Monthly Archives

September 2019

Double Opt In Verfahren – Einfach und verständlich erklärt

By | Allgemein | No Comments

Wenn es um personalisiertes Marketing geht, führt an E-Mail Adressen heutzutage kein Weg mehr vorbei. Mailings per Post verursachen im Vergleich nicht nur höhere Kosten. Sie verursachen auch deutlich mehr Aufwand. Gleiches gilt für die Kontaktaufnahme per Telefon. Allerdings gibt es nicht erst seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) rechtliche Hürden, was diese Form des Marketings betrifft.

Persönliche Daten erfordern einen sensiblen Umgang

Die Speicherung von Namen und E-Mail Adressen unterliegt genauso gesetzlichen Vorschriften wie deren Verwendung für das Marketing. Entsprechend wichtig ist es, persönliche Daten entsprechend der Vorgaben der DSGVO zu behandeln. Diese hat die Rechte von Verbrauchern erheblich ausgeweitet, was die Untersagung der Verwendung dieser Daten betrifft. Gleiches gilt im Hinblick auf ein Verlangen nach Löschung oder das Recht auf Einsichtnahme in die eigenen Daten. Schon vor diesem Hintergrund ist es wichtig, personalisiertes Marketing in rechtlicher Hinsicht möglichst wasserdicht zu gestalten.

Das Double-Opt-In-Verfahren

Der einfachste Weg, eine eindeutige Einwilligung von Nutzern in den Erhalt von E-Mails nachzuweisen, ist das so genannte Double Opt In Verfahren. Der englische Begriff „opt in“ steht dabei für ebenjene Einwilligung von Kunden, persönliche Daten der Nutzung für personalisiertes Marketing zu überlassen. Um die Verfahrensweise des Double Opt In Verfahrens näher zu erläutern, ist es zunächst wichtig, sich mit den verschiedenen möglichen Formen der Einwilligung in den Erhalt von E-Mails zu befassen.

Single-Opt-In (SOI)

Die einfachste Form der Einholung von Genehmigung ist die einfache Sammlung von E-Mail Adressen. Beim Single Opt In Verfahren tragen Nutzer ihre Mail Adresse auf der Seite eines Unternehmens ein. Sie erklären damit gleichzeitig ihr Einverständnis zu einer Nutzung für personalisiertes Marketing. Da nicht sichergestellt ist, dass es sich bei der eingetragenen Adresse um eine eigene Adresse des Nutzers handelt, ist diese Methode äußerst anfällig für Probleme.

Confirmed-Opt-In (COI)

Dies gilt auch für die Confirmed Opt In Methode, wenn auch nicht in gleichem Maße. Bei dieser Variante wird dem Nutzer aber immerhin per E-Mail mitgeteilt, dass persönliche Daten von ihm erhoben und gespeichert wurden. Die Speicherung unterliegt aber, anders als beim Double Opt In Verfahren, keiner erneuten, ausdrücklichen Genehmigung durch den Nutzer.

Double-Opt-In (DOI)

Beim Double Opt In Verfahren geben Nutzer nicht nur ihre E-Mail Adresse auf der Seite des Unternehmens an, sondern erhalten außerdem eine E-Mail, in welcher Sie aufgefordert werden, die erteilte Genehmigung für personalisiertes Marketing zu bestätigen. Beim Double Opt In Verfahren hat das Unternehmen damit einen Nachweis, dass es sich tatsächlich um eine E-Mail Adresse des eintragenden Nutzers handelt. Außerdem ist es im Hinblick auf persönliche Daten von Nutzern hilfreich, auf eine zweifache Genehmigung der Nutzung verweisen zu können. Genau diesen Vorteil bietet das Double Opt In Verfahren.

Sicherheit in Sachen Wettbewerbsrecht

Das Double Opt In Verfahren ist jedoch nicht nur in Sachen Datenschutz vorteilhaft, sondern auch in Bezug auf das Wettbewerbsrecht. Die Nutzung von E-Mail Adressen für personalisiertes Marketing unterliegt denselben Einschränkungen wie andere persönliche Daten, die zum Zweck der Kommunikation genutzt werden können. § 7 Abs. 2 UWG betrifft E-Mail-Adressen genauso wie postalische Adressen oder Telefonnummern. Immer wenn ein Unternehmen persönliche Daten ohne vorherige Einwilligung für personalisiertes Marketing verwendet, stellt dies automatisch eine unzumutbare Belästigung von Verbrauchern dar. Diese kann im Sinne von unlauterem Wettbewerb geahndet werden.

