Bundesdatenschutzgesetz

Email-Werbung ohne schriftliche Einwilligung — geht das überhaupt?

von Sascha Kuhrau
5. September 2017
1 Kommentar

Keine Email-Werbung ohne Einwilligung

Oft werden wir als Datenschutzbeauftragte gefragt, ob für Email-Werbung oder Werbung per SMS eine schriftliche Einwilligung wirklich notwendig ist. Dabei wird übersehen, dass hier das Gesetz gegen den unlauteren Wettbewerb (kurz UWG) der erste Spielverderber ist. Das allgemeine Datenschutzrecht tritt hier erst mal zurück.

Und in § 7 Absatz 1 sowie Absatz 2 Nummer 3 des UWG wird Email-Werbung zusammen mit SMS- und Telefax-Werbung grundsätzlich als unzumutbare Belästigung im Sinne des UWG eingestuft. Daher ist Email-Werbung nur mit ausdrücklicher (vorheriger schriftlicher) Einwilligung der betroffenen Person erlaubt. Mit der wettbewerbsrechtlichen Zulässigkeit steht und fällt zugleich auch die datenschutzrechtliche Zulässigkeit.

Ausnahmsweise doch Email-Werbung ohne Einwilligung?

Ja, Email-Werbung ohne vorherige schriftliche Einwilligung kann in einer einzigen Ausnahme möglich sein. Diese Ausnahme beschreibt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg. Verbraucher, aber auch Werbetreibende können sich in dem frei verfügbaren und aktualisierten Merkblatt „Was Sie gegen unerwünschte Werbung tun können” (Stand 10. Mai 2017) informieren.

Wie lautet diese Ausnahme für Email-Werbung ohne Einwilligung?

Nach Auffassung des Landesbeauftragten ist Email-Werbung ohne (vorherige) schriftliche Einwilligung möglich nach § 7 Absatz 3 UWG, wenn der Werbetreibende (also das Unternehmen) schriftlich alle nachfolgenden Voraussetzungen nachweisen kann (Original-Zitat aus dem Merkblatt):

Er hat die elektronische Postadresse im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden erhalten,
er verwendet die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen,
der Kunde hat der Verwendung nicht widersprochen und
der Kunde wurde bei Erhebung der Email-Adresse und wird bei jeder Verwendung klar und deutlich darauf hingewiesen, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen (in der Regel ist hiermit ein Abmeldelink gemeint).

Verbraucher können zur Wahrnehmung ihrer Rechte bei unzulässiger Werbung konkrete Handlungsanweisungen zur Abwehr und Reaktion gegen das werbende Unternehmen aus dem Merkblatt entnehmen. Werbetreibenden ist diese Übersicht sehr zu empfehlen. Sie können damit prüfen, ob die eigenen Gepflogenheiten dem aktuellen Recht entsprechen oder eventuell Abmahnung, Bußgelder und weiteres Ungemach drohen. Das die Datenschutzbehörden hier keinen Spaß mehr verstehen, haben Sie bereits früher klar zum Ausdruck gebracht — siehe früheren Blog-Beitrag.

Bitte beachten Sie: Wir beziehen uns hier auf die Aussagen in dem verlinkten Merkblatt und führen selbst keine Rechtsberatung zum UWG durch. Sollten die Inhalte des Merkblatts nicht korrekt (wiedergegeben) sein, übernehmen wir keine Haftung.

Datenschutzbeauftragter darf keinen Interessenkonflikten unterliegen

von Sascha Kuhrau
23. Januar 201715. Oktober 2023
3 Kommentare

Bayerisches Unternehmen kassiert Bußgeld, weil IT-Manager gleichzeitig als Datenschutzbeauftragter bestellt war.

“Eine derart exponierte Position im Hinblick auf die Datenverarbeitungsprozesse im Unternehmen ist in aller Regel unvereinbar mit den Aufgaben eines Datenschutzbeauftragten”, so das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) in Ansbach.

Wer muss einen Datenschutzbeauftragten bestellen?

Unternehmen und auch Vereine müssen einen Datenschutzbeauftragten (DSB) bestellen, wenn bei ihnen mindestens zehn Personen (“mehr als neun”, so das Bundesdatenschutzgesetz) mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Dabei ist es unerheblich, a) ob es sich dabei um interne oder externe personenbezogene Daten handelt und b) mit welchem Zeitanteil die Personen beschäftigt sind (Vollzeit, Teilzeit, Aushilfe etc.). Es zählt hier alleine die Zahl der “Köpfe”.

