Kategorie: Datenschutz

Lesen Sie in dieser Rubrik alle Artikel des SAVISCON-Blogs mit Themen-Bezug zum Datenschutz.

Hinweisgeberschutzgesetz: am 02.07.2023 in Kraft getreten

August 31, 2023/in Datenschutz/von Karin Selzer

Was es jetzt zu beachten gibt

von Karin Selzer, Consultant Compliance und Datenschutz der SAVISCON GmbH

Im März 2023 hat unser Geschäftsführer, Ingo Simon, bereits über das Hinweisgeberschutzgesetz in einem Blog-Beitrag berichtet. Dort hat er erklärt, was das Hinweisgeberschutzgesetz (HinSchG) überhaupt ist, wen es betrifft und was die wichtigsten Anforderungen sein werden.

Nun ist das Hinweisgeberschutzgesetz zum 02.07.2023 in Kraft getreten und wir wollen Ihnen heute einen Überblick geben, was jetzt für Sie zu beachten ist und wie einfach Sie die Einrichtung eines internen Hinweisgebersystems mit unserer Software, dem GRC-COCKPIT umsetzen können.

Aber blicken wir nochmal kurz zurück:

Das HinSchG ist die deutsche Umsetzung der EU-Whistleblower-Richtlinie von 2019. Bereits im November 2020 wurde der erste Referentenentwurf des HinSchG durch das Bundesministerium der Justiz vorgelegt, der allerdings scheiterte. Dann passierte erstmal lange nichts, denn die Bundesregierung ließ die Frist zur Umsetzung eines deutschen Hinweisgeberschutzgesetzes verstreichen. Es folgte die Einleitung eines Vertragsverletzungsverfahrens der EU-Kommission gegen die Bundesrepublik Deutschland. Im April 2022 wurde ein zweiter Referentenentwurf vorgelegt und letztlich am 27. Juli 2022 ein Regierungsentwurf beschlossen und veröffentlicht. Doch damit war man noch nicht am Ziel, denn im Februar 2023 wurde dieser Entwurf durch den Bundesrat abgelehnt. In einem Vermittlungsausschuss haben sich Bund und Länder dann auf einen Kompromiss geeinigt und der Bundesrat hat schließlich im Mai 2023 dem neuen Gesetz zugestimmt. Nach der Veröffentlichung im Bundesgesetzblatt (02.06.2023) ist das HinSchG am 02.07.2023 nun endlich in Kraft getreten.

Was bedeutet das jetzt konkret?

Das HinSchG verpflichtet Unternehmen mit mehr als 50 Mitarbeitenden, ein internes Hinweisgebersystem einzurichten. Unternehmen ab 250 Mitarbeitende werden sofort ab Inkrafttreten des Gesetzes in die Pflicht genommen (also seit 02.07.2023), kleinere Unternehmen mit einer Größe von 50 bis 249 Beschäftigten wird eine Übergangsfrist bis zum 17.12.2023 gewährt.

Hinweisgeber müssen die Möglichkeit haben, Hinweise mündlich, schriftlich oder auf Wunsch auch persönlich abzugeben. Bei der Bearbeitung der Hinweise sind folgende Fristen zu berücksichtigen:

innerhalb 7 Tagen muss die interne Meldestelle dem Hinweisgeber den Eingang des Hinweises bestätigen.
innerhalb 3 Monaten muss die Meldestelle den Hinweisgeber über die ergriffenen Maßnahmen informieren.

Zusätzlich zur internen Meldestelle hat die Bundesregierung eine externe Meldestelle eingerichtet:
Meldestelle Bundesamt für Justiz

Hinweisgeber können frei wählen, ob sie eine Meldung an die interne Meldestelle ihres Unternehmens oder an die externe Meldestelle abgeben möchten. Allerdings wird empfohlen, die interne Meldung dem externen Meldekanal vorzuziehen, da aufgrund der Sachnähe die Abstellung des Verstoßes am effektivsten möglich ist.

Welche Änderungen wurden im Vermittlungsausschuss beschlossen?

