlassen werden. Wird der Durchführungsrechtsakt mittels einer befürwortenden Stellungnahme und damit einer Zustimmung der Kommission erlassen, sind alle Aufsichtsbehörden der Mitgliedstaaten durch das in Art. 63 DSGVO niedergelegte Kohärenzverfahren dazu verpflichtet die Binding Corporate Rules anzuerkennen. Dies dient der einheitlichen Rechtsanwendung und der Harmonisierung des europäischen Datenschutzrechts. 

Bewertung der Binding Corporate Rules 

Auffälligster Vorteil der Binding Corporate Rules ist die einheitliche Ausgestaltung in allen betroffenen EU-Mitgliedstaaten, sodass Unternehmen nicht mehr sog. Forum Shopping betreiben und von einem niedrigeren Datenschutzniveau anderer Länder profitieren können. Außerdem macht die anfängliche Genehmigung der BCR durch die Kommission, weitere Genehmigungen einzelner Datenübermittlungen überflüssig, sodass Prozesse unbürokratischer und schneller gestaltet werden können. Insbesondere negativ für die Unternehmen fällt auf, dass das Genehmigungsverfahren sehr umfangreich und zeitintensiv ausfällt. Da die Kommission ihre Entscheidung mit allen betroffenen Datenschutzbehörden der unterschiedlichen Länder abgleichen muss, liegt der zeitliche Aufwand bei mindestens 12 Monaten. Trotz allem stellt dieses Instrument eine gute Alternative zu einem fehlenden Angemessenheitsbeschluss oder anderen Instrumenten wie den Standardvertragsklauseln dar, um grenzüberschreitenden Datentransfer zu ermöglichen.

Einführung

Was zuvor durch § 4 d Abs. 5 BDSG geregelt und unter dem Begriff der Vorabkontrolle bekannt war, wird ab Mai 2018 in Art. 35 DS-GVO wiederzufinden sein. Das neue Instrument der Datenschutz-Folgenabschätzung ist dem der Vorabkontrolle sehr ähnlich, wird aber einen deutlich weiteren Anwendungsbereich haben. Bisher war eine Vorabkontrolle regelmäßig dann durchzuführen, wenn die automatisierte Verarbeitung personenbezogener Daten besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweist. Ein solches besonderes Risiko war laut Gesetzestext bei der Verarbeitung besonderer Arten personenbezogener Daten im Sinne des § 3 Abs. 9 BDSG anzunehmen oder wenn die Verarbeitung dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten, etwa bei Assessment Centern, der Erstellung von Kundenprofilen oder Personalinformationssystemen. Die Pflicht zur Vorabkontrolle entfällt jedoch dann, wenn eine gesetzliche Pflicht zur Verarbeitung besteht, der Verantwortliche eine Einwilligung des Betroffenen eingeholt hat oder die Datenverarbeitung zur Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. 

Art. 35 Abs. 1 DS-GVO formuliert die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung noch weiter: Liegt in der „Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen“, muss der Verantwortliche vorab die Folgen der beabsichtigten Verarbeitungsvorgänge abschätzen oder abschätzen lassen. 

Die folgenden Absätze konkretisieren die Voraussetzungen einer Durchführungspflicht: Während in Absatz 3 drei Fälle explizit genannt werden, in denen eine Folgenabschätzung notwendig wird, weist Absatz 4 und 5 die Aufsichtsbehörden dazu an, eine Liste zu erstellen, in denen die Verarbeitungsvorgänge ersichtlich werden, bei denen eine Folgenabschätzung erforderlich ist oder eben auch nicht erforderlich ist (sog. Positiv- und Negativ-Listen). Die Art. 29 Datenschutzgruppe, als gemeinsames Gremium der Datenschutzbeauftragten der Mitgliedstaaten, hat ihre Pflicht aus der DSGVO erfüllt und eine solche Liste und Leitlinien herausgegeben. 

Leitlinien der Art. 29 Datenschutzgruppe und ihre Kriterien 

Ziel des Arbeitspapiers der Art. 29 Datenschutzgruppe ist es, für Einheitlichkeit im Umgang mit der Datenschutz-Folgenabschätzung zu sorgen. Es soll eine einheitliche europäische Liste für Verarbeitungsvorgänge enthalten, bei denen eine Folgenabschätzung obligatorisch ist, sowie einheitliche Kriterien aufstellen, wann ein „hohes Risiko“ vorliegt und wann nicht und zusätzlich, unter welchen Umständen die Aufsichtsbehörde nach Art. 36 Abs. 1 DS-GVO informiert werden muss. Es soll den tatbestandlichen Prognoseentscheidungen, die typischerweise auf Unsicherheiten beruhen, einen einheitlichen und verlässlichen Rahmen bieten, der für alle Verantwortlichen als Orientierung und Absicherung dienen soll. 

