Category

Allgemein

Berechtigtes Interesse zur Datenverarbeitung – Was bedeutet das?

By | Allgemein | No Comments

Wo besteht wirklich ein berechtigtes Interesse an der Datenverarbeitung? Wo werden Einwilligungen eingeholt, die juristisch gar nicht nötig sind? Um nach der DSGVO zu handeln und die Begrifflichkeit des berechtigten Interesses klar zu definieren, ist ein kleiner Ausflug in die Rechtswissenschaft nötig.

Wann Interessen berechtigt und unberechtigt sind

Die Bezeichnung des berechtigten Interesses zur Datenverarbeitung besteht nicht erst seit der Verschärfung der Datenschutzgrundverordnung. Auch vorher war die Begrifflichkeit üblich und sagte genauso wenig aus wie heute. Es ist ein unbestimmter Begriff im Juristendeutsch. Deshalb bestehen ein großer Auslegungsspielraum und reichweitenstarke Interpretationsfreiheit, oder? – Das könnte man meinen, doch die Realität sieht anders aus. Um ein berechtigtes Interesse nachzuweisen, müssen primär drei Voraussetzungen erfüllt werden.

  • Die Berechtigung muss beim Datenverarbeiter tatsächlich vorliegen und nachweisbar sein.
  • Die Datenverarbeitung ist in Bezug auf das berechtigte Interesse eine zwingende Notwendigkeit.
  • Die von der Datenverarbeitung betroffene Person wird in ihren Grundrechten und der Grundfreiheit nicht beeinträchtigt.

Das berechtigte Interesse liegt immer von Seiten des Verantwortlichen vor, der die Daten erhebt und Auskunft zur Weiterverarbeitung gibt. Unberechtigt sind Personen, die diese sensiblen Daten nicht benötigen und sie zu unlauteren, zum Beispiel werblichen, Zwecken verwenden.

Das berechtigte Interesse und die Zulässigkeit

Wenn ein berechtigtes Interesse besteht, geht dieser Umstand nicht automatisch mit der Zulässigkeit der Datenverarbeitung einher. Denn hier ist eine Abwägung nötig, welche maßgeblich über die Relevanz des Interesses in Verbindung mit der Zulässigkeit entscheidet. Anhand eines Beispiels lässt sich die Übereinstimmung des berechtigten Interesses und der Zulässigkeit am besten erläutern:

Ein Kunde beantragt einen Kredit bei der Bank. Die Bank hat ein berechtigtes Interesse daran, sich Informationen über den Antragsteller einzuholen und eine Überprüfung der Angaben im Rahmen der Datenverarbeitung durchzuführen. Hier ist das Interesse nicht nur berechtigt, sondern die Datenverarbeitung zum Zweck der Kreditentscheidung auch zulässig. Wird der Antragsteller abgelehnt, erlischt automatisch die Berechtigung zur weiteren Nutzung der Daten. Wird der Kredit vergeben, kann die Bank in regelmäßigen Abständen Prüfungen über die Bonität und sonstigen Grundlagen der Kreditvergabe einholen. Dem stimmt der Antragsteller zu, wodurch eine erneute Anforderung der Einwilligung zur Datenverarbeitung unnötig ist.

Nicht zulässig ist die Verarbeitung von Daten außerhalb der Vereinbarung mit dem Kunden. Alle Informationen über den Umfang der Datenverarbeitung müssen dem Vertragspartner aufgezeigt und zur Einwilligung bereitgestellt werden. Wird keine Einwilligung erteilt, dürfen die Daten trotz berechtigtem Interesse nicht verarbeitet werden.

Berechtigtes Interesse im digitalen Zeitalter

Das Internet ist kein rechtsfreier Raum. Und obwohl Menschen online weniger sorgsam mit ihren sensiblen Daten umgehen, so ist die Weiterverarbeitung derer nicht ohne Weiteres zulässig. Nach Einführung der DSGVO sind Webseitenbetreiber dazu verpflichtet, Auskunft über die Datenverarbeitung zu erteilen und selbst beim Setzen von Cookies eine Einwilligung einzuholen. Berechtigtes Interesse im Sinne der unternehmerischen Sicherheit besteht in der Aufforderung zur Akzeptanz der AGB. Wenn ein Kunde in diesem Feld kein Häkchen setzt, kann der Unternehmer den Vertragsabschluss ablehnen.

Dem gegenüber steht die Akzeptanz von Cookies. Der Besucher einer Website hat das Recht, die Verarbeitung seiner für Cookies nötigen Informationen abzulehnen. Das darf nicht zur Folge haben, dass er die Website verlassen muss und kein Angebot mehr sieht. Auch die Differenzierung, welche Cookies erlaubt und untersagt sind, wird bei immer mehr Websites über ein direkt beim Betreten angezeigtes Popup gefordert.

Grundsätzlich besteht nie ein berechtigtes Interesse, wenn die Datenverarbeitung zu kriminellen, strafrechtlich verfolgbaren oder werblichen Zwecken eingesetzt werden soll.

Zuwiderhandlungen im Datenschutz sind strafbar

Wer trotz fehlender Einwilligung mit Kundendaten arbeitet, verletzt die Privatsphäre der jeweiligen Person und kann strafrechtlich belangt werden. Umso wichtiger ist es, auf die Datenverarbeitung ausführlich und in allen Bereichen aufmerksam zu machen. Eine alleinige Anmerkung, dass die Daten gespeichert werden, ist nicht ausreichend. Vielmehr ist es notwendig, sein berechtigtes Interesse mit der Angabe zum Grund der Datenverarbeitung UND zu den gespeicherten Daten zu begründen. Berechtigt sind nur Interessen, die einen wirtschaftlichen oder ideellen Zweck verfolgen und im aufgezeigten Rahmen erfolgen. Verstöße gegen die DSGVO sind kein Kavaliersdelikt und ziehen daher empfindliche Geldbußen und Rechtsprechungen nach sich.

Was bedeutet das neue EuGH-Urteil zu Cookies?

By | Allgemein | No Comments

Ein EuGH Urteil mit weitreichenden Auswirkungen?

In Sachen Tracking und Cookies sorgt ein neues EuGH Urteil –„Planet 49“ für viel Aufregung bei Betreibern von Webseiten. Grundsätzlich geht es im EuGH-Urteil darum, in welcher Form die Einwilligung von Nutzern erfolgen muss, wenn es um die Verwendung von Tracking Cookies geht. Hier setzt das EuGH-Urteil klare Grenzen. So erweitert es die Rechte von Verbrauchern im Sinne eines umfassenderen Schutzes vor der ungewollten Übermittlung persönlicher Informationen.

Dennoch vorab: Nicht für jedes Cookie benötigen Sie eine Einwilligung des Nutzers.

Insgesamt liest sich das Urteil so, als gehe der EuGH davon aus, dass für jedes nicht unbedingt notwendige Cookie eine Einwilligung des Nutzers notwendig sei.

Zu beachten ist aber, dass der BGH nicht danach gefragt hat, wann ein Cookie „unbedingt erforderlich“ ist, hierüber wird derzeit ein reger Diskurs geführt. Auch keine Stellung dazu genommen hat der EuGH zu der Frage, ob das Setzen von Cookies in Deutschland auch auf Grundlage anderer Rechtsgrundlagen erfolgen kann, z.B. Art. 6 Abs. 1 S.1 lit. f. DSGVO. Hiernach hatte der BGH im konkreten Fall ebenfalls nicht gefragt. Auch hier findet ein Diskurs statt. Einige Aufsichtsbehörden haben dazu bereits Stellung bezogen, jedoch handelt es sich hierbei zunächst um Rechtsmeinung. Rechtssicherheit gibt es erst, wenn diesbezüglich Recht gesprochen worden ist.