Keine Angriffsflächen bieten

Vor diesem Hintergrund erscheint das Double Opt In Verfahren als einzig praktikable Lösung, was die Vermeidung juristischer Probleme betrifft. Sowohl die DSGVO als auch das UWG sehen bei nachgewiesenen Verstößen zum Teil hohe Bußgelder vor. Dem lässt sich effektiv dadurch entgegenwirken, dass persönliche Daten wie E-Mail Adressen ausschließlich im Wege des Double Opt In Verfahrens gesammelt werden und Nutzer jederzeit die Möglichkeit haben, die zuvor gegebene Einwilligung nachträglich problemlos zu widerrufen.

Datenschutz DSGVO Bilanz

Die DSGVO in der Praxis: Eine Bilanz

By | Allgemein | No Comments

Im Mai 2018 wurden neue, verschärfte Regeln im Datenschutz für Unternehmen eingeführt. In diesem Jahr jährte sich die „neue“ DSGVO. Sie zog einige befürwortende, aber auch einige kritische Stimmen nach sich. Es ist schon länger bekannt: Gerade die in der Praxis relevanten Faktoren im Regelwerk wurden außer Acht gelassen und nicht mit wirklicher Sorgfalt behandelt. Ein wichtiger Aspekt ist hier die Kommunikationsverschlüsselung.

Um wirkliche Sicherheit zu gewährleisten, ist eine einheitliche Datenschutz-Verordnung für national und global tätige Unternehmen notwendig. Genau diesen Zweck sollte und soll die DSGVO erfüllen. Doch wie verhält es sich in der Praxis?

Komplexität und Interpretationsspielraum verhindern Umsetzungskonkretisierung

Wirtschaftsjuristen sehen im Regelwerk der Datenschutzgrundverordnung, kurz DSGVO, einen zu großen Aktionsradius. In insgesamt 99 Einzelverordnungen besagen 45 Punkte nichts wirklich Konkretes zum Datenschutz. Bereits die 70 Klauseln zur Eröffnung der DSGVO sorgen dafür, dass die Struktur komplex und die Anwendung in der Praxis eine Hürde anstatt einer Hilfe ist. Fakt ist, dass das Regelwerk zum Datenschutz für alle EU-Unternehmen gilt. Doch von Einheitlichkeit kann keine Rede sein. Im Gesetz ist nämlich direkt verankert, dass jeder Nationalstaat seine eigenen Regularien erlassen und umsetzen kann.

In ihrem Ursprung war die DSGVO als verbindliches und einheitliches Regelwerk für alle Unternehmen gedacht. Doch in der Praxis führt die Grundverordnung zum Datenschutz durch die Möglichkeit von Abstraktionen am eigentlichen Ziel vorbei. So macht sie die Einhaltung von Vorschriften eher schwieriger als einfacher. Es gibt einige Punkte, so die Meinung der Wirtschaftsjuristen, die nur in der Theorie durchdacht wurden. In der Umsetzung der DSGVO seien sie nur leere Drohungen ohne praktizierte Durchsetzung. Auf dieser Basis ist eine wirkliche Verbesserung im Datenschutz kaum erzielbar. Und Probleme haben vor allem kleine und mittelständische Unternehmen. Diese nahmen viel Geld an die Hand und investierten in die Datensicherheit ihrer Firma.

Abmahnungen bei Verstoß im Datenschutz existieren nur auf dem Papier

Schon vor der Einführung der DSGVO breiteten sich Angst und Schrecken vor Abmahnungen aus. Denn diese sollten mit mehrstelligen Beträgen bei kleinsten Verstößen erfolgen. Dadurch stellten sie vor allem für kleine Unternehmen ein hohes existenzielles Risiko dar. Doch in der Realität liegt die Menge der unternehmerischen Selbstanzeigen im letzten Jahr deutlich höher als die Anzeigen von Bürgern und Bürgerinnen. Während 7.293 Unternehmen eigene Verstöße im Datenschutz anzeigten, fühlten sich nur 3.064 Bürger in ihren datenschutzrechtlichen Belangen bedroht. Bei der zuständigen Behörde eingehende Beschwerden bezogen sich explizit auf Videoüberwachungen sowie auf Werbung per Telefon und E-Mail.

In nur 75 Fällen wurde überhaupt eine Strafe verhängt, die laut BDI in ihrer Gesamtheit nicht mehr als 450.000 EUR betrug. Im Großen und Ganzen lässt sich daher festhalten: In den Androhungen von Abmahnungen bei Verstößen gegen die DSGVO ging es eher um das Schüren von Angst als um einen wirklichen Gedanken an eine Abstrafung bei Zuwiderhandlung. Ein nicht durchgesetztes Gesetz kann noch so innovativ sein: In der Praxis bringt es keinen Mehrwert, wenn es nur auf dem Papier existiert.

