Logo Tobias Lange Unternehmensberatung

Tobias Lange

Unternehmensberater
Externer Datenschutzbeauftragter
Hamburg, den 02. März 2021

DATENSCHUTZ NEWSLETTER

Sehr geehrte Kunden und Abonnenten des Newsletters,

ich freu mich eine neue Ausgabe des Newsletter versenden zu dürfen.

Als Themen diese Newsletters habe ich folgendes ausgewählt:
  1. Die drei Grundlagen des Datenschutzes
  2. Das gekippte EU-US Privacy Shield Abkommen
  3. Die informierte Einwilligung
  4. IT-Grundschutz nach BSI - Teil 1

1. Die drei Grundlagen des Datenschutzes

Aus aktuellem Anlass der letzten Wochen möchte ich noch einmal drei Grundlagen des Datenschutzes klar benennen:

Zum einen darf man als Unternehmen oder Institution nur personenbezogene Daten sammeln und verarbeiten, wenn es dafür eine Rechtsgrundlage gibt. Rechtsgrundlagen sind eine gesetzliche Erlaubnis oder Verpflichtung, ein bestehendes Vertragsverhältnis oder ernsthafte vorvertragliche Verhandlungen sowie die ausdrückliche Einwilligung der betroffenen Person. Ein berechtigtes Interesse besteht nur dann, wenn man wirklich wichtige Gründe anführen kann, die eindeutig über die Nachteile für die betroffene Person überwiegen und auch für diese von Vorteil sind. Das ist sehr selten der Fall. Auf den Punkt gebracht: Personenbezogene Daten zu sammeln und zu verarbeiten ist deswegen in Ordnung, weil es gerade so schön bequem ist und das Geldverdienen leicht macht, ist kein berechtigtes Interesse, stellt keine Rechtsgrundlage dar und sollte auch nicht als Kavaliersdelikt gesehen werden. .

Zum anderen muss man als verantwortliche Stelle, wenn man personenbezogene Daten sammelt und verarbeitet, die betroffenen Personen hierüber informieren. In den Artikeln 13 und 14 der DSGVO ist explizit festgelegt, was eine solche Information beinhalten muss. Das ist insbesondere dann wichtig (Artikel 14 DSGVO), wenn die personenbezogenen Daten nicht bei der betroffenen Person selbst gesammelt wurden und diese keine Kenntnis darüber erlangen konnte. Hiervon kann nicht aufgrund eines unverhältnismäßigen Aufwands verzichtet werden, weil die Information, zum Beispiel per Briefversand, zu teuer wäre etc. Ein unverhältnismäßiger Aufwand hierfür liegt in der Regel nicht vor und man kann sich auf keinen Fall aus wirtschaftlichen Interessen darauf berufen. Betroffene Personen sind immer zu informieren, wenn man ihre Daten sammelt und verarbeitet, ohne dass diese unmittelbar davon Kenntnis haben.

Und zum Dritten noch der Zweck der Sammlung und Verarbeitung. Personenbezogene Daten dürfen nur für den Zweck, für welchen sie erhoben werden und eine Rechtsgrundlage besteht, gesammelt und verarbeitet werden. Will man die Daten für einen anderen Zweck nutzen, dann bedarf es dafür einer erneuten Rechtsgrundlage, in der Regel einer Einwilligung der betroffenen Personen. Auch eine Erweiterung des Zwecks der Nutzung personenbezogener Daten kann man sich nicht mit einem berechtigten Interesse einfach herleiten, da ja bereits die Daten für einen anderen Zweck rechtswirksam gesammelt wurden. Das ist nicht zulässig und ein Datenschutzverstoß.



2. Das gekippte EU-US Privacy Shield Abkommen

Das Urteil des EUGH kam nicht überraschend. Dass das EU-US Privacy Shield Abkommen nicht den Erfordernissen eines Angemessenheitsbeschlusses entspricht, war eigentlich jedermann klar. Für die Praxis hat dieses einige Auswirkungen:

Wer Daten in die USA überträgt, kann dieses nicht mehr einfach so tun. Es ist jetzt entweder erforderlich, dass man mit dem Partner in den USA eine Standarddatenvereinbarung schließt oder man muss sich eine ausdrückliche und über den Sachverhalt informierte Einwilligung seitens der betroffenen Personen einholen. Es handelt sich dabei um eine Einwilligung nach Art. 49 Abs. 1 lit. a.) DSGVO. Hierbei muss klar darüber informiert werden, dass personenbezogene Daten in die USA übertragen werden, und dass der Schutz der Daten dort nicht analog zum europäischen Datenschutz gewährleistet ist. Daneben, so verlangt es die DSGVO an dieser Stelle, soll der Betroffene über die Risiken aufgeklärt werden. In wie weit welche Risiken bestehen, muss im Einzelfall betrachtet werden. Grundsätzlich sollte bei unspezifischen Risiken ein Text wie "es ist nicht gewährleistet, dass Ihre personenbezogene Daten zum Zweck von Werbung und Beeinflussung jeder Form verarbeitet als auch überall hin weiterübertragen werden könnten" genügen.