Es ist nicht verwunderlich, dass das oben angeführte EuGH Urteil aus einem Verfahren stammt, dass seinen Anfang 2014 am Landgericht Frankfurt am Main nahm. Dass es überhaupt so weit kommen konnte, liegt vor allem an der mangelnden Initiative des deutschen Gesetzgebers. Dieser hätte die bereits seit 2009 geltende Cookie Richtlinie der Europäischen Union längst in deutsches Recht umsetzen müssen. Diese Richtlinie sieht bereits seit mehr als zehn Jahren zwingend ein Opt-In Verfahren für die Verwendung von Tracking Cookies vor. Die Bundesregierung war jedoch der Auffassung, dass den Anforderungen der Cookie Richtlinie bereits durch das Telemediengesetz (TMG) genüge getan worden war.

  • 15 TMG stellt jedoch nicht auf die explizite Einwilligung durch Nutzer ab. Er setzt für die Erhebung und Verwendung personenbezogener Daten stattdessen lediglich eine entsprechende Erforderlichkeit voraus. Dieser unbestimmte Rechtsbegriff lässt sich in beliebiger Form füllen und erweitern. Genau dies geschah im Fall des Unternehmens Planet49. Bei dessen Angebot im Internet war das Einwilligungshäkchen in die Verwendung von Tracking Cookies sowie im Hinblick auf die Verwendung weiterer persönlicher Daten bereits gesetzt.

Um der Verwendung zu widersprechen, hätten Nutzer daher das Häkchen aktiv löschen müssen. Diese Praxis entsprach dem deutschen Telemediengesetz. Sie widersprach aber der Cookie Richtlinie der Europäischen Union, welche genau diese Art der Verwendung von Tracking Cookies unterbinden soll. Seit in Kraft treten der Datenschutzgrundverordnung, ist die „Cookie-Richtlinie“ im Übrigen nicht mehr relevant, da außer Kraft gesetzt. Das Urteil bezieht sich demnach in weiten Teilen auf das nicht mehr geltende Recht.

Tatsächlich enthält das EuGH Urteil Antworten auf mehrere Fragen, mit Bedeutung für die DSGVO, die der BGH dem EuGH zu Beantwortung vorgelegt hat:

Frage 1: Liegt eine wirksame Einwilligung im Sinne von Art. 5 Abs. 3 der „ePrivacy-Richtlinie“ (ePrivacy-RL) vor, wenn diese durch ein vorab gesetztes Häkchen erfolgt, dass der Nutzer zur Verweigerung abklicken muss?

Frage 2: Gilt das zu 1. gesagte auch im Zusammenhang mit der Datenschutzgrundverordnung?

Frage 3: Ist bei den abgerufenen und den gespeicherten Daten zwischen personenbezogenen Daten und anderen Daten zu unterscheiden?

Frage 4: Welche Informationen müssen dem Nutzer vom Anbieter mitgeteilt werden um den Informationspflichten aus Art. 5 Abs.3 ePrivacy-RL nachzukommen?

Frage 1 und 2 hat der EuGH ganz klar mit Nein! beantwortet. Das Erklären einer Einwilligung erfordert ein aktives Handeln, ein Unterlassen reicht hierfür nicht aus. Für die DSGVO, die von sich aus bereits ein aktives Handeln für die Einwilligung fordert gilt das gleiche. Etwas anderes war auch nicht zu erwarten.

Zusammenfassend zeichnet sich eine klare Richtung ab, auf die der EuGH zusteuert. Vereinfacht gesprochen geht der EuGH davon aus, dass im konkreten Fall die Verwendung von Tracking Cookies von einer klaren und eindeutigen Einwilligung durch den Verbraucher abhängig gemacht werden musste. Dies gilt im Übrigen unabhängig davon, ob die Tracking Cookies zur Speicherung persönlicher Daten genutzt werden oder in anonymer Form verwendet werden, womit auch Frage 3 beantwortet wurde. Es ist nicht zwischen anonymisierter oder nicht anonymisierter Verarbeitung zu unterscheiden.

Bezüglich der Frage 4 hat der EuGH dankenswerterweise weit ausgeholt und beantwortet, welche Informationen der Verantwortliche dem Betroffenen zur Verfügung stellen muss. Dies sind:

  1. Identität des Verantwortlichen
  2. Zweckbestimmungen der Verarbeitung
  3. weitere Informationen z.B. Empfänger der Daten, oder Kategorien von Empfängern

Dies entspricht auch den Vorgaben aus Art. 13 DSGVO.

Rechtliche Auswirkungen für deutsche Unternehmen

Entsprechend betrifft das EuGH-Urteil faktisch alle nicht unbedingt notwendigen Cookies, die im Rahmen des Online Marketings und auch Online Handels vermehrt Verwendung finden.

Setzt man solcherlei Cookies auf Grundalge einer Einwilligung ein, sollte man also vor Setzen des Cookies und der damit einhergehenden Datenverarbeitung eine eindeutige Einwilligung durch Kunden und Besucher der eigenen Seiten einholen.

Der EuGH hat, da der BGH nicht danach gefragt hat, nicht beantwortet, wann ein Cookie ein sogenanntes unbedingt erforderliches Cookies ist, das unproblematisch auch ohne eine Einwilligung des Nutzers gesetzt werden darf. Dies wird die Diskussion weiter anfachen, welches Cookie nun in welcher Konstellation als unbedingt erforderlich angesehen werden kann. So ist z.B. ein Warenkorb Cookie dazu geeignet den Benutzer „zu tracken“. Ohne dieses Cookie wäre aber der Betrieb eines Online-Shops nahezu unmöglich. Auch ist fraglich ob ein Cookie zum Einblenden eines konkreten Werbeinhalts auf einem redaktionell betriebenen Nachrichtenportal zur Finanzierung unbedingt erforderlich ist, wenn dieses vollständig werbefinanziert ist.

Auch nicht beantwortet hat der EuGH, in welchem Umfang z.B. anonymisierte Tracking Cookies im Rahmen eines berechtigen Interesses, gem. Art.6 Abs.1 S.1 lit. f DSGVO eingesetzt werden dürfen. Gerade wenn aber das gesamte Geschäftsmodell eines Seiten-Betreibers werbefinanziert funktioniert, dürften einige gewichtige Gründe für das Überwiegen seines Geschäftsinteresses sprechen. Denkbar wäre hier z.B. das Interesse einer Online-Redaktion oder eines reinen Affiliate-Marketers. Gerade wenn die Daten anonymisiert verarbeitet werden, ist die Eingriffsintensität gegenüber dem Geschäftsinteresse sicherlich als „geringer“ zu bewerten. Dies vor allem im Lichte der Meinungs- und Berufsausübungsfreiheit.

Praktische Konsequenzen des Urteils zu Cookies

Das EuGH Urteil dürfte dazu führen, dass der deutsche Gesetzgeber seine Bemühungen im Hinblick auf eine Anpassung des nationalen Datenschutzrechts verstärken dürfte.