Zahlreiche Unternehmen und Vereine erfüllen diese Voraussetzungen. Das Gesetz stellt es dabei frei, ob die Funktion des Datenschutzbeauftragten an eine externe Person vergeben wird („externer Datenschutzbeauftragter“) oder aber durch einen Mitarbeiter („interner Datenschutzbeauftragter“) erfüllt wird. Je nach Bundesland schreiben die Landesdatenschutzgesetze einen Datenschutzbeauftragten ebenfalls für Behörden und kommunale Einrichtungen (sog. öffentliche Stellen) verpflichtend vor. In einigen Bundesländern besteht bereits heute die Möglichkeit einer externen Bestellung des behördlichen Datenschutzbeauftragten. Mit der EU-Datenschutzgrundverordnung (EU-DSGVO) wird die Bestellpflicht für öffentliche Stellen vereinheitlicht. Ebenso soll dann eine generelle Möglichkeit der externen Bestellung für Behörden / Kommunen gegeben sein.

Wann ist von einem Interessenskonflikt auszugehen?

Wird ein Mitarbeiter zum Datenschutzbeauftragten bestellt, so darf er jedoch daneben nicht zusätzlich / weiterhin für solche Aufgaben zuständig sein, welche die Gefahr von Interessenskonflikten mit seiner Funktion als Datenschutzbeauftragter mit sich bringen können. Der Gesetzgeber verlangt hier salopp, nicht “den Bock zum Gärtner zu machen”. Ähnlich hat dies auch die EU-Datenschutzrichtlinie (Art. 18) gefordert, völlige Unabhängigkeit des DSB in seiner Funktion als Kontrollinstanz. Mit Artikel 38 und 39 der EU-DSGVO wird dies in 2018 keine Änderung erfahren.

In einschlägigen Kommentaren zum Bundesdatenschutzgesetz (z.B. Gola / Schomerus) wird explizit darauf verwiesen, dass sich hieraus bestimmte Funktionen für die Tätigkeit des Datenschutzbeauftragten von vornherein ausschließen. Dazu zählen auf jeden Fall

Inhaber, Vorstand, Geschäftsführer (ausnahmslos),
Leiter der IT,
Personalleiter,
Vertriebsleiter (zumindest im Direktvertrieb).

Für alle anderen Funktionen ist zu prüfen, ob ein Interessenskonflikt ausgeschlossen werden kann und auch keine weiteren Beeinträchtigungen für die Ausübung der Funktion des Datenschutzbeauftragten bestehen. So ist es nicht unbedingt zielführend, einen IT-Mitarbeiter zum Datenschutzbeauftragten zu bestellen, wenn der Konflikt mit dem Vorgesetzten — dem IT-Leiter — bereits vorprogrammiert ist und der IT-Mitarbeiter seine zusätzliche Aufgabe als DSB z.B. aus Angst vor Repressalien nicht ausüben kann / wird.

Wie kam es jetzt zu diesem Bußgeld aufgrund eines Interessenskonflikts?

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) berichtet in seiner Pressmitteilung davon, dass im Rahmen der Überprüfung eines bayerischen Unternehmens die Bestellung des IT-Leiters zum internen Datenschutzbeauftragten festgestellt wurde. Dies liefe nach Meinung der Behörde “letztlich auf eine Datenschutzkontrolle eines der maßgeblichen zu kontrollierenden Funktionsträger im Unternehmen durch sich selbst hinaus”. Aus Sicht der Behörde (und der einschlägigen Rechtskommentare) widerspricht dies der Funktion des Datenschutzbeauftragten, als unabhängige Instanz im Unternehmen auf die Einhaltung des Datenschutzes hinzuwirken (eine der Kernaufgaben des DSB).

Nachdem das Landesamt das Unternehmen mehrfach über Monate aufgefordert hat, eine Bestellung ohne Interessenskonflikt herbeizuführen und dies seitens des Unternehmens zugesagt, jedoch nicht umgesetzt wurde, verhängte die Behörde ein Bußgeld. Die Geldbuße ist mittlerweile bestandskräftig.

„Der betriebliche Datenschutzbeauftragte ist ein Erfolgsmodell und ein sehr wichtiges Element der Datenschutzorganisation in Deutschland. Die Funktion des Datenschutzbeauftragten kann aber nicht durch eine Person wahrgenommen werden, die daneben im Unternehmen noch Aufgaben innehat, die in einem Spannungsverhältnis mit einer unabhängigen, effektiven internen Aufsicht über den Datenschutz stehen. Unternehmen, die gesetzlich zur Bestellung eines Datenschutzbeauftragten verpflichtet sind, können daher nur eine solche Person zum Datenschutzbeauftragten bestellen, die in der Lage ist, diese Aufgabe frei von sachfremden Zwängen auszuüben. Und wenn sie das trotz wiederholter Aufforderung nicht machen, müssen sie notfalls mit Bußgeld dazu gezwungen werden.“, betont Thomas Kranig, der Präsident des BayLDA.