Einzelne Unternehmen haben bereits auf die rechtliche Veränderung reagiert. Darunter Google, das ab dem 12. August in seinen AGBs für Analytics Standard-Datenschutzklauseln im Sinne der DSGVO verankert hat. Allerdings ist Vorsicht geboten. Ein rechtssicherer Vertrag mit dem Auftragsverwalter ist eine Sache. Eine andere Sache ist die tatsächliche Umsetzung und der wirklich angemessene Schutz der Daten in der Praxis. Letztlich ist es die Pflicht des Auftraggebers sich beim Auftragsverwalter über die Umsetzung zu informieren, diese auch zu kontrollieren und so sicherzustellen. Derartiges ist bei Google und anderen amerikanischen Unternehmen schlichtweg unmöglich. Eine Einwilligung nach Art. 49 Abs. 1 lit. a.) DSGVO wäre zu bevorzugen und dürfe rechtssicherer sein.

Um in diesem Zusammenhang noch eine Sache klarzustellen: Wenn Google oder andere Anbieter jetzt Standard-Datenschutzklauseln in ihren AGBs haben, heißt das nicht, dass personenbezogene Daten dahin ohne weitere oder auf Grundlage eines berechtigten Interesses hin übertragen werden dürfen. Gemäß dem Motto: "Die haben ja DSGVO Niveau zugesichert, dann ist das In Ordnung." Jede Sammlung und Übertragung von personen-bezogenen Daten im Internet bedarf einer vorherigen informierten Einwilligung der betroffenen Personen. Ausnahmen gibt es im Normalfall nicht und es werden auch immer mehr Webseiten/Anbieter von Internetdiensten, die den Datenschutz nicht einhalten, den Aufsichtsbehörden gemeldet. Daher sollte man schon darauf achten, dass man eine datenschutzkonforme Webseite betreibt.

3. Die informierte Einwilligung

An der Frage, wann eine Einwilligung informiert ist und wann nicht, scheiden sich in der Praxis sehr oft die Geister. Grundsätzlich ist eine Einwilligung dann informiert, wenn der Betroffene bei Erteilung der Einwilligung über alle erheblichen Umstände der Sammlung und Verarbeitung seiner personenbezogenen Daten in Kenntnis gesetzt wurde bzw. sich hierüber vor Erteilung der Einwilligung auf einfache Art und Weise eine Kenntnis verschaffen konnte.

Hier stellt sich dann die Frage, was "erhebliche Umstände" sind und auf was man an Information bei der Einwilligung verzichten kann. Letztlich schreibt man ja nicht seitenlange Datenschutzerklärungen und Informationen, weil darin nichts steht, was der Betroffene nicht zu wissen braucht. Man schreibt diese Datenschutzerklärungen deswegen, weil alles darin relevante Informationen für den Betroffenen zur Sammlung und Verarbeitung seiner personenbezogenen Daten sind. Folglich müsste jeder Betroffene vor Einwilligung eine komplette Datenschutzerklärung lesen, damit er wirklich informiert ist. Natürlich ist das nicht praktikabel und keine "einfache Art und Weise". Kein Betroffener täte das und es ist niemanden zuzumuten.

Bei den Einwilligungen auf einer Website findet sich häufig der Satz "Wir verwenden Cookies, nähere Informationen finden Sie in der Datenschutzerklärung". Dazu gibt es dann einen Link zur Datenschutzerklärung und die Optionen einzuwilligen oder abzulehnen. Ist ein derart kurzer Verweis auf Cookies als informiert zu betrachten? - Würde eine Website 10 Cookies, was oftmals nicht unrealistisch ist, setzen und über jedes Cookie detailliert informieren, dann würde kein Nutzer alle diese Informationen lesen. Andererseits weiß ein Nutzer ansonsten gar nicht, welche Cookies gesetzt werden und was diese machen. Somit hat ein Nutzer dann auch keine wirkliche Entscheidungsgrundlage für eine Einwilligung.
Dieses Dilemma lässt sich derzeit nicht auflösen. Hier muss der Datenschutz auf die Rechtsprechung der Gerichte warten. Persönlich halte ich die kurze Formulierung "Wir verwenden Cookies, weitere Informationen hierzu in der Datenschutzerklärung" für meinen Favoriten. Denn das liest ein Nutzer und dann entscheidet er danach, ob er Cookies grundsätzlich in Ordnung findet oder nicht. Der wirklich interessierte Nutzer hat dabei die Option alles in der Datenschutzerklärung nachzulesen, bevor er sich entscheidet. Ich halte dieses für effektiver im Sinne des Datenschutzes als die Einspielung detaillierter komplizierter Ausführungen, die am Ende weder verstanden noch gelesen werden. Was hier aber wirklich rechtens ist, dass muss die Rechtsprechung in der Zukunft zeigen. Hierfür gibt es bisher noch keine rechtssicheren Wege.