Ein Streitthema war das Abgeben von anonymen Hinweisen. Ursprünglich sollten die Unternehmen dazu verpflichtet werden, die Abgabe anonymer Hinweise zu ermöglichen. Darauf wurde nun verzichtet und aus dem MUSS wurde ein SOLL: „Die interne Meldestelle sollte auch anonym eingehende Meldungen bearbeiten. Es besteht allerdings keine Verpflichtung, die Meldekanäle so zu gestalten, dass sie die Abgabe anonymer Meldungen ermöglichen.“ (Auszug § 16 HinSchG)
Auch im Anwendungsbereich des Gesetzes hat es Änderungen gegeben. Es dürfen nur Verstöße gemeldet werden, die sich auf den eigenen beruflichen Kontext beziehen, d.h. auf den Beschäftigungsgeber oder eine andere Stelle, mit der die hinweisgebende Person beruflich im Kontakt stand.
Eine weitere Änderung betraf die Bußgeldhöhe. Die vorgesehenen Bußgelder lagen bisher bei max. 100.000 Euro und wurden nun auf max. 50.000 Euro gesenkt. Außerdem wurde entschieden, die Bußgeldandrohung bei Verstößen gegen die gesetzliche Regulierung erst sechs Monate nach Veröffentlichung des HinSchG anzuwenden, also erst ab 01.12.2023.

Einführung eines digitalen Hinweisgebersystems

Auch wenn die Abgabe anonymer Meldungen nicht ermöglicht werden muss, ist es empfehlenswert sie trotzdem anzubieten, denn dadurch wird die Hemmschwelle zur Meldung von Fehlverhalten möglichst niedrig gehalten. Um die Anonymität zu gewährleisten, bietet sich ein digitales Hinweisgebersystem an, wie z.B. unser GRC-COCKPIT.

Das Hinweisgebersystem im GRC-COCKPIT kann textlich individuell für das Unternehmen konfiguriert und z.B. im Intranet/Internet des Unternehmens eingebunden werden. Über einen Link können Mitarbeitende zum digitalen Hinweisgebersystem des Unternehmens gelangen und dort ihren Hinweis abgeben. Nach Versand des Hinweises bekommt der Hinweisgeber Zugriff auf ein anonymes Postfach, über das dann kommuniziert und weitere Informationen ausgetauscht werden kann. Die Dokumentation bezüglich der Bearbeitung von Hinweisen, die auf anderen Kanälen (persönlich, Post, Fax, Telefon, Mail) abgegeben wurden, erfolgt ebenfalls zentral im GRC-COCKPIT, sodass der gesamte Hinweisgeberprozess dort zusammengehalten wird.

Nutzen Sie jetzt die Vorteile des digitalen Hinweisgebersystems im SAVISCON GRC-COCKPIT und erfüllen Sie so alle Anforderungen aus dem Hinweisgeberschutzgesetz.

Sie wollen mehr über unser Hinweisgebersystem erfahren? Sehen Sie sich hier die Aufzeichnung unseres Webinars „Digitales Hinweisgebersystem“ an!

Über die Autorin

Karin Selzer ist als Compliance- und Datenschutz Consultant, sowie interne Datenschutzbeauftragte bei der SAVISCON GmbH tätig.

Karin Selzer ist Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte bei der SAVISCON GmbH. Seit Januar 2021 kümmert sie sich um maßgebliche Richtlinien und die Umsetzung aller relevanten Themen rund um Compliance und Datenschutz. Zusätzlich steht sie unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: karin.selzer@saviscon.de oder vernetzen Sie sich mit mir:

Datenschutz: neues, europäisches Bußgeldmodell der EDSA

August 4, 2022/in Datenschutz/von Karin Selzer

Aktuelle Fälle: Datenschutz Bußgelder in Europa

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

Seit Einführung der EU-DSGVO im Mai 2018 wurden bereits zig Bußgelder aufgrund Datenschutzverstößen verhängt. Die Höhe der Bußgelder muss verhältnismäßig sein und ist von verschiedenen Faktoren abhängig, z. B. von der Schwere und Dauer der Verletzung oder der Anzahl an betroffenen Personen. Allein im Juli 2022 waren es laut GDPR Enforcement Tracker 24 Verstöße in Europa, verteilt auf folgende Länder:

Spanien (17)
Deutschland (2)
Kroatien (2)
Dänemark (1)
Griechenland (1)
Polen (1)

Datenschutz Bußgelder Juli 2022 in Deutschland

Bei den beiden deutschen Fällen handelt es sich um die Volkswagen AG und um ein Kreditinstitut.