Was können Sie als Unternehmen tun, um solches Bußgelder zu vermeiden?

Entweder Sie vermeiden solche Interessenskonflikte oder Sie greifen zu einer transparenten und kostengünstigen externen Bestellung des Datenschutzbeauftragten, wie sie beispielsweise a.s.k. Datenschutz anbietet. Ein Angebot erhalten Sie zeitnah mittels unserer Online-Anfrage.

Übrigens gilt das Thema Interessenskonflikt auch für behördliche Datenschutzbeauftragte!!

Quelle: Pressemitteilung des BayLDA

Landesdatenschutzbehörden prüfen Cloud-Einsatz in Unternehmen

von Sascha Kuhrau
4. November 2016
1 Kommentar

Die Landesdatenschutzbehörden in Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt wählen per Zufall 500 Unternehmen in diesen Bundesländern aus. Diese erhalten im Zuge der Prüfung einen ausführlichen Fragebogen (Download zur Selbstüberprüfung hier) zur zeitnahen Beantwortung. Bitte beachten Sie: Sie sind gemäß Bundesdatenschutzgesetz gegenüber der Behörde auskunftspflichtig. Nehmen Sie die Anfrage ernst und erteilen Sie innerhalb des genannten Rückmeldezeitraums ausführlich Auskunft. Es besteht sonst ein Bußgeldrisiko für Ihre Organisation.

“[…] viele kleinere und mittlere Unternehmen in Deutschland verarbeiten inzwischen zahlreiche personenbezogene Daten (z. B. von Kunden, Mitarbeitern oder Bewerbern) häufig auf Servern externer Dienstleister, oft außerhalb der Europäischen Union. Dies ist vor allem bei Angeboten wie dem sog. Software as a Service der Fall. Ein klassisches Beispiel hierfür sind Office-Anwendungen „aus dem Internet“, die standortunabhängig und flexibel genutzt werden können.”

Inhaltlich beschäftigt sich der Fragebogen daher zu Beginn mit generellen Datenübermittlungen außerhalb der EU (USA, sonstige Drittstaaten).

“Ein wichtiges Ziel der Prüfung liegt in der Sensibilisierung der Unternehmen für Datenübermittlungen in Länder außerhalb der Europäischen Union. Um Unternehmen das Auffinden solcher Übermittlungen zu erleichtern, wird auch gezielt nach dem Einsatz von Produkten und Leistungen externer Anbieter gefragt, die – nach bisherigen Erfahrungen der Aufsichtsbehörden – mit einer Übermittlung personenbezogener Daten in Nicht-EU-Staaten verbunden sind.”

Im zweiten Teil wird es ziemlich konkret im Hinblick auf in der Cloud eingesetzte Lösungen wie Reisemanagement, Customer-Relationship-Management, Bewerberportale bis hin zu kompletten Recruitment und Personalverwaltung und Abrechnung, Cloud-Speicher, Newsletter-Services, Cloud Office, aber auch Kollaborationsplattformen. Hier wollen die Behörden sehr konkrete Angaben zu den genutzten Anbietern und Lösungen.

Abgeschlossen wird der Fragebogen mit Angaben zum betrieblichen Datenschutzbeauftragten. Diesen sollten Sie bei Vorliegen der gesetzlichen Bestellpflicht hoffentlich benennen können und in die Beantwortung des Fragebogens einbezogen haben.

„Übermittlungen personenbezogener Daten in Nicht-EU-Staaten gehören inzwischen auch bei vielen mittelständischen Unternehmen zum Alltag, nicht zuletzt aufgrund der immer stärkeren Verbreitung von Angeboten des Cloud Computing. Unternehmen müssen sich aber dessen bewusst sein, dass hierfür besondere datenschutzrechtliche Anforderungen gelten. Durch die koordinierte Prüfaktion, an der sich zehn deutsche Datenschutzaufsichtsbehörden beteiligen, wollen wir auch die Sensibilität der Unternehmen in diesem Bereich erhöhen.“ betont Thomas Kranig, der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht. „Ausgehend von der Beantwortung des Fragebogens kann und wird das Bayerische Landesamt für Datenschutzaufsicht dort, wo sich dies als notwendig zeigt, auch in eine tiefere Prüfung einsteigen.“

Sie haben einen solchen Fragebogen erhalten, jedoch keinen betrieblichen Datenschutzbeauftragten zur Beantwortung parat? Sprechen Sie uns an.