Die Verschlüsselung bei Kommunikationen ist in der Praxis angekommen

Auch wenn einige Paragraphen der DSGVO unverständlich und breitgefächert interpretierbar sind: Ein wichtiger Punkt hat sich in der Praxis durchgesetzt. Wenn es um die Verschlüsselung von E-Mails geht, ist die Grundverordnung im Datenschutz in der Gesellschaft angekommen. Banken und andere Finanzunternehmen sowie Versicherungen und sensible Branchen haben die Vorschriften zur Verschlüsselung des E-Mail-Verkehrs schon lange vor Einführung der DSGVO vorgenommen. Seit einiger Zeit gibt es immer mehr Interessenten im Handel, in der lebensmittelverarbeitenden Industrie, bei Juristen und Ärzten.

Auch freiberuflich Tätige der erwähnten Branchen und Kleinunternehmen interessieren sich für den Bereich End-to-End-Verschlüsselung nach den Regeln der DSGVO. Ein Grund hierfür könnte die immer stärker werdende Orientierung des Hostings in einer Cloud sein. Um in diesem Bereich absolute Diskretion und Datenschutz zu bieten, ist eine hochwertige Verschlüsselung unerlässlich. Der BDI sieht in der DSGVO einen Grundstein für mehr Datenschutz und sieht dem Verschlüsselungsinteresse mit größter Aufmerksamkeit zu.

DSGVO Rechte

Diese Rechte haben Verbraucher nach der DSGVO

By | Allgemein | No Comments

Durch die Einführung der DSGVO hat man die Rechte von Verbrauchern im Hinblick auf den Schutz ihrer Daten seit Mai 2018 erheblich erweitert. Zwar bestand auch zuvor bereits ein Recht auf Löschung sowie ein Recht auf Auskunft nach deutschem Datenschutzrecht. Die DSGVO hat diese Rechte jedoch konsequent erweitert. Außerdem war bisher nicht in jedem Mitgliedsland der Europäischen Union ein Recht auf Auskunft bzw. ein Recht auf Löschung der eigenen Daten in gleicher Weise gegeben. Diesem Umstand trug man durch die der Verordnung zugrundeliegenden Richtlinie Rechnung. Daher schuf man ein europaweit einheitliches Recht auf Auskunft bzw. Recht auf Löschung.

Ein europäisches Grundrecht

Das Grundgesetz sieht das Recht auf informationelle Selbstbestimmung als Teil der allgemeinen Handlungsfreiheit. Im Gegensatz dazu gibt es in der Menschenrechtscharta der Europäischen Union mit Art. 8 ein eigenes Grundrecht auf Datenschutz.

Diesem Prinzip trägt man durch zwei Punkte Rechnung: Erstens erweiterte man das Recht auf Löschung wie auch das Recht auf Auskunft im Rahmen der DSGVO jeweils erheblich. Zusätzlich schuf man neue Rechte für Verbraucher. Zielsetzung der Europäischen Union war dabei, das Recht der Verbraucher an den eigenen Daten nachhaltig zu stärken. Konkret stellen sich diese neuen Rechte folgendermaßen dar:

Recht auf Auskunft nach DSGVO

Ein Recht auf Auskunft darüber, welche Daten ein Unternehmen speichert, bestand für Verbraucher auch bereits vor Einführung der DSGVO. Allerdings wurde das Recht auf Auskunft im Zuge der Neuerung erweitert. Verbraucher haben nicht nur ein einfaches Recht auf Auskunft über die gespeicherten Daten. Sie können auch die Überlassung einer Kopie dieser Daten verlangen. Außerdem geht es beim Recht auf Auskunft nicht nur darum, die eigenen Daten an sich mitgeteilt zu bekommen.

Auch die Zwecke, zu denen sie gespeichert und verarbeitet werden, müssen Unternehmen angeben. Verbraucher haben außerdem Recht auf Auskunft darüber, welchen Dritten gegenüber die Daten offen gelegt wurden oder wem sie gegebenenfalls überlassen wurden. Insofern hat die DSGVO das Recht auf Auskunft in entscheidender Weise zum Vorteil von Verbrauchern ausgebaut.