Wer sicher gehen will, der wird in Zukunft auf die Einwilligung setzen müssen, sofern sein Geschäftsmodell ihm dies erlaubt. Hinsichtlich der notwendigen Einwilligung in die Verwendung von Tracking Cookies sind mehrere technische Ansätze möglich. Folgende Kriterien sollten die verwendeten Consent Tools in jedem Fall erfüllen:

  • Die Einwilligung muss durch den Nutzer aktiv gegeben werden (kein vorab gesetztes Häkchen).
  • Vor Erteilung der Einwilligung müssen sämtliche Cookies geblockt sein.
  • Jede Cookie-Art bedarf einer eigenen Einwilligungsbox.
  • Das Consent Tool muss in der Datenschutzerklärung mit aufgeführt und erläutert sein.

e-Privacy-Verordnung – Was muss man beachten und wann kommt sie?

By | Allgemein | No Comments

Durch die Datenschutzgrundverordnung (DSGVO) hat die Europäische Union im Frühling 2018 für frischen Wind in Sachen Datenschutz gesorgt. Ursprünglich plante man die gesetzlichen Änderungen auf noch breiterer Basis. Doch die e-Privacy Verordnung, die eigentlich zeitgleich mit der DSGVO in Kraft treten sollte, befindet sich noch immer im Gesetzgebungsverfahren. Es ist jedoch damit zu rechnen, dass die e-Privacy-Verordnung im Jahr 2020 Gesetzeskraft erlangt. Daher macht es Sinn, sich bereits jetzt näher mit ihren Bestimmungen auseinanderzusetzen.

Gründe für die Einführung der e-Privacy-Verordnung

Bei der e-Privacy-Verordnung handelt es sich dem Grunde nach um ein Gesetz, das die Vorgaben der DSGVO spezifiziert. Dabei geht es vor allem um die Stärkung der Grundrechte sowohl für natürliche als auch juristische Personen. Diese sind nach Auffassung der Europäischen Union durch die bisherige e-Privacy-Richtlinie nicht ausreichend geschützt. Sowohl das Telemediengesetz (TMG) als auch das Telekommunikationsgesetz (TKG) fußen auf dieser Richtlinie. Daher stehen auch für den deutschen Rechtsraum zahlreiche neue gesetzliche Vorgaben an.

Die Notwendigkeit für rechtliche Neuerungen besteht aufgrund der Tatsache, dass sich bei der Kommunikation über Medien in den letzten Jahrzehnten starke Veränderungen ergeben haben. Andere Techniken lösen in immer stärkerem Maße klassische Kommunikationsmittel wie etwa das Telefon ab. Für die älteren Kommunikationsformen bestehen klare gesetzliche Vorgaben, wie etwa die grundgesetzliche Verankerung des Post- und Fernmeldegeheimnisses. Zeitgleich hat man moderne Formen der Kommunikation bislang jedoch nicht in gleicher Weise abgesichert.

Der Schutz privater Daten

Eine solche Sicherung ist jedoch notwendig, da Nutzer über die verschiedenen Plattformen zahllose private Informationen austauschen, die zum Teil intimen Charakter haben. Die e-Privacy-Verordnung soll in diesem Zusammenhang dafür sorgen, dass Privates privat bleibt und ein Zugriff auf diese Daten nur in rechtlich klar umgrenzten Ausnahmefällen möglich ist. Vor allem aber legt die e-Privacy-Verordnung fest, unter welchen Bedingungen die Verarbeitung elektronischer Kommunikationsdaten zu erfolgen hat und welche Bedingungen Dienstleister in diesem Bereich zu erfüllen haben. Dabei ging es dem europäischen Gesetzgeber vor allem darum, das Regelwerk am aktuellen Stand der Technik auszurichten.

Was sich durch die e-Privacy-Verordnung ändert

Doch um welche Fälle geht es bei den gesetzlichen Neuerungen konkret? Ein wichtiges Beispiel hierfür bildet das Tracken des Onlineverhaltens von Usern. Diese Technik stellt bei Abfassung der alten e-Privacy-Richtlinie noch kein Problem dar. Derzeit ist es jedoch so, dass sowohl Suchmaschinen als auch die sozialen Plattformen des Web 2.0 immer feinere Routinen entwickeln, um aus dem Onlineverhalten von Nutzern Rückschlüsse zu ziehen. Dies betrifft vor allen Dingen den Bereich der personalisierten Werbung. Je genauer hier gearbeitet wird, desto mehr Daten wurden erfasst und verarbeitet. Diese Vorgehensweise, die zum viel beschworenen gläsernen Konsumenten führt, unterliegt bislang keinem ausreichenden Maß an gesetzlicher Kontrolle. Da der Eingriff in persönliche Bereiche gleichzeitig massiv ist, führt bereits an diesem Punkt kein Weg an einer neuen e-Privacy-Verordnung vorbei.

Nicht immer dürfen Daten gespeichert werden

Wie der bei der DSGVO geht es auch bei der e-Privacy-Verordnung vor allem darum, die Rechte von Verbrauchern zu stärken. Diese sollen selber darüber entscheiden können, welche ihrer Daten gespeichert und verwertet werden dürfen. Entsprechend setzt die e-Privacy-Verordnung bei der Speicherung wie auch der Verarbeitung von persönlichen Daten durch Kommunikationsdienstleister klare neue Grenzen. Analog zu den Bestimmungen der DSGVO sieht deshalb auch die e-Privacy-Verordnung ein „Recht auf Vergessenwerden“ im Wege der Löschung privater Daten vor. Außerdem dürfen Dienstleister private Daten nur dann zu Analysezwecken verwenden, wenn der Nutzer hierfür im Vorhinein eine Erlaubnis erteilt hat. In diesem Zusammenhang dürfen Anbieter die Nutzung bestimmter Web-Inhalte nicht von einer solchen Einwilligung abhängig machen (Kopplungsverbot). Außerdem hat man im Rahmen der e-Privacy-Verordnung bei der elektronischen Direktwerbung klarere Grenzen gesetzt.

Fazit

Für Unternehmen bedeutet die e-Privacy-Verordnung, dass die Nutzung privater Daten von Kunden zusätzlichen Einschränkungen unterworfen wird. Da die Erstellung von Persönlichkeitsprofilen und die direkte Kontaktaufnahme erschwert werden, werden sich fundamentale Änderungen beim elektronischen Marketing ergeben. Da einzelne Mitgliedsländer Vorbehalte gegenüber der e-Privacy-Verordnung geäußert haben, ist diese bisher nicht in Kraft getreten. Dies wird aller Voraussicht nach jedoch im Laufe des Jahres 2020 geschehen.

Double Opt In Verfahren – Einfach und verständlich erklärt

By | Allgemein | No Comments

Wenn es um personalisiertes Marketing geht, führt an E-Mail Adressen heutzutage kein Weg mehr vorbei. Mailings per Post verursachen im Vergleich nicht nur höhere Kosten. Sie verursachen auch deutlich mehr Aufwand. Gleiches gilt für die Kontaktaufnahme per Telefon. Allerdings gibt es nicht erst seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) rechtliche Hürden, was diese Form des Marketings betrifft.

Persönliche Daten erfordern einen sensiblen Umgang

Die Speicherung von Namen und E-Mail Adressen unterliegt genauso gesetzlichen Vorschriften wie deren Verwendung für das Marketing. Entsprechend wichtig ist es, persönliche Daten entsprechend der Vorgaben der DSGVO zu behandeln. Diese hat die Rechte von Verbrauchern erheblich ausgeweitet, was die Untersagung der Verwendung dieser Daten betrifft. Gleiches gilt im Hinblick auf ein Verlangen nach Löschung oder das Recht auf Einsichtnahme in die eigenen Daten. Schon vor diesem Hintergrund ist es wichtig, personalisiertes Marketing in rechtlicher Hinsicht möglichst wasserdicht zu gestalten.