Datenschutzverstoß Volkswagen AG

Am 26.07.2022 legte die Landesdatenschutzbeauftragte von Niedersachsen (Barbara Thiel) ein Bußgeld in Höhe von 1,1 Millionen Euro für die Volkswagen AG fest. Grund sind Datenschutzverstöße in Zusammenhang mit dem Einsatz eines Dienstleisters bei Forschungsfahrten für ein Fahrassistenzsystem zur Vermeidung von Verkehrsunfällen.
Am Fahrzeug fehlten Hinweisschilder mit einem Kamerasymbol und den weiteren vorgeschriebenen Informationen für die datenschutzrechtlich Betroffenen, in diesem Fall die anderen Verkehrsteilnehmenden. Diese müssen bei einer Datenverarbeitung unter anderem darüber aufgeklärt werden, wer die Verarbeitung zu welchem Zweck durchführt und wie lange die Daten gespeichert werden (Art. 13 DSGVO).
Außerdem hatte VW versäumt, einen Auftragsverarbeitungsvertrag mit dem Dienstleister zu schließen, der die Forschungsfahrten durchführte (Art. 28 DSGVO).
Weiterhin war keine Datenschutz-Folgenabschätzung (DSFA) durchgeführt worden (Art. 35 DSGVO) und es fehlte die Dokumentation der technischen und organisatorischen Maßnahmen im Verzeichnis der Verarbeitungstätigkeiten, was einen Verstoß gegen die Dokumentationspflicht (Art. 30 DSGVO) darstellt.
Die festgestellten Versäumnisse wurden durch die Volkswagen AG unverzüglich beseitigt.

Datenschutzverstoß eines Kreditinstituts

Am 28.07.2022 folgte ebenfalls von der Landesdatenschutzbeauftragten von Niedersachsen ein Bußgeld in Höhe von 900.000 Euro für ein Kreditinstitut (Bußgeldbescheid ist noch nicht rechtskräftig).
Das Unternehmen hatte Daten aktiver sowie ehemaliger Kundinnen und Kunden ohne deren Einwilligung ausgewertet. Dazu analysierte es u. a. das digitale Nutzungsverhalten und wertete unter anderem das Gesamtvolumen von Einkäufen in App-Stores, die Häufigkeit der Nutzung von Kontoauszugsdruckern sowie die Gesamthöhe von Überweisungen im Online-Banking im Vergleich zur Nutzung des Filialangebots aus.
Das Kreditinstitut hatte sich auf eine Interessenabwägung nach Art. 6 DSGVO berufen, jedoch „erlaubt es diese Rechtsgrundlage aber nicht, Profile für Werbezwecke zu bilden, indem man große Datenbestände auswertet“, so die Landesdatenschutzbeauftragte Barbara Thiel.

Datenschutz Bußgelder Juli 2022 in Spanien

In Spanien wurden diverse kleinere Bußgelder zwischen 300 Euro und 5.000 Euro verhängt, die meist einen Verstoß gegen die Grundsätze für die Verarbeitung personenbezogener Daten (Art. 5 DSGVO) zur Grundlage hatten. Besonders die fehlende „Datenminimierung“ (Art. 5 Abs. 1 c) DSGVO) und die fehlende „Integrität und Vertraulichkeit“ (Art. 5 Abs. 1 f) DSGVO) waren hier oft Thema.
Aber auch höhere Bußgelder wurden vergeben, z. B. verhängte die spanischen Behörden am 13.07.2022 ein Bußgeld in Höhe von 132.000 Euro für DKV Seguros y Reaseguros, S.A.E. Hier wurden Genehmigungen für medizinische Tests mehrfach per E-Mail an einen falschen Empfänger gesendet. Obwohl dieser die DKV immer wieder über den Falschversand informiert hatte, bekam er weiterhin die Unterlagen Dritter per E-Mail zugesandt. Durch dieses Vorgehen stellte die Behörde einen Verstoß gegen den Grundsatz der „Integrität und Vertraulichkeit“ fest (Art. 5 Abs. 1 f) DSGVO); ebenso ein Verstoß gegen Art. 32 und 33 DSGVO, da die Sicherheit nicht gewährleistet und die Datenpanne der Aufsichtsbehörde nicht gemeldet wurde.

Bußgelder Juli 2022 in Kroatien

Am 21.07.2022 verhängten die kroatischen Behörden ein Bußgeld in Höhe von 285.000 Euro für einen führenden Anbieter von Telekommunikationsdienstleistungen. Grund waren unzureichende technische und organisatorische Maßnahmen, die dazu führten, dass durch einen Cyberangriff auf Daten von ca. 100.000 Personen zugegriffen werden konnte. Das Unternehmen hatte die Datenpanne gemäß Art. 33 DSGVO umgehend an die kroatische Behörde gemeldet.