Quelle: https://www.lda.bayern.de/media/pm2016_09.pdf

Privacy Shield für ein Jahr toleriert — Europäische Datenschutzbehörden unzufrieden

von Sascha Kuhrau
28. Juli 201615. Oktober 2023
1 Kommentar

Zumindest für den Zeitraum eines Jahres kann das oft kritisierte Privacy Shield als Nachfolger von Safe Harbor fungieren. Nach Aussagen der sogenannten Artikel-29-Gruppe sei das neue Abkommen nach wie vor nicht geeignet, grundsätzliche Kritik auszuräumen. Dabei wurden die nach wie vor zulässigen Geheimdienstzugriffe auf Daten von EU Bürgern sowie die mangelnden Durchsetzungsmöglichkeiten der Schutzrechte der Betroffenen bemängelt.

Dennoch könne Privacy Shield vorerst als Zulässigkeitstatbestand für den Transfer personenbezogener Daten in die USA eingesetzt werden. Nach 12 Monaten Evaluierungsphase soll das Abkommen neu bewertet werden. Bis dahin sicherten die europäischen Datenschutzbehörden aktive Unterstützung bei der Geltendmachung der Rechte Betroffener in den USA zu.

Fahrplan der EU Datenschutz-Grundverordnung (EU DS GVO)

von Sascha Kuhrau
10. Mai 2016
1 Kommentar

Die Europäische Datenschutz-Grundverordnung (EU DS GVO) wird nach der Veröffentlichung im EU Amtsblatt am 24.05.2016 inkrafttreten. Die Verunsicherung bei Unternehmen, aber auch Behörden und kommunalen Einrichtungen ist zur Zeit groß. Was kommt genau an Änderungen auf uns zu? Was muss ich ab wann beachten? Und noch viel dringender: wie setze ich das Ganze in der Praxis um? In diesem Beitrag wollen wir Ihnen den Fahrplan der EU Datenschutz-Grundverordnung aufzeigen. Damit haben Sie einen zeitlichen Anhaltspunkt, bis wann die Umsetzung zu erfolgen hat und welches Recht zu welchem Zeitpunkt anzuwenden ist.

Datum / Zeitraum	Sachverhalt	Rechtsanwendung
Dezember 2015	Einigung im EU Trilog auf die Inhalte und grundlegenden Formulierungen der Grundverordnung (EU DS GVO)	Das Bundesdatenschutzgesetz (BDSG) sowie die Landesdatenschutzgesetze gelten weiter. Beginn der Umsetzungsfrist, bedeutet: Datenverarbeitungen sollen innerhalb von 2 Jahren nach Inkrafttreten (24.05.2016) mit der Verordnung in Einklang gebracht, sprich angepasst werden. Laufende und neue Verfahren müssen jedoch den Anforderungen und Auflagen der noch geltenden Datenschutzgesetze genügen!
April 2016	Annahme durch Europa-Rat und das Europäische Parlament
04.05.2016	Verkündung im Europäischen Amtsblatt
24.05.2016	Inkrafttreten der Europäischen Datenschutz-Grundverordnung (EU DS GVO) und Beginn der Umsetzungsfrist in den Mitgliedsstaaten
25.05.2018	Geltung der EU DS GVO und Ende der Umsetzungsfrist	Ab jetzt sind Bundesdatenschutzgesetz und Landesdatenschutzgesetze in ihrer bisherigen Form nicht mehr anwendbar. Die EU-Datenschutzrichtlinie 95/46 ist aufgehoben. Nationale Gesetzgeber müssen (sofern Sie dies nutzen wollten) die Öffnungsklauseln formuliert und gemeldet haben. Nationales Recht muss entsprechend angepasst sein. Konkurrierende Regelungen sind unzulässig.

In weiteren Beiträgen werden wir auf die Neuerungen und Änderungen durch die EU DS GVO näher eingehen. Bleiben Sie dran 🙂 Am einfachsten geht das mit unserem Newsletter, damit verpassen Sie keinen Beitrag unseres Blogs mehr.

Informationsrechtler kürt die neue europäische Datenschutzverordnung zu “einem der schlechtesten Gesetze des 21. Jahrhunderts”

von Sascha Kuhrau
27. April 201619. Mai 2022
1 Kommentar

Informationsrechtler Thomas Hoeren aus Münster bezeichnet die neue europäische Datenschutz-Grundverordnung als “eines der schlechtesten Gesetze des 21. Jahrhunderts” und “hirnlos”.