Das Double-Opt-In-Verfahren

Der einfachste Weg, eine eindeutige Einwilligung von Nutzern in den Erhalt von E-Mails nachzuweisen, ist das so genannte Double Opt In Verfahren. Der englische Begriff „opt in“ steht dabei für ebenjene Einwilligung von Kunden, persönliche Daten der Nutzung für personalisiertes Marketing zu überlassen. Um die Verfahrensweise des Double Opt In Verfahrens näher zu erläutern, ist es zunächst wichtig, sich mit den verschiedenen möglichen Formen der Einwilligung in den Erhalt von E-Mails zu befassen.

Single-Opt-In (SOI)

Die einfachste Form der Einholung von Genehmigung ist die einfache Sammlung von E-Mail Adressen. Beim Single Opt In Verfahren tragen Nutzer ihre Mail Adresse auf der Seite eines Unternehmens ein. Sie erklären damit gleichzeitig ihr Einverständnis zu einer Nutzung für personalisiertes Marketing. Da nicht sichergestellt ist, dass es sich bei der eingetragenen Adresse um eine eigene Adresse des Nutzers handelt, ist diese Methode äußerst anfällig für Probleme.

Confirmed-Opt-In (COI)

Dies gilt auch für die Confirmed Opt In Methode, wenn auch nicht in gleichem Maße. Bei dieser Variante wird dem Nutzer aber immerhin per E-Mail mitgeteilt, dass persönliche Daten von ihm erhoben und gespeichert wurden. Die Speicherung unterliegt aber, anders als beim Double Opt In Verfahren, keiner erneuten, ausdrücklichen Genehmigung durch den Nutzer.

Double-Opt-In (DOI)

Beim Double Opt In Verfahren geben Nutzer nicht nur ihre E-Mail Adresse auf der Seite des Unternehmens an, sondern erhalten außerdem eine E-Mail, in welcher Sie aufgefordert werden, die erteilte Genehmigung für personalisiertes Marketing zu bestätigen. Beim Double Opt In Verfahren hat das Unternehmen damit einen Nachweis, dass es sich tatsächlich um eine E-Mail Adresse des eintragenden Nutzers handelt. Außerdem ist es im Hinblick auf persönliche Daten von Nutzern hilfreich, auf eine zweifache Genehmigung der Nutzung verweisen zu können. Genau diesen Vorteil bietet das Double Opt In Verfahren.

Sicherheit in Sachen Wettbewerbsrecht

Das Double Opt In Verfahren ist jedoch nicht nur in Sachen Datenschutz vorteilhaft, sondern auch in Bezug auf das Wettbewerbsrecht. Die Nutzung von E-Mail Adressen für personalisiertes Marketing unterliegt denselben Einschränkungen wie andere persönliche Daten, die zum Zweck der Kommunikation genutzt werden können. § 7 Abs. 2 UWG betrifft E-Mail-Adressen genauso wie postalische Adressen oder Telefonnummern. Immer wenn ein Unternehmen persönliche Daten ohne vorherige Einwilligung für personalisiertes Marketing verwendet, stellt dies automatisch eine unzumutbare Belästigung von Verbrauchern dar. Diese kann im Sinne von unlauterem Wettbewerb geahndet werden.

Keine Angriffsflächen bieten

Vor diesem Hintergrund erscheint das Double Opt In Verfahren als einzig praktikable Lösung, was die Vermeidung juristischer Probleme betrifft. Sowohl die DSGVO als auch das UWG sehen bei nachgewiesenen Verstößen zum Teil hohe Bußgelder vor. Dem lässt sich effektiv dadurch entgegenwirken, dass persönliche Daten wie E-Mail Adressen ausschließlich im Wege des Double Opt In Verfahrens gesammelt werden und Nutzer jederzeit die Möglichkeit haben, die zuvor gegebene Einwilligung nachträglich problemlos zu widerrufen.

Datenschutz DSGVO Bilanz

Die DSGVO in der Praxis: Eine Bilanz

By | Allgemein | No Comments

Im Mai 2018 wurden neue, verschärfte Regeln im Datenschutz für Unternehmen eingeführt. In diesem Jahr jährte sich die „neue“ DSGVO. Sie zog einige befürwortende, aber auch einige kritische Stimmen nach sich. Es ist schon länger bekannt: Gerade die in der Praxis relevanten Faktoren im Regelwerk wurden außer Acht gelassen und nicht mit wirklicher Sorgfalt behandelt. Ein wichtiger Aspekt ist hier die Kommunikationsverschlüsselung.

Um wirkliche Sicherheit zu gewährleisten, ist eine einheitliche Datenschutz-Verordnung für national und global tätige Unternehmen notwendig. Genau diesen Zweck sollte und soll die DSGVO erfüllen. Doch wie verhält es sich in der Praxis?

Komplexität und Interpretationsspielraum verhindern Umsetzungskonkretisierung

Wirtschaftsjuristen sehen im Regelwerk der Datenschutzgrundverordnung, kurz DSGVO, einen zu großen Aktionsradius. In insgesamt 99 Einzelverordnungen besagen 45 Punkte nichts wirklich Konkretes zum Datenschutz. Bereits die 70 Klauseln zur Eröffnung der DSGVO sorgen dafür, dass die Struktur komplex und die Anwendung in der Praxis eine Hürde anstatt einer Hilfe ist. Fakt ist, dass das Regelwerk zum Datenschutz für alle EU-Unternehmen gilt. Doch von Einheitlichkeit kann keine Rede sein. Im Gesetz ist nämlich direkt verankert, dass jeder Nationalstaat seine eigenen Regularien erlassen und umsetzen kann.

In ihrem Ursprung war die DSGVO als verbindliches und einheitliches Regelwerk für alle Unternehmen gedacht. Doch in der Praxis führt die Grundverordnung zum Datenschutz durch die Möglichkeit von Abstraktionen am eigentlichen Ziel vorbei. So macht sie die Einhaltung von Vorschriften eher schwieriger als einfacher. Es gibt einige Punkte, so die Meinung der Wirtschaftsjuristen, die nur in der Theorie durchdacht wurden. In der Umsetzung der DSGVO seien sie nur leere Drohungen ohne praktizierte Durchsetzung. Auf dieser Basis ist eine wirkliche Verbesserung im Datenschutz kaum erzielbar. Und Probleme haben vor allem kleine und mittelständische Unternehmen. Diese nahmen viel Geld an die Hand und investierten in die Datensicherheit ihrer Firma.

Abmahnungen bei Verstoß im Datenschutz existieren nur auf dem Papier

Schon vor der Einführung der DSGVO breiteten sich Angst und Schrecken vor Abmahnungen aus. Denn diese sollten mit mehrstelligen Beträgen bei kleinsten Verstößen erfolgen. Dadurch stellten sie vor allem für kleine Unternehmen ein hohes existenzielles Risiko dar. Doch in der Realität liegt die Menge der unternehmerischen Selbstanzeigen im letzten Jahr deutlich höher als die Anzeigen von Bürgern und Bürgerinnen. Während 7.293 Unternehmen eigene Verstöße im Datenschutz anzeigten, fühlten sich nur 3.064 Bürger in ihren datenschutzrechtlichen Belangen bedroht. Bei der zuständigen Behörde eingehende Beschwerden bezogen sich explizit auf Videoüberwachungen sowie auf Werbung per Telefon und E-Mail.