Im zweiten Fall wurde ebenfalls am 21.07.2022 einem Autohaus ein Bußgeld in Höhe von 4.000 Euro erteilt, weil ein Videoüberwachungssystem ohne entsprechende Informationsschilder eingesetzt wurde.

Bußgelder Juli 2022 in Dänemark, Griechenland und Polen

Am 14.07.2022 wurde in Dänemark ein Bußgeld in Höhe von 67.200 Euro an die Anwaltskanzlei SIRIUS verhängt, weil aufgrund eines Hackerangriffs Zugriff auf besonders sensible personenbezogene Daten von Mandanten stattgefunden hat. Bereits im März 2020 meldeten die Anwälte von SIRIUS, dass sich die Hacker bei dem Angriff Zugang zu den Servern der Kanzlei verschafften und diese verschlüsselten. Grund dafür waren unzureichende Sicherheitsmaßnahmen bei der Einrichtung des Remote-Zugriffs auf ihre IT-Systeme.

Die griechischen Behörden erteilten am 13.07.2022 ein Bußgeld in Höhe von 20 Millionen Euro an die Firma Clearview Al. Hier wurden mittels künstlicher Intelligenz biometrische Profile von Personen erstellt – ohne vorliegende Rechtsgrundlage (Art. 6 DSGVO) und ohne Information an die Betroffenen (Art. 12 + 14 DSGVO). Die dafür benötigten Daten wurden aus öffentlichen Internetquellen weltweit gesammelt (z.B. soziale Medien, Online-Videos, etc.), in einer Datenbank gespeichert und mit zusätzlichen Informationen angereichert (z. B. Standorte, Datum, Webseiten, etc.) Herausgekommen ist das Ganze im Laufe der erweiterten Ermittlungen aufgrund einer Beschwerde wegen nicht ordnungsgemäßem Nachkommen einer Auskunftsanfrage (Art. 15 DSGVO).

In Polen verhängte die Behörde am 06.07.2022 ein Bußgeld in Höhe von 12.450 Euro an die Firma Główny Geodeta Kraju, weil eine Datenpanne nicht an die Behörde gemeldet wurde (Art. 33 Abs. 1 DSGVO) und auch keine Information an die Betroffenen stattfand (Art. 34 Abs. 1 DSGVO). Bei der Datenpanne waren auf der Webseite der Firma Grundbuchnummern frei einsehbar. Durch diese ließen sich wiederum weitere personenbezogene Daten der Betroffenen ermitteln.

Neues, europäisches Bußgeldmodell der EDSA

Bisher haben die nationalen Datenschutzaufsichtsbehörden eigene Konzepte zur Bemessung von Bußgeldern angewandt. Nun möchte der Europäische Datenschutzausschuss (EDSA) ein europaweit einheitliches Bußgeldmodell einführen. Am 12.05.2022 hat der EDSA neue Leitlinien (Guidelines 04/2022 on the calculation of administrative fines under the GDPR) für die Berechnung von Bußgeldern veröffentlicht. Diese sehen zur Berechnung von Bußgeldern fünf Schritte vor:

Schritt 1:

Identifizierung ob und in welchem Umfang (ein oder mehrere) sanktionswürdige datenschutzrechtliche Verstöße vorliegen und ob Art. 83 Abs. 3 DSGVO anwendbar ist.

Schritt 2:

Bestimmung des Ausgangswertes für die Bußgeldberechnung in Abhängigkeit von

Art,
Schwere und Dauer des Verstoßes,
Vorsatz oder Fahrlässigkeit,
Kategorien personenbezogener Daten
Jahresumsatz des Unternehmens

Schritt 3:

Berücksichtigung von bußgeldmindernden oder verschärfenden Umständen, z. B.

Maßnahmen zur Schadensminderung
Vorherige Verstöße
Meldung aus eigenem Antrieb
Zusammenarbeit mit der Aufsichtsbehörde

Schritt 4:

Identifizierung der Maximalbeträge als Höchstgrenze der Geldbuße, also entweder 10 bzw. 20 Mio. Euro oder 2 % bzw. 4 % des Jahresumsatzes. Es muss jeweils der höhere Betrag zugrunde gelegt werden (Art. 83 Abs. 4 und 5 DSGVO).