Recht auf Löschung nach DSGVO

Neben dem Recht auf Auskunft besteht eine Reihe weiterer Rechte zugunsten von Verbrauchern gegenüber Unternehmen. Neuerungen hat dabei auch das Recht auf Löschung erfahren. Dieses geht zurück auf eine Entscheidung des Europäischen Gerichtshofs. In dieser stellte das Gericht fest, dass es ein „Recht auf Vergessenwerden“ gibt. Dieses Recht auf Vergessenwerden ist am einfachsten zu erzielen durch ein möglichst weitgehendes Recht auf Löschung persönlicher Daten. Entsprechend umfangreich hat man das Recht auf Löschung in der DSGVO. Dies betrifft vor allem die Verpflichtung zur Löschung von Daten ohne besondere Aufforderung durch den Inhaber derselben.

Dies betrifft nach 17 Abs. 1 DSGVO etwa den Fall, dass der Zweck, für den die Daten ursprünglich erhoben wurden, inzwischen weggefallen ist. Selbst wenn dann ein neuer Grund für die Fortführung der Speicherung besteht: Es bedarf einer erneuten Einwilligung durch den betroffenen Verbraucher. Anderenfalls hat eine Löschung ohne besondere Aufforderung automatisch zu erfolgen. Gleiches gilt, wenn der Verbraucher die Einwilligung zur Speicherung und Nutzung der persönlichen Daten widerruft. In diesem Fall haben Unternehmen nur eine Möglichkeit, die Daten weiterhin gespeichert zu halten: Wenn für die Speicherung ein entsprechend berechtigtes Interesse vorliegt. Anderenfalls greift das Recht auf Löschung.

Beispiel:

Die berechtigten Interessen des Unternehmens auf Fortführung der Speicherung der Daten gehen etwa dann dem Recht auf Löschung des Verbrauchers vor, wenn eine durch den Verbraucher bestellte Ware bereits geliefert aber noch nicht gezahlt wurde. In diesem Fall hat das Unternehmen ein vitales Interesse daran, die Adresse des Kunden gespeichert zu lassen. Diese ist für die Einleitung zivilrechtlicher Schritte nämlich zwingend notwendig. Ohne Speicherung müsste man sie erst auf komplizierte Weise neu beschaffen.

Fazit:

Für Unternehmen ist der Datenschutz durch die DSGVO deutlich komplizierter geworden. Rechte von Verbrauchern wie das Recht auf Auskunft oder auch das Recht auf Löschung wurden gestärkt und zum Teil entscheidend erweitert. Dies betrifft insbesondere ein deutlich umfangreicheres Recht auf Auskunft, welches sich nicht nur auf die Daten als solche, sondern auch auf die Zwecke der Nutzung bezieht. Einhergehend mit der steigenden Komplexität des Datenschutzes für Unternehmen ist natürlich auch das Risiko zur Abmahnung bei Dateschnutzverstoß gestiegen.

Patientenschutz

Patientenschutz – Datenweitergabe von Patientenunterlagen

By | Allgemein | No Comments

Eine Patientenakte unterliegt in Deutschland dem Datenschutz, während Ärzte sich zugleich an ihre Verschwiegenheitspflicht halten müssen. Schließlich geht es hier um den Patientenschutz. Die Weitergabe von Daten aus diesen Unterlagen ist ohne eine Einverständniserklärung deshalb nur in Ausnahmefällen und unter strengen Voraussetzungen möglich. Medizinische Einrichtungen sind grundsätzlich zum Schutz der Akten verpflichtet.

Gesundheitliche Interessen als Zweck und Voraussetzung der internen Datennutzung

Die Speicherung und Nutzung einer Patientenakte erfüllt in erster Linie den Zweck, Diagnosen sowie Behandlungen zu erleichtern. Es gilt innerhalb einer Arztpraxis als entscheidend, ob die Datenerhebung den gesundheitlichen Interessen eines Menschen dient. Solange Ärzte die Daten lediglich intern für Therapien oder die Vorsorge verwenden, ist daher in der Regel keine wiederholte Einverständniserklärung erforderlich.

Wegen der Schweigepflicht dürfen sich Patienten üblicherweise darauf verlassen, dass Mediziner nicht gegen den Willen des Betroffenen mit Unbefugten über Inhalte der Akte reden. Die Rede ist hier von Patientenschutz. Bei der Datenweitergabe an Dritte gelten besonders strenge Regelungen, die im Bundesdatenschutzgesetz festgehalten wurden.

Strenge Bestimmungen zur vereinzelten Datenweitergabe an Dritte ohne Einverständniserklärung

Daten aus einer Patientenakte dürfen in Deutschland nur an wenige Organisationen und Behörden trotz einer fehlenden Einverständniserklärung unter bestimmten Voraussetzungen weitergegeben werden. Dabei ist aber meistens nicht die komplette Akte von der Datenweitergabe betroffen. Ohne Einverständniserklärung erhält der Empfänger in der Regel lediglich Informationen aus dem Teil der Patientenakte, den er aus einem triftigen Grund einsehen muss.