In nur 75 Fällen wurde überhaupt eine Strafe verhängt, die laut BDI in ihrer Gesamtheit nicht mehr als 450.000 EUR betrug. Im Großen und Ganzen lässt sich daher festhalten: In den Androhungen von Abmahnungen bei Verstößen gegen die DSGVO ging es eher um das Schüren von Angst als um einen wirklichen Gedanken an eine Abstrafung bei Zuwiderhandlung. Ein nicht durchgesetztes Gesetz kann noch so innovativ sein: In der Praxis bringt es keinen Mehrwert, wenn es nur auf dem Papier existiert.

Die Verschlüsselung bei Kommunikationen ist in der Praxis angekommen

Auch wenn einige Paragraphen der DSGVO unverständlich und breitgefächert interpretierbar sind: Ein wichtiger Punkt hat sich in der Praxis durchgesetzt. Wenn es um die Verschlüsselung von E-Mails geht, ist die Grundverordnung im Datenschutz in der Gesellschaft angekommen. Banken und andere Finanzunternehmen sowie Versicherungen und sensible Branchen haben die Vorschriften zur Verschlüsselung des E-Mail-Verkehrs schon lange vor Einführung der DSGVO vorgenommen. Seit einiger Zeit gibt es immer mehr Interessenten im Handel, in der lebensmittelverarbeitenden Industrie, bei Juristen und Ärzten.

Auch freiberuflich Tätige der erwähnten Branchen und Kleinunternehmen interessieren sich für den Bereich End-to-End-Verschlüsselung nach den Regeln der DSGVO. Ein Grund hierfür könnte die immer stärker werdende Orientierung des Hostings in einer Cloud sein. Um in diesem Bereich absolute Diskretion und Datenschutz zu bieten, ist eine hochwertige Verschlüsselung unerlässlich. Der BDI sieht in der DSGVO einen Grundstein für mehr Datenschutz und sieht dem Verschlüsselungsinteresse mit größter Aufmerksamkeit zu.

DSGVO Rechte

Diese Rechte haben Verbraucher nach der DSGVO

By | Allgemein | No Comments

Durch die Einführung der DSGVO hat man die Rechte von Verbrauchern im Hinblick auf den Schutz ihrer Daten seit Mai 2018 erheblich erweitert. Zwar bestand auch zuvor bereits ein Recht auf Löschung sowie ein Recht auf Auskunft nach deutschem Datenschutzrecht. Die DSGVO hat diese Rechte jedoch konsequent erweitert. Außerdem war bisher nicht in jedem Mitgliedsland der Europäischen Union ein Recht auf Auskunft bzw. ein Recht auf Löschung der eigenen Daten in gleicher Weise gegeben. Diesem Umstand trug man durch die der Verordnung zugrundeliegenden Richtlinie Rechnung. Daher schuf man ein europaweit einheitliches Recht auf Auskunft bzw. Recht auf Löschung.

Ein europäisches Grundrecht

Das Grundgesetz sieht das Recht auf informationelle Selbstbestimmung als Teil der allgemeinen Handlungsfreiheit. Im Gegensatz dazu gibt es in der Menschenrechtscharta der Europäischen Union mit Art. 8 ein eigenes Grundrecht auf Datenschutz.

Diesem Prinzip trägt man durch zwei Punkte Rechnung: Erstens erweiterte man das Recht auf Löschung wie auch das Recht auf Auskunft im Rahmen der DSGVO jeweils erheblich. Zusätzlich schuf man neue Rechte für Verbraucher. Zielsetzung der Europäischen Union war dabei, das Recht der Verbraucher an den eigenen Daten nachhaltig zu stärken. Konkret stellen sich diese neuen Rechte folgendermaßen dar:

Recht auf Auskunft nach DSGVO

Ein Recht auf Auskunft darüber, welche Daten ein Unternehmen speichert, bestand für Verbraucher auch bereits vor Einführung der DSGVO. Allerdings wurde das Recht auf Auskunft im Zuge der Neuerung erweitert. Verbraucher haben nicht nur ein einfaches Recht auf Auskunft über die gespeicherten Daten. Sie können auch die Überlassung einer Kopie dieser Daten verlangen. Außerdem geht es beim Recht auf Auskunft nicht nur darum, die eigenen Daten an sich mitgeteilt zu bekommen.

Auch die Zwecke, zu denen sie gespeichert und verarbeitet werden, müssen Unternehmen angeben. Verbraucher haben außerdem Recht auf Auskunft darüber, welchen Dritten gegenüber die Daten offen gelegt wurden oder wem sie gegebenenfalls überlassen wurden. Insofern hat die DSGVO das Recht auf Auskunft in entscheidender Weise zum Vorteil von Verbrauchern ausgebaut.

Recht auf Löschung nach DSGVO

Neben dem Recht auf Auskunft besteht eine Reihe weiterer Rechte zugunsten von Verbrauchern gegenüber Unternehmen. Neuerungen hat dabei auch das Recht auf Löschung erfahren. Dieses geht zurück auf eine Entscheidung des Europäischen Gerichtshofs. In dieser stellte das Gericht fest, dass es ein „Recht auf Vergessenwerden“ gibt. Dieses Recht auf Vergessenwerden ist am einfachsten zu erzielen durch ein möglichst weitgehendes Recht auf Löschung persönlicher Daten. Entsprechend umfangreich hat man das Recht auf Löschung in der DSGVO. Dies betrifft vor allem die Verpflichtung zur Löschung von Daten ohne besondere Aufforderung durch den Inhaber derselben.

Dies betrifft nach 17 Abs. 1 DSGVO etwa den Fall, dass der Zweck, für den die Daten ursprünglich erhoben wurden, inzwischen weggefallen ist. Selbst wenn dann ein neuer Grund für die Fortführung der Speicherung besteht: Es bedarf einer erneuten Einwilligung durch den betroffenen Verbraucher. Anderenfalls hat eine Löschung ohne besondere Aufforderung automatisch zu erfolgen. Gleiches gilt, wenn der Verbraucher die Einwilligung zur Speicherung und Nutzung der persönlichen Daten widerruft. In diesem Fall haben Unternehmen nur eine Möglichkeit, die Daten weiterhin gespeichert zu halten: Wenn für die Speicherung ein entsprechend berechtigtes Interesse vorliegt. Anderenfalls greift das Recht auf Löschung.

Beispiel:

Die berechtigten Interessen des Unternehmens auf Fortführung der Speicherung der Daten gehen etwa dann dem Recht auf Löschung des Verbrauchers vor, wenn eine durch den Verbraucher bestellte Ware bereits geliefert aber noch nicht gezahlt wurde. In diesem Fall hat das Unternehmen ein vitales Interesse daran, die Adresse des Kunden gespeichert zu lassen. Diese ist für die Einleitung zivilrechtlicher Schritte nämlich zwingend notwendig. Ohne Speicherung müsste man sie erst auf komplizierte Weise neu beschaffen.

Fazit:

Für Unternehmen ist der Datenschutz durch die DSGVO deutlich komplizierter geworden. Rechte von Verbrauchern wie das Recht auf Auskunft oder auch das Recht auf Löschung wurden gestärkt und zum Teil entscheidend erweitert. Dies betrifft insbesondere ein deutlich umfangreicheres Recht auf Auskunft, welches sich nicht nur auf die Daten als solche, sondern auch auf die Zwecke der Nutzung bezieht. Einhergehend mit der steigenden Komplexität des Datenschutzes für Unternehmen ist natürlich auch das Risiko zur Abmahnung bei Dateschnutzverstoß gestiegen.