Diese Aussagen traf Hoeren im Rahmen seines Vortrags auf dem Euroforum-Datenschutzkongress in Berlin am heutigen Tag. Dabei bezog er sich in seinen Aussagen auf einzelne Prinzipien der Verordnung wie dem “Marktortprinzip” oder auch die “Datenportabilität” (die Möglichkeit seine Daten von einem Anbieter zum nächsten mitzunehmen). Als “biblisch” schlecht bezeichnete er ebenfalls die schwach ausgefallene Formulierung der Zweckbindung. Seiner Meinung nach sind den geplanten Regelungen zum Widerspruchsrecht im Direktmarketing “viel lobbyistisches Kaffeetrinken” vorausgegangen.

Quelle

EU Datenschutz-Grundverordnung am Start

von Sascha Kuhrau
17. Januar 2016

Mitte Dezember 2015 fand die wohl letzte Verhandlungsrunde zur EU Datenschutz-Grundreform statt. Die nun vorliegende “finale” Version wird wohl keinen weiteren Änderungen mehr unterworfen sein. Die EU Datenschutz Grundverordnung steht also nach langem Ringen am Start. Fast 4 Jahre sind vergangen, seit der Entschluss gefasst wurde, ein einheitliches, modernes und zukunftsfähiges Datenschutz-Recht für alle EU-Mitgliedsstaaten zu schaffen. Was lange währt, wird endlich gut?

Mitnichten. Die groß angekündigten neuen Rechte der Verbraucher sind in weiten Teilen Augenwischerei und unpraktikabel. Unternehmen und Behörden müssen sich noch mehr Bürokratie stellen, die Bußgelder steigen. Und wie so oft bei vielen Köchen, der Brei ist — naja — so lala. Die Politik lobt sich überschwänglich. Wer in den nun finalen Text der Verordnung schaut, stellt fest, es wurde der kleinste gemeinsame Nenner gefunden.

Besteht jetzt schon Handlungsbedarf?

Der Text muss nun noch in die Landesprachen der EU Länder übersetzt werden, EU-Rat und EU-Parlament müssen das Machwerk noch abnicken und die Verkündung im EU-Amtsblatt stattfinden. Die Verordnung sieht eine zweijährige Übergangsfrist vor, das heißt Anfang 2018 müssen die neuen Regelungen umgesetzt sein.

Bis dahin bleibt ausreichend Zeit, sich mit den notwendigen Anpassungen für Unternehmen aber auch Behörden auseinanderzusetzen und die erforderlichen Maßnahmen zur rechtskonformen Umsetzung zu treffen.

Doch bevor es losgehen kann, sind sowohl Übersetzung als auch die Kommentare zur Verordnung abzuwarten. Auch wird es noch einige Zeit dauern, bis klar ist, ob nationale Öffnungsklauseln durch die Länder genutzt werden und wie diese ausgestaltet sein werden.

Es gibt jedoch keinen Grund, nun in Aktionismus zu verfallen. Im Laufe des Jahres 2016 werden ausreichend Stellungnahmen und Kommentierungen unter anderem auch aus den einschlägigen Berufsverbänden vorliegen, die es dann sukzessive abzuarbeiten gilt.

Der Autor dieses Beitrags wird im April diesen Jahres ein erstes Orientierungsseminar seines Berufsverbandes zur EU Datenschutz-Grundverordnung besuchen, um einen ersten — hoffentlich schon — konkreten Überblick zu erhalten.

Safe Harbor 2.0 — Wunsch oder Wirklichkeit

von Sascha Kuhrau
8. Januar 2016

Was ist mit Safe Harbor 1.0 passiert?

Am 06.10.2015 hat für einige der größte Durchbruch der letzten Jahrzehnte im Datenschutz stattgefunden und für andere endlich die langjährige bewußte Selbsttäuschung ein Ende gefunden. Die Rede ist vom sogenannten Safe Harbor Urteil des Europäischen Gerichtshofs. Vollkommen zu Recht hat der EuGH dieses Zulässigkeitsverfahren für Datenübermittlungen in die USA in Frage gestellt und am Ende für nichtig erklärt. Wer sich mit den Hintergründen befasst hat, ist davon wenig überrascht.
Was jedoch in der Praxis in den ersten Wochen der Unsicherheit nach diesem Urteil nun stattfand, war teilweise purer marktschreierischer Aktionismus gepaart mit einer gehörigen Portion Weltfremdheit.