Bevor die einzelnen Kriterien erläutert werden, stellt die Art. 29 Datenschutzgruppe klar, dass wenn ähnliche Technologien eingesetzt werden, um ähnliche Daten für einen ähnlichen Zweck zu sammeln, auch eine einheitliche Folgenabschätzung ausreicht. Die nachfolgenden Kriterien erläutern den Umfang und die Bedeutung der Formulierung des „voraussichtlich hohen Risikos für die Rechte und Freiheiten natürlicher Personen“ des Art. 35 Abs. 1 DS-GVO. Neben den exemplarischen Fällen des Art. 35 Abs. 3 DS-GVO, enthält das Arbeitspapier diese zehn Kriterien, die zu einer Folgenabschätzung führen können: 

1. Bewertung und Scoring sowie Profiling von Daten, die Arbeitsleistung, wirtschaftliche Situation, Gesundheit, persönliche Vorlieben und Interessen betreffen. 
2. Automatische Entscheidungsfindung mit rechtlichen oder ähnlichen Folgen für den Betroffenen, zum Beispiel wenn die Verarbeitung zum Ausschluss oder zur Diskriminierung von Betroffenen führt. 
3. Systematische Überwachung, insbesondere die systematische Überwachung von öffentlich zugänglichen Bereichen. Ausschlaggebend ist hier, dass der Betroffenen nicht weiß, von wem er überwacht wird und wer als Verantwortlicher dahinter steht. Darüber hinaus kann es für den Betroffenen unmöglich sein, diese Art von Überwachung zu vermeiden. 
4. Sensible Daten, wie sie in Art. 9 DS-GVO beschrieben werden und persönliche Daten mit Bezug zu Straftaten 
5. Datenverarbeitung mit weitem Umfang, wobei der Erwägungsgrund 91 dazu herangezogen wird, um zu bestimmen, wann ein besonders umfangreicher Datenverarbeitungsvorgang vorliegt. Dabei ist die Anzahl der Betroffenen, die Menge oder der Umfang der Daten, die Dauer der Verarbeitung sowie die geographische Ausweitung der Verarbeitung in den Blick zu nehmen. 
6. Datensätze, die zusammengestellt oder kombiniert wurden und aus unterschiedlichen Verarbeitungsvorgängen gewonnen wurden. 
7. Daten, die gefährdete / schutzwürdige Personen betreffen, insbesondere im Hinblick auf wirtschaftliche Verluste, Identitätsdiebstahl oder -betrug oder andere immaterielle oder physische Schäden. Dieses Kriterium erfordert aufgrund des gehobenen Machtungleichgewichts zwischen Betroffenem und Verantwortlichem eine Folgenabschätzung, da dem Betroffenen keine effektive Möglichkeit zusteht zu wiedersprechen oder freiwillig zuzustimmen. 
8. Innovative Nutzung oder technische Prozesslösungen, wie Beispielsweise die Kombination von Fingerabdrücken mit Gesichtserkennungssystemen. 
9. Grenzüberschreitender Datentransfer außerhalb der Europäischen Union
10. Wenn die Datenverarbeitung an sich die Betroffenen daran hindert ihre Rechte auszuüben oder von einer Dienstleistung Gebrauch zu machen.

Als Daumenregel stellt die Art. 29 Datenschutzgruppe auf, dass eine Folgenabschätzung erfolgen muss, sobald zwei dieser Kriterien kumulativ erfüllt sind; Ausnahmen natürlich vorbehalten. Und es gilt der Grundsatz, dass auch bei Unklarheit über die tatsächliche Erforderlichkeit der Folgenabschätzung die Durchführung in jedem Fall empfohlen wird, da die Folgenabschätzung ein hilfreiches Werkzeug ist, um eine Übereinstimmung mit dem Datenschutzrecht zu fördern. Die Durchführung muss vor Beginn des Verarbeitungsprozesses stattfinden. Die Folgenabschätzung muss mindestens die in Art. 35 Abs. 7 DS-GVO aufgezählten Elemente enthalten, also eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung (a), eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck (b), eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen (c) und die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen. Das Arbeitspapier der Art. 29 Datenschutzgruppe empfiehlt darüber hinaus auch die Dokumentation aller Schritte und Überwachung des gesamten Prozesses. 

Keine Folgenabschätzung ist dagegen ausdrücklich dann erforderlich, wenn kein hohes Risiko für die Rechte und Freiheiten für natürliche Personen besteht. Also dann wenn Natur, Umfang, Kontext und Zweck der Verarbeitung sehr ähnlich sind mit Verarbeitungsvorgängen, für die bereits eine Folgenabschätzung durchgeführt wurde. Oder auch wenn für die Verarbeitung eine Rechtsgrundlage besteht oder der Verarbeitungsvorgang auf der Liste der Aufsichtsbehörden zu finden ist, die alle folgenabschätzungsfreien Verarbeitungsvorgänge enthält.