4. IT-Grundschutz nach BSI - Teil 1

Das Bundesamt für Sicherheit in der Informationstechnologie hat mit dem IT-Grundschutz ein Konzept erschaffen, was quasi einen Standard für sichere IT bei kleinen und mittelständischen Unternehmen festlegt. Neben dem BSI gibt es noch diverse andere Anbieter, die eben solche Konzepte auch erschaffen haben. Dabei ist es Usus, dass jeder Anbieter der freien Wirtschaft sein Konzept als das beste, einfachste, verständlichste und sicherste beschreit. Das liegt meines Erachten darin begründet, dass man Werbung macht, da man auch eine Zertifizierung anbietet und damit gutes Geld verdient. Unter dem Strich sind alle Konzepte für den IT-Schutz ziemlich gleich und beinhalten in wesentlichen identische Inhalte. So gesehen ist es egal auf Basis welchen Anbieters sie ein solches Konzept entwerfen.

Es gibt vom BSI übrigens auch einen Basisschutz für Computer und Smartphones für Bürger. Hier gibt es Hinweise und Anleitungen zur sicheren Einrichtung von Computern, Tablets und Smartphones für Privatpersonen: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/BasisschutzGeraet/BasisschutzGeraet_node.html

Eine häufige Frage in Schulungen ist der Unterschied zwischen IT-Sicherheit und Informationssicherheit. Letztere, die Informationssicherheit, umfasst schlichtweg mehr. Informationssicherheit beinhaltet Schutzmaßnahmen für alle Daten, nicht nur personenbezogener Daten, in technischen oder auch nicht-technischen Systemen, die die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. In diesem Sinne ist in der Informationssicherheit der IT-Schutz weitgehend enthalten. Letzterer umfasst nur das, was der Begriff auch aussagt, nämlich den organisatorischen und technischen Schutz der IT-Systeme. Allerdings nicht nur im Hinblick auf den Schutz von Daten.

Das BSI gibt für den Basisgrundschutz einen Web-Kurs heraus. Das PDF Dokument hat 118 Seiten. Hier sieht man gleich das entscheidende Problem. Informationssicherheit ist kein Thema, das man mal eben nebenbei überfliegt und umsetzt. Es ist hoch komplex und wird täglich umfangreicher. Und es wird auch inhaltlich immer anspruchsvoller. Für die Umsetzung muss man schon sehr affin für das Thema und die Technik sein. Daneben muss an die Zeit haben und sich fortlaufend weiterbilden. Ansonsten braucht man einen Spezialisten. Und mit einem Spezialisten wird es noch teurer als es eh schon ist. Für manche Unternehmen zu teuer, um das wirklich erforderliche umsetzen zu können.

In den nächsten Newslettern werde ich mit jeweils kleinen Abschnitten, Stück für Stück, die wichtigsten Grundlagen des Basisschutzes nach BSI vorstellen. Es ist ein schwieriges und umfangreiches Thema, das aber sehr wichtig ist und quasi täglich immer wichtiger wird. Wer durch ungeschützte IT Geschäftsdaten verliert, kann dabei einen so großen wirtschaftlichen Verlust erleiden, dass die Existenz eines Unternehmens gefährdet wird.

Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die behandelten Themen interessant waren. Im nächsten Newsletter wird es weiter um den IT-Grundschutz des BSI gehen, und ich werde mich mit dem Thema Webdesign und Datenschutz befassen.

Herzliche Grüße

Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
IMPRESSUM:
Tobias Lange - Unternehmensberater
Externer Datenschutzbeauftragter
Zustellungsfähige Anschrift:
Tegelsbarg 53, 22399 Hamburg
Steuernr.: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@dsb-hh.com
Web: www.dsb-hh.com