06.10.2015 Das Safe Harbor Urteil des Europäischen Gerichtshofs

Jede Datenübermittlung benötigt eine rechtliche Grundlage zur Zulässigkeit. Dies schreiben unsere deutschen und europäischen Datenschutzgesetze so vor. Zur vereinfachten Legitimation von Übermittlungen personenbezogener Daten in die USA durch europäische Unternehmen wurde vor 15 Jahren (also auch lange vor dem NSA Skandal) Safe Harbor ins Leben gerufen. Der “sichere Hafen” definierte Richtlinien zum Datenschutz und zur Datensicherheit, unter denen die Übermittlung personenbezogene Daten in die USA als zulässig eingestuft wurde. Amerikanische Anbieter konnten sich diesen Richtlinien unterwerfen und an zentraler Stelle dies dokumentieren lassen. Eine Überprüfung, ob die geforderten Standards wirklich in die Tat umgesetzt waren, fand nicht statt. Alleine schon deswegen stand dieses Verfahren von Anfang an unter Beschuss seitens Vertretern des Datenschutzes.

Zusätzlich bot Safe Harbor keinen Schutz vor US-geheimdienstlichen Zugriffen auf Daten deutscher / europäischer Bürger, selbst wenn deren Daten in europäischen Rechenzentren dieser amerikanischen Unternehmen gespeichert waren.

Diesem Umstand trug der EuGH in seinem Urteil vom 06.10.2015 Rechnung und hat Safe Harbor für unzulässig erklärt. In der Urteilsbegründung wurde weiterhin die Autonomie der Datenschutzbehörden der Mitgliedsländer in dieser Sache bekräftigt. Und ab hier wird es bunt …

Die Bundesbeauftragte für Datenschutz und Informationssicherheit spricht von einem “Meilenstein für den Datenschutz”.

Das ULD postulierte “Das ULD wird prüfen, ob Anordnungen gegenüber nichtöffentlichen Stellen getroffen werden müssen, auf deren Basis Datenübermittlungen in die USA ausgesetzt oder verboten werden müssen.”

Recht blauäugig reagiert hingegen die EU Kommission, die für das bisherige Safe Harbor Verfahren verantwortlich zeichnet. Das Urteil wird als “Weiter so” betrachtet, in Form von Neuverhandlungen zu Safe Harbor. Bis diese nicht abgeschlossen sind, wäre kein Grund zum Handeln laut der Kommission.

Doch es gibt auch Erfreuliches zu berichten

Die Artikel 29 Gruppe (der Zusammenschluss der EU Datenschutzbeauftragten) zeigt hier etwas mehr Augenmaß. Sie sieht die Notwendigkeit einer gemeinsamem Linie in der weiteren Vorgehensweise. Bis dahin sollen zumindest die EU standard clauses für Rechtssicherheit bei den Unternehmen auf beiden Seiten des Atlantiks sorgen. Diese wurden vom EuGH nicht für unzulässig erklärt, obwohl sich die Kritik an Safe Harbor auch auf die clauses anwenden lässt.

Vera Jourova, EU-Kommissarin für Justiz, Verbraucherschutz und Gleichstellung, äußerte sich vor kurzem in einer österreichischen Tageszeitung zuversichtlich, ein neues Safe Harbor Abkommen mit den USA schon bald abschließen zu können. Bei dem Nachfolger von Safe Harbor dürfte es sich tatsächlich um ein Abkommen handeln, nicht um eine einseitige Entscheidung der Kommission (mit einer der Kritikpunkte an der früheren Regelung).

„Idealerweise sollten wir uns über alle Streitfragen bis Mitte Jänner 2016 einigen“, so Vera Jourava im Interview. Das mag optimistisch klingen, aber der Druck auf beiden Seiten des Atlantiks ist enorm. Unternehmen in den USA und ihre Vertragspartner auf Seiten der EU müssen sich plötzlich mit den EU-Standardvertragsklauseln beschäftigen. Und auch diese stellen schlimmstenfalls nur eine Interimslösung dar.

Bis hierüber Klarheit herrscht, sollten bisherige Vereinbarungen zur Datenübermittlung, die sich ausschließlich auf Safe Harbor beziehen, auf die EU-Standardvertragsklauseln umgestellt werden. Die Erfahrungen der letzten Wochen zeigen, dass amerikanische Anbieter hier konstruktiv mitarbeiten und die Umstellung unterstützen. Ende Januar 2016 wird man sehen, was die Zukunft bringt. Die Zeit sollte man jedoch nicht ungenutzt verstreichen lassen. Denn rechtlich sind unsere deutschen Landesdatenschutzbehörden durchaus in der Lage, den “Stecker zu ziehen”.

Microsoft führt zur Zeit einen Musterprozess in den USA (2nd U.S. Circuit Court of Appeals, No. 14–2985). Das Unternehmen will die Herausgabe von personenbezogenen Daten an US-Behörden verhindern, die auf europäischen Servern gespeichert sind. Geht dieses Urteil zugunsten von Microsoft aus, wäre das ein wirklicher Paukenschlag. Im anderen Fall wird eine ganze Branche mit Giganten wie Microsoft, Apple, Google, Facebook & Co. schwer zu kämpfen haben. Das Wall Street Journal berichtet noch am Tag des Urteils über die Bemühungen amerikanischer Unternehmen, die personenbezogenen Daten europäischer und deutscher Bürger dem Zugriff der US-Behörden zu entziehen.