Vergleich mit der Vorabkontrolle und dem „Standard-Datenschutzmodell“ 

Herzstück der Datenschutz Folgenabschätzung stellt die Bewertungsphase nach Art. 35 Abs. 7 lit. b und c DS-GVO dar. Sie gleicht die Verarbeitungsvorgänge, Zwecke und Risiken für die Rechte und Freiheiten der Betroffenen mit den rechtlichen Vorgaben ab und entwickelt eine Relation zwischen der Eintrittswahrscheinlichkeit einerseits und der Schwere der möglichen Schäden für die Betroffenen andererseits. Dabei werden Gefahrenlagen und Gewährleistungsziele als Prüfungsmaßstab einbezogen, was sehr an das sog. Standard-Datenschutzmodell erinnert, welches die Datenschutzbeauftragten des Bundes und der Länder seit Herbst 2015 verwenden und welches auf den Voraussetzungen der Vorabentscheidung des § 4 d Abs. 5 BDSG beruht. Das Standard-Datenschutzmodell gibt dem Verwender eine Methode an die Hand, um Verarbeitungsvorgänge systematisch auf ihre Übereinstimmung mit dem geltenden Recht abzugleichen. Kernstück dieser Methode stellen die sechs Gewährleistungsziele dar. Diese Gewährleistungsziele streben eine normgerechte Verarbeitung durch technisch-organisatorische Maßnahmen an, sind aber nicht zu verwechseln mit den Schutzzielen, die in einigen Landesdatenschutzgesetzen enthalten sind. Während die ersten drei Gewährleistungsziele die Daten- und Informationssicherheit betreffen, sind die weiteren drei auf den Schutz der Betroffenen ausgerichtet: 

• Verfügbarkeit: Begrifflich bedeutet Verfügbarkeit, dass die Daten zugänglich sein müssen, also ordnungsgemäß im vorgesehenen Prozess verwendet werden können. Sie müssen für den Berechtigten zugriffsbereit sein und die vorgesehenen Methoden müssen auf sie anwendbar sein. 
• Integrität: Das Standard-Datenschutzmodell erklärt das Gewährleistungsziel der Integrität so, dass „informationstechnische Prozesse und Systeme die Spezifikationen kontinuierlich einhalten, die zur Ausübung ihrer zweckbestimmten Funktionen für sie festgelegt wurden“. Andererseits bedeutet dies auch, dass die Daten unversehrt, vollständig und aktuell bleiben. 
• Vertraulichkeit: Keine Person darf personenbezogene Daten unbefugt zur Kenntnis nehmen. 
• Nichtverkettung: Das Gewährleistungsziel der Nichtverkettung garantiert, dass Daten nur für den Zweck verarbeitet und ausgewertet werden, für den sie auch zweckgebunden erhoben wurden. 
• Transparenz: Transparenz bedeutet in diesem Zusammenhang, dass sowohl Betreiber als auch Kontrollinstanzen erkennen können, welche Daten für welchen Zweck in einem Verfahren erhoben und verarbeitet werden, welche Systeme und Zwecke genutzt wurden und wo der Datenfluss endet.
• Intervenierbarkeit: Den Betroffenen müssen Rechte auf Benachrichtigung, Auskunft, Berichtigung, Sperrung und Löschung eingeräumt werden und die verantwortliche Stelle ist dazu verpflichtet, die eingeforderten Maßnahmen auch umzusetzen.

Anhand der Gewährleistungsziele ist erkennbar, dass das Standard-Datenschutzmodell die Betroffenenperspektive in den Mittelpunkt der Vorabentscheidung stellt, während die DS-GVO mit ihrer Folgenabwägung eher den Fokus auf das Schadensrisiko legt. Art. 35 Abs. 7 lit b und c DS-GVO stellt die „Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck“ und die Risiken für die Betroffenen in den Mittelpunkt, strebt also nach einem angemessenen Ausgleich zwischen legitimen Verarbeitungszielen und den möglichen Schäden für die Betroffenen. Auch wenn die gesetzlichen Anforderungen im BDSG und der DS-GVO ähnlich formuliert sind, so lässt sich doch in der Methodik eine Tendenz finden, vom bloßen Betroffenenschutz Abstand zu nehmen und den gerechten Ausgleich zwischen den gegenüberstehenden Interessen zu suchen. Das Standard-Datenschutzmodell kann als Vorreiter wichtige Impulse mitgeben und als Grundgerüst dienen, jedoch ist die Datenschutz-Folgenabschätzung als eigenständiges Instrument mit abweichender Schutzrichtung zu betrachten.

Folgen einer unterlassenen Folgenabschätzung 

Ist eine Folgenabschätzung oder eine Konsultation der Aufsichtsbehörde nach Art. 36 DS-GVO erforderlich, wird aber versäumt, so können auf den Verantwortlichen schwere Sanktionen zukommen. Nach Art. 83 Abs. 4 lit. a iVm Art. 39 DS-GVO kann dem Verantwortlichen ein Bußgeld in Höhe von 10 000 000 Euro oder im Falle eines Unternehmens von bis zu 2 % seines weltweit erzielten Jahresumsatzes drohen, je nachdem welcher der beiden Beträge höher ist. Alternativ können Maßnahmen der Aufsichtsbehörde nach Art. 58 DS-GVO verhängt werden.