Schritt 5:

Bewertung, ob der gewählte Bußgeldbetrag wirksam, abschreckend und verhältnismäßig ist (Art. 83 Abs. 1 DSGVO)

Die Leitlinie befand sich bis Ende Juni 2022 im öffentlichen Konsultationsverfahren. Jetzt bleibt es abzuwarten, inwieweit eingegangene Anmerkungen von der EDSA berücksichtigt werden und wann genau die finale Leitlinie in Kraft treten wird. Es bleibt auch spannend, wie hoch der Harmonisierungseffekt der Leitlinie sein wird, denn jeder Verstoß ist weiterhin einzeln zu betrachten und auch der weiterhin verbleibende Entscheidungsspielraum der Behörden wird weiterhin eine Rolle spielen.

Zusammenfassung

Die genannten Beispiele von Bußgeldern zeigen, wie wichtig es ist, auf die Einhaltung der DSGVO zu achten.
Es trifft nicht nur die großen Konzerne, auch kleinere Unternehmen haben bereits Bußgelder bezahlen müssen.
Schon vermeintlich kleine Verstöße, z. B. nicht fristgerecht beantwortete Betroffenenanfragen oder eine fehlende Information, kann ein Bußgeld nach sich ziehen.
Durch das neue Bußgeldmodell ist in Zukunft evtl. mit höheren Bußgeldern zu rechnen.

Über die Autorin:

Karin Selzer ist als Compliance- und Datenschutz Consultant, sowie interne Datenschutzbeauftragte bei der SAVISCON GmbH tätig.

Office 365 datenschutzkonform einsetzen – klappt das?

Februar 25, 2022/in Datenschutz, GRC@SAVISCON/von Karin Selzer

Das müssen Sie beim Einsatz von Office 365 beachten

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

In unserem internen Programm „GRC@SAVISCON“ stoßen wir in den Themenfeldern Risiko-Management, Compliance-Management, Informationssicherheits-Management und Datenschutz-Management immer wieder auf herausfordernde Themen. Wie wir diese meistern und mit unserer Software, dem GRC-COCKPIT, dokumentieren, das zeigen wir Ihnen in unserer Blog-Serie. Hier können Sie unseren initialen Blog-Beitrag lesen: Practice what you preach: GRC@SAVISCON. Heute ist unser Thema Datenschutz-Management und Office 365.

Microsoft Office 365 wird in fast jedem Unternehmen eingesetzt. So auch bei uns. Doch lässt sich das mit der DSGVO vereinbaren? Diese Frage habe ich mir in den letzten Monaten immer wieder gestellt und so war ich sehr dankbar darüber, dass bei den 15. Praxistage Datenschutz (die ich Mitte Februar 2022 drei Tage online besuchen durfte) die Themen Office 365, Datenübermittlung in Drittländer und noch vieles mehr ganz aktuell besprochen wurden.

Im heutigen Blog-Beitrag möchte ich Ihnen eine Zusammenfassung meiner gesammelten Erkenntnisse und gegen Ende auch eine Antwort auf meine Eingangsfrage, ob sich Office 365 und die DSGVO vereinen lassen, geben.

Datenübermittlung

Wir werden immer digitaler, ob wir wollen oder nicht. Wir können uns nicht dauerhaft auf lokale Systeme stützen, sondern müssen uns damit anfreunden, dass wir zukünftig immer mehr mit cloudbasierten Systemen arbeiten werden und dabei massenhaft Daten übermittelt werden. Deshalb ist es wichtig zu prüfen, welche Daten wohin übermittelt werden und wer darauf Zugriff hat.

Natürlich ist ein selbstgehostetes System immer zu bevorzugen, doch das verursacht meist hohe Kosten. Deshalb ist die beste Lösung, einen Anbieter mit Sitz in der EU bzw. dem europäischen Wirtschaftsraum (EWR) auszuwählen, denn dort sind die Daten nach der EU-Datenschutz-Grundverordnung zu schützen. Was ist aber, wenn aufgrund fehlender Alternativen ein globaler Anbieter (wie z. B. Microsoft) aus einem Drittland ausgewählt werden muss?
Dann werden z. B. Daten in die USA übermittelt und hier gilt US-Recht, nicht die DSGVO. Die Spielräume der US-Gesetze sind sehr breit und die Anwendungsbereiche nicht klar genug definiert. Es gibt keine Einschränkungen des Zugriffs von Behörden, keine Garantien für Nicht-US-Bürger.
Hört sich erstmal nicht gut an. Denn: Wir können die Grundsatzproblematik nicht lösen, trotzdem können wir einiges dafür tun, damit eine Datenübermittlung in Drittländer risikominimiert und unter Berücksichtigung der DSGVO und des Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) stattfindet. Dazu aber später mehr.