Was können Sie tun?

Trotz der Panikmache seitens der deutschen Landesdatenschutzbehörden hilft purer Aktionismus nicht weiter. Auch wenn sich deutsche und europäische Anbieter nun die Hände reiben, sie müssen sich an Leistung und Preis der transatlantischen Konkurrenz messen lassen. Und selbst den Datenschutzbehörden sollte klar sein, dass die Migration eines langjährig genutzten CRM Systems oder anderer elementarer Bausteine nicht auf Knopfdruck erfolgen kann, selbst wenn ein alternativer Anbieter gefunden wurde.

Umschauen schadet nicht: Ob und wie eine Ersatzregelung für Safe Harbor gefunden werden kann, steht zur Zeit in den Sternen. Wer also personenbezogene Daten zu US-amerikanischen Anbietern überträgt und / oder deren Services nutzt, sollte zumindest den europäischen und deutschen Markt nach geeigneten möglichen Alternativen sondieren.
Ausweichen auf die EU standard clauses: Noch sind diese nicht per Urteil außer Kraft gesetzt und können daher bis auf weiteres aus Sicht der Art.29-Gruppe als Legitimationsersatz dienen. Gerade Nutzer der Microsoft Cloudservices haben es hier relativ einfach, hat das Unternehmen doch mit seinen Regelungen den Segen der Art.29-Gruppe erhalten. Die Dokumente für die Microsoft Services finden Sie hier.
Einwilligung der Betroffenen statt vertraglicher Regelungen mit den US-Unternehmen: Hier scheiden sich die Geister. Während beispielsweise der ehemalige Bundesdatenschutzbeauftragte Peter Schaar als einer von vielen eine sauber für diesen Zweck formulierte und eingeholte Einwilligung samt ausführlicher Information über die Risiken der Datenübermittlung in die USA oder an US-Unternehmen für zulässig hält, sehen das einige Landesdatenschutzbeauftragte anders. In deren Augen kann die Einwilligung — als eigentlich stärkstes Zulässigkeitsinstrument — dies nicht leisten.
Kühlen Kopf bewahren: Bei aller Panikmache seitens der Schutzbehörden sollte das Thema nun ruhig und konzentriert angegangen werden. Beide Seiten des Atlantiks sind hier aufeinander angewiesen, gerade auch wirtschaftlich. Ganze Branchen können hier nicht wechselseitig aufeinander verzichten. Von daher steht zu erwarten, dass auf beiden Seiten Bewegung in die Sache kommen. Eine Garantie gibt es hierfür jedoch keine. Daher gilt wieder Punkt 1 “Umschauen schadet nicht” 🙂

Bußgeld wegen fehlerhafter Auftragsdatenverarbeitung verhängt

von Sascha Kuhrau
29. August 2015

Langjährige Kunden und Empfänger unserer Datenschutz-Information werden sich an das wiederkehrende Thema dieses Beitrages sicher erinnern und haben die Information am Tag der Veröffentlichung der Presse-Information des BayLDA bereits als Sonder-Newsletter erhalten. Aufgrund der Tragweite des Vorgangs informieren wir hier noch mal auf unserem Datenschutz-Fachblog.

Es geht um das Thema Outsourcing an externe Dienstleister im Hinblick auf möglicherweise betroffene personenbezogene Daten. Das Datenschutzrecht spricht hier von einer Auftragsdatenverarbeitung. Nicht weil hier ein Auftrag vergeben wird, sondern weil im Auftrag der verantwortlichen Stelle jemand Drittes mit den personenbezogenen Daten zu tun hat oder in Kontakt kommt / kommen kann. Die bayerische Landesdatenschutzbehörde hat jetzt wegen fehlerhafter Umsetzung der gesetzlich vorgeschriebenen Verfahrensweise und Inhalte ein Bußgeld verhängt.

Fehlerhafte Auftragsdatenverarbeitung führt zu Bußgeld

Das ist so klar und deutlich in § 43 Absatz 1 Satz 2b BDSG geregelt.

“(1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig

2b.: entgegen § 11 Absatz 2 Satz 2 einen Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt oder entgegen § 11 Absatz 2 Satz 4 sich nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt,”

Mit Datum vom 20. August 2015 gibt das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) in Ansbach nun bekannt, dass es gegen ein Unternehmen ein Bußgeld in fünfstelliger Euro-Höhe verhängt hat.