Patientenschutz

Patientenschutz – Datenweitergabe von Patientenunterlagen

By | Allgemein | No Comments

Eine Patientenakte unterliegt in Deutschland dem Datenschutz, während Ärzte sich zugleich an ihre Verschwiegenheitspflicht halten müssen. Schließlich geht es hier um den Patientenschutz. Die Weitergabe von Daten aus diesen Unterlagen ist ohne eine Einverständniserklärung deshalb nur in Ausnahmefällen und unter strengen Voraussetzungen möglich. Medizinische Einrichtungen sind grundsätzlich zum Schutz der Akten verpflichtet.

Gesundheitliche Interessen als Zweck und Voraussetzung der internen Datennutzung

Die Speicherung und Nutzung einer Patientenakte erfüllt in erster Linie den Zweck, Diagnosen sowie Behandlungen zu erleichtern. Es gilt innerhalb einer Arztpraxis als entscheidend, ob die Datenerhebung den gesundheitlichen Interessen eines Menschen dient. Solange Ärzte die Daten lediglich intern für Therapien oder die Vorsorge verwenden, ist daher in der Regel keine wiederholte Einverständniserklärung erforderlich.

Wegen der Schweigepflicht dürfen sich Patienten üblicherweise darauf verlassen, dass Mediziner nicht gegen den Willen des Betroffenen mit Unbefugten über Inhalte der Akte reden. Die Rede ist hier von Patientenschutz. Bei der Datenweitergabe an Dritte gelten besonders strenge Regelungen, die im Bundesdatenschutzgesetz festgehalten wurden.

Strenge Bestimmungen zur vereinzelten Datenweitergabe an Dritte ohne Einverständniserklärung

Daten aus einer Patientenakte dürfen in Deutschland nur an wenige Organisationen und Behörden trotz einer fehlenden Einverständniserklärung unter bestimmten Voraussetzungen weitergegeben werden. Dabei ist aber meistens nicht die komplette Akte von der Datenweitergabe betroffen. Ohne Einverständniserklärung erhält der Empfänger in der Regel lediglich Informationen aus dem Teil der Patientenakte, den er aus einem triftigen Grund einsehen muss.

Viele empfangsberechtigte Einrichtungen sind vor der Weitergabe dazu verpflichtet, im Detail die Gründe für den Anspruch auf einzelne Daten darzulegen und den Umfang der angeforderten Akteninhalte genau zu definieren. Solange keine Einverständniserklärung vorliegt, bleibt der Kreis der potenziellen Anspruchsberechtigten sehr klein. Es hängt zudem immer vom jeweiligen Einzelfall ab, ob das Anrecht auf die Weiterleitung der Patientendaten in der speziellen Situation tatsächlich besteht.

Beispiele für anspruchsberechtigte Einrichtungen in Einzelfällen

Zum Teil darf beispielsweise die eigene Krankenversicherung des Betroffenen für Ausschnitte der Patientenakte die Datenweitergabe verlangen. Der medizinische Dienst der Krankenkassen braucht wegen der Erstellung eines Gutachtens manchmal Informationen aus der Patientenakte. Ohne Einverständniserklärung erfahren Gutachter aber im Normalfall maximal von Krankheiten und Behandlungen, die dafür tatsächlich relevant sind.

Wenn es zu Berufskrankheiten kommt, besteht eventuell auch für Berufsgenossenschaften ein Anspruch auf Inhalte der Patientenakte. Während eine Datenschutzbehörde die Einhaltung von Vorgaben überprüft, ist eventuell ebenfalls eine Datenweitergabe erforderlich.

In außergewöhnlichen Einzelfällen erhalten darüber hinaus die Polizei oder die Staatsanwaltschaft Zugang zu einer Patientenakte, obwohl keine Einverständniserklärung vorliegt. Dazu kommt es häufig insbesondere, sobald die Behörden im Interesse von gefährdeten Personen handeln. Die Verhinderung zukünftiger Straftaten ist ein weiterer möglicher Grund für eine Datenweitergabe ohne Einverständniserklärung.

Verpflichtung zum Patientenschutz und Schutz der Patientenakten im Krankenhaus und der Arztpraxis

Krankenhäuser sind in Hinsicht auf Patientenschutz ebenso wie eine Arztpraxis dazu verpflichtet, eine Patientenakte vor dem Zugriff von Unbefugten zu schützen. Für handschriftliche oder gedruckte Unterlagen gelten im Vergleich zu einer digitalen Akte dabei unterschiedliche Vorgaben. Es muss beispielsweise durch Sicherheitsmaßnahmen sichergestellt sein, dass Dritte in einer Klinik nicht einfach auf Computer mit den Daten zugreifen oder Papierakten entwenden. Bei Erhebungen für Forschungszwecke ist wiederum eine zuverlässige Anonymisierung zumindest ohne ausdrückliche Einverständniserklärung alternativlos.

Die meisten medizinischen Einrichtungen wenden sich an Datenschutzbeauftragte, um bei der Erfüllung der präzisen Vorschriften Missverständnisse zu verhindern. Wenn keine Einverständniserklärung vorliegt, führt die unbefugte Weitergabe einer Patientenakte für die Verantwortlichen oft zu Geldstrafen, Abmahnungen oder schwerwiegenderen Konsequenzen. Es ist allerdings häufig kaum möglich, einen verbotenen Datenhandel nachzuweisen.

Voraussetzungen für eine wirksame Einverständniserklärung und Möglichkeiten des Auskunftsrechts

Eine Einverständniserklärung zur Übertragung von Informationen aus einer Patientenakte gilt nur, insofern der Betroffene über die Datenweitergabe zuvor umfassend aufgeklärt wurde. Dabei muss ein Arzt dem Patienten alle Empfänger nennen und den konkreten Zweck der Datennutzung erläutern. Wer beispielsweise selbst ein Gutachten erstellen lassen möchte, darf dafür seinen Arzt auch schriftlich von der Schweigepflicht entbinden. Es ist zwingend erforderlich, dass jede Einverständniserklärung die Absichten des Patienten unmissverständlich ausdrückt. Erklärungen mit ungenauen Formulierungen bleiben unwirksam.

Durch das Auskunftsrecht besteht die Gelegenheit, die eigene Patientenakte selbst zu überprüfen. Daraufhin dürfen Patienten die Löschung von unzulässig erhobenen Informationen verlangen. Ein Anspruch auf die Sperrung oder Berichtigung einzelner Inhalte entsteht manchmal ebenso. So können die Patienten teils selber den Patientenschutz gewährleisten.

Whatsapp Alternative

WhatsApp Alternativen für mehr Datenschutz – diese Messenger sollten Unternehmen sich ansehen

By | Allgemein | No Comments

Nicht ganz zu Unrecht ist WhatsApp in Unternehmen nicht unbedingt die erste Wahl für eine schnelle und sichere Kommunikation. Denn der Messenger, der inzwischen Facebook gehört, ist zwar komfortabel und blitzschnell, allerdings beim Datenschutz mangelhaft.

Das stößt schon so manchem Privatuser sauer auf. Doch bei Unternehmen stehen potentiell Interna auf dem Spiel. Entsprechend sollten Firmen sich nach einer WhatsApp Alternative umsehen, die WhatsApp im Unternehmen obsolet macht.

Einige passende Messenger verrät dieser kompakte Überblick.

Warum WhatsApp in Unternehmen nur zweite Wahl ist – Datenschutz und Datensicherheit auf dem Prüfstand

Zunächst einmal ist festzuhalten, dass WhatsApp funktional einer der besten Instant Messenger ist. Dafür sorgt alleine die hohe Verbreitung, die jedoch bei Messengern – anders als etwa bei Social Media – de facto keine Monopolisierung ausgelöst hat.