Viele empfangsberechtigte Einrichtungen sind vor der Weitergabe dazu verpflichtet, im Detail die Gründe für den Anspruch auf einzelne Daten darzulegen und den Umfang der angeforderten Akteninhalte genau zu definieren. Solange keine Einverständniserklärung vorliegt, bleibt der Kreis der potenziellen Anspruchsberechtigten sehr klein. Es hängt zudem immer vom jeweiligen Einzelfall ab, ob das Anrecht auf die Weiterleitung der Patientendaten in der speziellen Situation tatsächlich besteht.

Beispiele für anspruchsberechtigte Einrichtungen in Einzelfällen

Zum Teil darf beispielsweise die eigene Krankenversicherung des Betroffenen für Ausschnitte der Patientenakte die Datenweitergabe verlangen. Der medizinische Dienst der Krankenkassen braucht wegen der Erstellung eines Gutachtens manchmal Informationen aus der Patientenakte. Ohne Einverständniserklärung erfahren Gutachter aber im Normalfall maximal von Krankheiten und Behandlungen, die dafür tatsächlich relevant sind.

Wenn es zu Berufskrankheiten kommt, besteht eventuell auch für Berufsgenossenschaften ein Anspruch auf Inhalte der Patientenakte. Während eine Datenschutzbehörde die Einhaltung von Vorgaben überprüft, ist eventuell ebenfalls eine Datenweitergabe erforderlich.

In außergewöhnlichen Einzelfällen erhalten darüber hinaus die Polizei oder die Staatsanwaltschaft Zugang zu einer Patientenakte, obwohl keine Einverständniserklärung vorliegt. Dazu kommt es häufig insbesondere, sobald die Behörden im Interesse von gefährdeten Personen handeln. Die Verhinderung zukünftiger Straftaten ist ein weiterer möglicher Grund für eine Datenweitergabe ohne Einverständniserklärung.

Verpflichtung zum Patientenschutz und Schutz der Patientenakten im Krankenhaus und der Arztpraxis

Krankenhäuser sind in Hinsicht auf Patientenschutz ebenso wie eine Arztpraxis dazu verpflichtet, eine Patientenakte vor dem Zugriff von Unbefugten zu schützen. Für handschriftliche oder gedruckte Unterlagen gelten im Vergleich zu einer digitalen Akte dabei unterschiedliche Vorgaben. Es muss beispielsweise durch Sicherheitsmaßnahmen sichergestellt sein, dass Dritte in einer Klinik nicht einfach auf Computer mit den Daten zugreifen oder Papierakten entwenden. Bei Erhebungen für Forschungszwecke ist wiederum eine zuverlässige Anonymisierung zumindest ohne ausdrückliche Einverständniserklärung alternativlos.

Die meisten medizinischen Einrichtungen wenden sich an Datenschutzbeauftragte, um bei der Erfüllung der präzisen Vorschriften Missverständnisse zu verhindern. Wenn keine Einverständniserklärung vorliegt, führt die unbefugte Weitergabe einer Patientenakte für die Verantwortlichen oft zu Geldstrafen, Abmahnungen oder schwerwiegenderen Konsequenzen. Es ist allerdings häufig kaum möglich, einen verbotenen Datenhandel nachzuweisen.

Voraussetzungen für eine wirksame Einverständniserklärung und Möglichkeiten des Auskunftsrechts

Eine Einverständniserklärung zur Übertragung von Informationen aus einer Patientenakte gilt nur, insofern der Betroffene über die Datenweitergabe zuvor umfassend aufgeklärt wurde. Dabei muss ein Arzt dem Patienten alle Empfänger nennen und den konkreten Zweck der Datennutzung erläutern. Wer beispielsweise selbst ein Gutachten erstellen lassen möchte, darf dafür seinen Arzt auch schriftlich von der Schweigepflicht entbinden. Es ist zwingend erforderlich, dass jede Einverständniserklärung die Absichten des Patienten unmissverständlich ausdrückt. Erklärungen mit ungenauen Formulierungen bleiben unwirksam.

Durch das Auskunftsrecht besteht die Gelegenheit, die eigene Patientenakte selbst zu überprüfen. Daraufhin dürfen Patienten die Löschung von unzulässig erhobenen Informationen verlangen. Ein Anspruch auf die Sperrung oder Berichtigung einzelner Inhalte entsteht manchmal ebenso. So können die Patienten teils selber den Patientenschutz gewährleisten.