Auslöser war die fehlerhafte Umsetzung der Auftragsdatenverarbeitung. In mehreren Verträgen mit externen Dienstleistern waren die durch den Dienstleister zu treffenden technischen und organisatorischen Schutzmaßnahmen nur sehr oberflächlich und allgemein festgesetzt. Damit sei die gesetzlich vorgeschriebene Kontrolle durch den Auftraggeber nicht durchführbar, ob der Dienstleister in ausreichendem Umfang für die Sicherheit der Daten sorgen kann.
Dabei hat die Behörde bereits berücksichtigt, dass es kein pauschales Schutzniveau gibt, sondern dieses individuell nach Art der Dienstleistung und der betroffenen Daten definiert und vereinbart werden muss.

Was ist zu tun?

In einem ersten Schritt sollten Sie prüfen, ob Sie alle für eine Auftragsdatenverarbeitung in Frage kommenden Dienstleister überhaupt bereits identifiziert haben. Wenn ja, wäre die vertragliche Situation zu prüfen, ob das Schutzniveau des Dienstleisters in ausreichender schriftlicher Form nachgewiesen ist und ob eine gültige Auftragsdatenverarbeitung (Achtung Novelle in 2009 mit neuen Anforderungen!) schriftlich vereinbart wurde.
Wenn nein, sollten Sie zeitnah Ihren Datenschutzbeauftragten informieren, damit dieser alles weitere mit Ihnen zusammen in die Wege leiten kann.

Pressemitteilung des BayLDA vom 20.08.2015
Informationsblatt des BayLDA zum Thema Auftragsdatenverarbeitung
Blogbeitrag a.s.k. Datenschutz zum Thema Auftragsdatenverarbeitung

Sensible Patientendaten in Klinik verschwunden — Datenpanne

von Sascha Kuhrau
12. Oktober 2012

DIE WELT berichtet heute nachmittag online von einer Datenpanne in zwei Kliniken in Baden-Württemberg:

Sicherungsbänder bei Zigarettenpause verbummelt

Der zuständige IT-Mitarbeiter ist wie jeden Tag mit den Sicherungsbändern auf dem Weg vom Serverraum zum Tresor. Unterwegs hält er an einer Rampe für eine kurze Rauchpause an, legt die Bänder auf einem Tisch ab. Nach der Pause ging er wieder an seine Arbeit, jedoch ohne die Sicherungsbänder. Als er seinen Fehler nach einiger Zeit bemerkte und an den Pausen-Ort zurückkehrte, waren die Sicherungsbänder verschwunden. Erschwerend kommt hinzu, dass der Mitarbeiter den Vorfall erst eine Woche später meldete und auch das interne Sicherungskontrollsystem das Verschwinden der Bänder nicht aufgedeckt hat.

Sensible Patientendaten betroffen

300.000 Datensätze sollen die Bänder umfasst haben. Darunter vollständige Patientenakten, Labordaten, Befunde, Arztbriefe und Schriftverkehr bis zurück ins Jahr 1996.

Datenschutzbehörde spricht von gravierendem Vorfall

Die Klinikleitung beteuert, lediglich die Arztbriefe können ausgelesen werden. Für alle weiteren Daten sei spezielle Hard- und Software notwendig. Weitere Ausführungen über eine zusätzliche Verschlüsselung wurden nicht getätigt. Aufgrund der Sensibilität der Daten und der erschreckend hohen Menge spricht der Landesdatenschutzbeauftragte von Baden-Württemberg, Jörg Klingbeil von einem gravierenden Vorfall.

§ 42a BDSG Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten

Lt. Klingbeil hat die Klinik nicht gegen § 42a BDSG verstoßen. Die Datenpanne, wurde wenn auch verspätet, korrekt gemeldet und durch Anzeigen in überregionalen Zeitungen bekannt gemacht. Dies geschah zwar mit Verzögerung, jedoch auf Bitten der Staatsanwaltschaft, um die Ermittlungen zu diesem Zeitpunkt nicht zu gefährden. Alles weitere müsse jetzt geklärt werden.

« Zurück
1
2
3
4
5
…
11
Weiter »

Bundesdatenschutzgesetz

Kei­ne Email-Wer­bung ohne Einwilligung

Aus­nahms­wei­se doch Email-Wer­bung ohne Einwilligung?

Wie lau­tet die­se Aus­nah­me für Email-Wer­bung ohne Einwilligung?

Keine Email-Werbung ohne Einwilligung

Ausnahmsweise doch Email-Werbung ohne Einwilligung?

Wie lautet diese Ausnahme für Email-Werbung ohne Einwilligung?