Dass WhatsApp in Unternehmen und bei privaten Nutzern also Probleme mit dem Datenschutz aufweist, ist in diesem Fall nicht ganz so kritisch. Schließlich kann sich jeder User selbst entscheiden, zu einer WhatsApp Alternative zu wechseln.

Zu den beschriebenen, zuwenigst problematischen Punkten zählen beispielsweise das

  • Speichern (und die potentielle Weitergabe) von Telefonnummern,
  • Geräten und Betriebssystemen, Registrierungsdatum,
  • letztem Log-In
  • und häufig genutzten Funktionen.

Die Weitergabe bezieht sich vor allem auf Werbezwecke, auch Daten aus den Adressbüchern kann der Messenger weitergeben. Das ist bei WhatsApp in Unternehmen natürlich besonders kritisch, etwa dann, wenn die WhatsApp Daten von Kunden an die Werbepartner von WhatsApp und Facebook weitergegibt.

Zudem, auch das ist besonders kritisch, kann WhatsApp die Userdaten  in die USA schicken. Die Daten sind somit nicht an inländische Server und deren hohe Sicherheitsstandards gebunden.

Dass WhatsApp auch Unternehmen mit Features wie der Ende-zu-Ende-Verschlüsselung locken will, ist zwar nett gemeint. Dies schützt aber Firmendaten vor der eigentlichen Gefahr nicht. Denn natürlich ist es lobenswert, dass WhatsApp Unternehmen einen zusätzlichen Schutz der Nachrichten vor dem Zugriff Dritter bietet. Gefährdet sind die Daten aber zunächst einmal durch WhatsApp selbst.

Das lässt sich mit einer WhatsApp Alternative natürlich leicht umgehen. Sichere und mit dem Datenschutz konforme Apps bietet die folgende Liste.

Threema – deutlich sicherer als WhatsApp in Unternehmen

Der Messenger Threema wurde ursprünglich in der Schweiz entwickelt und bietet gleich mehrere Verifizierungsverfahren. Um etwa die Identität eines Nachrichtenempfängers sicher festzustellen, ist ein QR-Code auf dessen Gerät zu scannen.

Personenbezogene Daten werden überhaupt nicht übermittelt und alle gesendeten und empfangenen Daten verschlüsselt. Diese Verschlüsselung macht sich tatsächlich auch in einer winzigen Verzögerung dieser WhatsApp Alternative bemerkbar. Weiter störend ist das nicht, allerdings ist die App auch nicht kostenlos.

Ideal ist Threema damit vor allem für kleinere Unternehmen mit zentral verwalteter IT und für die interne Kommunikation.

Teamwire – ein Messenger für Unternehmen

Anders als WhatsApp, das für Unternehmen doch nur ein zweckentfremdeter Messenger für private User ist, ist Teamwire eine App für die Firmenkommunikation.

Das bedeutet, dass man beispielsweise Team-Kanäle einrichten kann, was die Kommunikation in Unternehmen doch deutlich erleichtert. Mit Umfragen, Admin-Funktionen, Anbindung an IoT-Systeme und maßgeschneiderten Team-Alarmen bietet Teamwire zusätzliche Tools, die WhatsApp einem Unternehmen nicht bieten kann.

Auch die Basics stimmen und Teamwire ist mindestens eine vollkommen funktionale WhatsApp Alternative . Das anpassbare Design erlaubt zudem etwas mehr Flexibilität.

Außerdem ist das Messaging absolut konform mit der neuen Datenschutzgrundverordnung (DSGVO).

Telegram – ein leichter Umstieg

Telegram ist nicht nur als Ersatz von WhatsApp in Unternehmen reizvoll, sondern auch für private User. Die Verschlüsselung erfolgt zwischen Sender, Server und Client, so dass nur Sender und Empfänger Nachrichten lesen können. Eine Ende-zu-Ende-Verschlüsselung und automatisches Löschen der Nachrichten kann zudem auf Wunsch aktiviert werden. (Der Fairness halber: WhatsApp bietet diese Funktion für mehr Datenschutz auch.)

Über Telegram kann man auch große Dateien verschicken und muss Bildanhänge nicht komprimieren. Das macht Telegram auch zu einer guten Wahl für einen schnellen Datenaustausch zwischen Smartphone und Desktop-Client.

Das Unternehmen selbst ist aber etwas intransparent, bedenkenlos kann Telegram daher nicht empfohlen werden.

Datenschutz und schnelles Messaging für Unternehmen

Wie dieser Überblick zeigen sollte, muss es nicht immer WhatsApp sein. Natürlich haben viele User die App bereits installiert. Dies macht es so komfortabel, sie auch im professionellen Kontext zu nutzen – aus Datenschutzgründen ist davon allerdings abzuraten.

Telegram, Threema, Teamwire oder auch ginglo, Signal und Hoccer sind veritable Alternativen, die mehr Datenschutz bieten, aber Komfort und Funktionen nicht vermissen lassen.

DSFA

DSFA – Wir erklären die Datenschutz Folgenabschätzung

By | Allgemein | No Comments

Die Einführung der DSGVO im Frühjahr letzten Jahres hat insbesondere für Unternehmen eine große Reihe von rechtlichen Konsequenzen gehabt. Eine dieser Änderungen betrifft die so genannte Datenschutz Folgenabschätzung (DSFA). In dieser Hinsicht wurden die gesetzlichen Vorgaben gegenüber der alten Fassung des BDSG deutlich ausgeweitet.

Wann ist eine Datenschutz Folgenabschätzung notwendig?

Bei der Datenschutz Folgenabschätzung geht es, wie der Name bereits sagt, um die Abschätzung der Folgen von Maßnahmen im Hinblick auf den Datenschutz. Hierzu lauten die entsprechenden Ausführungen in Art. 35 Abs. 1 S. 1 der DSGVO wie folgt:

Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.

Wie bereits auf den ersten Blick erkennbar ist, handelt es sich um keine Kann- oder Soll-, sondern um eine Mussbestimmung. Immer wenn ein hohes Risiko in Sachen Datenschutz besteht, ist daher eine DSFA durchzuführen. Andererseits handelt es sich gleichwohl um eine Vorschrift, die eine Ermessensausübung durch den Datenschutzbeauftragten in Form einer Abwägung notwendig macht. Im Rahmen einer vorausschauenden Betrachtung der Sachlage muss er die Wahrscheinlichkeit eines Eintritts von Problemen beim Datenschutz überprüfen. Nur sofern hier ein hohes Risiko besteht, ist die DSFA zwingend vorgeschrieben.

Worum geht es bei der Datenschutz Folgenabschätzung inhaltlich?

Nachdem der gesetzliche Rahmen für die Notwendigkeit der Durchführung einer DSFA damit abgesteckt ist, geht es im nächsten Schritt um deren Durchführung. Die Datenschutz Folgenabschätzung erfolgt in mehreren Abschnitten. Dabei handelt es sich um folgende drei Phasen:

  • Vorbereitung:
    Definition des Gegenstands der Prüfung sowie der Akteure und rechtlichen Grundlagen
  • Bewertung:
    Einschätzung der bestehenden Risiken in Sachen Datenschutz
  • Maßnahmen:
    Implementierung von Regeln und Maßnahmen zur Prävention von Datenschutzverletzungen

Wichtig ist dabei, sämtliche Schritte gut zu dokumentieren, um einen Nachweis über die Durchführung der Datenschutz Folgenabschätzung zu haben. Dies ist nicht zuletzt deshalb wichtig, weil Art. 35 Abs. 1 S. 2 der DSGVO festlegt, dass bei ähnlichen Bearbeitungsvorgängen eine einzige DSFA für alle diese Vorgänge vorgenommen werden kann. Durch die Dokumentation sind daher auch kurze Zeit später auftretende Probleme verwandter Art mit abgedeckt.

Regelbeispiele nach Art. 35 Abs. 3 DSGVO

Wie bereits ausgeführt, obliegt dem durchführenden Organ der DSFA die Pflicht einer Abwägung der Risiken. Hier können die Ergebnisse naturgemäß je nach Charakter der Verantwortlichen variieren. In bestimmten Fällen gibt jedoch der Gesetzestext der DSGVO vor, dass eine DSFA zwingend durchzuführen ist. Die entsprechenden Regelbeispiele lassen sich in Art. 35 Abs. 3 DSGVO finden. Diese Fallbeispiele lauten:

  1. Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen,
  2. umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10, oder
  3. systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Eine DSFA ist demnach aufgrund von Fallgruppe eins immer dann notwendig, wenn das Maß an Verarbeitung persönlicher Daten in einen Bereich gelangt, in dem die Erstellung persönlicher Profile möglich ist. Fallgruppe zwei betrifft dagegen die Notwendigkeit der Durchführung einer DSFA, wenn die gespeicherten personenbezogenen Daten sich sensible strafrechtliche Informationen beziehen. Fallgruppe drei schließlich betrifft die Erstellung und Speicherung von Fotos und Videoaufzeichnungen, die im öffentlichen Raum gemacht wurden.

Im Zweifel immer eine DSFA durchführen

Die genannten Beispiele zeigen, dass es dem Gesetzgeber bei der Datenschutz Folgenabschätzung darum geht, besonders heikle Aspekte des Datenschutzes besser in den Griff zu bekommen. Entsprechend der Beispiele fällt es deutlich einfacher, die gesetzlichen Anforderungen besser zu verstehen, da dass erforderliche hohe Risiko auf diese Weise deutlich besser begreifbar ist. Festzuhalten bleibt aber, dass die Latte zwecks Meidung von Risiken im Zweifel immer eher zu niedrig als zu hoch aufgelegt werden sollte, wenn es um die Frage der Notwendigkeit einer DSFA geht.

Personalisiertes Marketing

Personalisiertes Marketing und DSGVO: Der richtige Umgang mit persönlichen Kundendaten

By | Allgemein | No Comments

Durch das Inkrafttreten der DSGVO im Frühjahr 2018 haben sich die gesetzlichen Rahmenbedingungen für personalisiertes Marketing entscheidend verändert. Die Rechte von Verbrauchern in Bezug auf die Erlangung, Speicherung und Löschung von Daten wurden stark ausgeweitet.

Dem müssen Unternehmen beim Umgang mit persönlichen Daten Rechnung tragen, da auch die Sensibilität von Verbrauchern im Hinblick auf einen effektiven Datenschutz in den letzten Jahren stärker geworden ist. Daher sind die relevanten Faktoren regelmäßig anhand einer Checkliste zu überprüfen, um einen möglichst sicheren und transparenten Schutz von Daten dauerhaft zu gewährleisten. Folgende Aspekte sind dabei von besonderer Relevanz:

Kontaktformulare

Ob es um die Beantwortung von Fragen, die Bestellung von Waren oder das Abonnieren eines Newsletters geht: Kaum eine Firmenseite im Internet kommt ohne Kontaktformular aus. Damit eine Antwortmöglichkeit gegeben ist und der Kunde persönlich angesprochen werden kann ist die Erhebung bestimmter persönlicher Daten unumgänglich. Sofern mit den Daten personalisiertes Marketing betrieben werden soll, bedarf es einer entsprechenden expliziten Einwilligung durch den Nutzer.

Anderenfalls stellt die Verwendung der Daten für personalisiertes Marketing einen Verstoß gegen die DSGVO dar. Aufgrund der möglichen hohen Bußgelder ist an diesem Punkt eine klare Darlegung des Verwendungszwecks der Daten unumgänglich. Weiterhin kommt es darauf an, Daten möglichst sparsam zu erheben und damit nur die Daten, die für den jeweiligen Zweck unerlässlich sind. Darüber hinaus sollte die Verschlüsselung höchsten technischen Ansprüchen genügen.

Newsletter- und E-Mail-Marketing

Wie bereits erklärt, kommt es insbesondere in Bezug auf personalisiertes Marketing mittels Newsletter oder E-Mail entscheidend auf eine explizite Einwilligung des Nutzers an. Auch wenn die DSVGO hierzu keine verbindlichen Vorgaben macht, gehört auf die Checkliste, dass personalisiertes Marketing nur nach einem Double-Opt-In-Verfahren zulässig sein sollte.

Der Nutzer sollte daher nicht nur auf der Seite angeklickt haben, dass er personalisiertes Marketing wünscht, sondern außerdem per E-Mail zusätzlich seine Einwilligung für personalisiertes Marketing erteilt haben. Weiterhin sollte jeder Newsletter bzw. jede E-Mail einen Link enthalten, über den sich der Bezug von Werbung, bei gleichzeitiger Löschung der Daten gemäß DSGVO, beenden lässt.

Cookies

Im Hinblick auf die Einhaltung der Grundsätze der DSGVO haben auch Cookies eine Relevanz, die durch die Seiten eines Unternehmens automatisch auf den Rechnern von Nutzern platziert werden. Auch wenn es sich hierbei nicht um personalisiertes Marketing handelt, ist dieser Punkt auch im Rahmen dieses Artikels notwendig, da auch insoweit eine Aufklärungspflicht sowie die Notwendigkeit der Einholung einer Erlaubnis durch den Nutzer besteht.

Auftragsverarbeitung

Auf die Checkliste zur Einhaltung der DSGVO gehört außerdem der Unterpunkt Auftragsverarbeitung. Da es sich dabei um die Weitergabe von persönlichen Kundendaten an Dritte zwecks Bearbeitung von Aufträgen handelt, ist dieser Bereich besonders sensibel und entsprechend gut technisch wie formal abzusichern.

Social Plugins

Social Plugins für Plattformen des Web 2.0 sollten ebenfalls Teil der Checkliste für eine regelmäßige Überprüfung der Datensicherheit nach der DSGVO sein. Personalisiertes Marketing auf diesem Wege zu betreiben ist in der einfachen Form nach der DSGVO ohnehin nicht mehr zulässig. Vielmehr ist eine 2 Klick Lösung notwendig, bei welcher der Nutzer den Sharing Button zunächst aktiv freischaltet, ehe er diesen anklickt.

Recht auf Vergessenwerden

Unerlässlich für die Checkliste ist außerdem ein Unterpunkt im Hinblick auf eine effektive Löschung von Daten. Im Hinblick auf die Nutzung, Änderung und Löschung von Daten wurden die Rechte von Verbrauchern durch die DSGVO entscheidend ausgeweitet. Daher sollten die technischen Grundlagen so ausgestaltet sein, dass jeweils eine vollständige Löschung vollzogen wird und eine versehentliche Nutzung für personalisiertes Marketing sicher ausgeschlossen werden kann.

Überprüfung der Bestandsdaten

Neben der zukünftigen Weiterentwicklung des Datenschutzes im Sinne der DSGVO geht es auch um die Überprüfung der in der Vergangenheit gesicherten Bestände von persönlichen Daten. Deren Speicherung und Nutzung sind anhand der neuen rechtlichen Rahmenbedingungen zu überprüfen. Eventuell notwendige Genehmigungen sind nachträglich einzuholen.