TTDSG

Über das neue Telekommunikation-Telemedien-Datenschutz-Gesetz hatte ich in einem eigenen Blog bereits im November 2021 berichtet. Seit 01.12.2021 ist das Gesetz nun in Kraft und seitdem fester Bestandteil im Arbeitsalltag eines Datenschutzbeauftragten. Im TTDSG sind u. a. die Regelungen zum Fernmeldegeheimnis geregelt, was früher im TKG (Telekommunikationsgesetz) zu finden war. Besonders wichtig ist hier § 25 TTDSG:

Absatz 1:
„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.“

Absatz 2:
„Die Einwilligung nach Absatz 1 ist nicht erforderlich,

1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.“

Das TTDSG regelt also das Speichern und Nutzen der Daten in den Endeinrichtungen (auch der nicht personenbezogenen Daten). Als Datenschutzbeauftragter muss hier zukünftig 2-stufig geprüft werden, nämlich erstens aufgrund des TTDSG (Schutz der Privatsphäre) und zweitens aufgrund der DSGVO (Schutz der personenbezogenen Daten).

2-stufiger Prüfvorgang

Zur Prüfung aufgrund TTDSG muss ich mir z. B. folgende Fragen stellen:

Gilt das Fernmeldegeheimnis gemäß § 3 TTDSG?
Erfolgt ein Zugriff/eine Speicherung auf Endeinrichtungen nach § 25 TTDSG?
Wer greift auf die Endeinrichtung zu?
Aufgrund welcher Rechtsgrundlage findet der Zugriff statt?
Liegt eine Einwilligung vor (§ 25 Absatz 1)?
Trifft eine der beiden Ausnahmen zu (§ 25 Absatz 2)?

Zur Prüfung aufgrund DSGVO muss ich mir z. B. folgende Fragen stellen:

Für welchen Zweck werden Daten verarbeitet?
Welche Personen sind betroffen?
Welche Art von Daten werden verarbeitet?
Wie werden die Daten erhoben?
Aufgrund welcher Rechtsgrundlage erfolgt die Verarbeitung?
Wann werden die Daten gelöscht?
Wer hat Zugriff auf die Daten?

Und ich muss die datenschutzrechtliche Rolle bestimmen, also welchen Hut habe ich bei welcher Art von Verarbeitung auf. Bestimme ich die Antworten der oben genannten Fragen, bin ich Verantwortlicher. Geht es aber z. B. um Diagnosedaten aus Office 365, so ist Microsoft der Verantwortliche, denn Microsoft erhebt die Daten zu eigenen Zwecken, wie z. B. Aktualisierung der Software, Fehlerbehebung, Produktverbesserung, Sicherheit, etc.

Microsoft Office 365

Was gibt es nun konkret zu beachten bzw. zu tun, wenn Office 365 im eigenen Unternehmen genutzt werden soll?
Zuerst einmal sei erwähnt, dass Office 365 keine eigene Verarbeitungstätigkeit darstellt, sie ist lediglich das verwendete Tool, also „Mittel zum Zweck“. In unserem GRC-COCKPIT arbeiten wir mit Assets, d. h. in jeder Verarbeitungstätigkeit können die entsprechenden Assets (z. B. Tools wie Office 365) hinterlegt werden.

Auf diesem Screenshot aus dem GRC-COCKPIT sehen wir, dass die Verarbeitungstätigkeit „Adressliste Mitarbeiter“ mit dem Asset „Microsoft 365“ verknüpft ist.

Zusätzlich ist bei jeder Verarbeitungstätigkeit verpflichtend anzugeben, ob Daten in ein Drittland übermittelt werden. Bei der Verwendung von Office 365 ist das im Einzelfall (für jede Verarbeitungstätigkeit) zu prüfen. Wo genau Daten von Microsoft bei welcher Anwendung (Dienst) gespeichert werden, lässt sich hier nachlesen:

Auflistung Wo Microsoft 265-Kundendaten gespeichert werden.

Wo Microsoft 365-Kundendaten gespeichert werden.

Es wäre aber zu einfach, wenn man hier herauslesen könnte „Dienst: Microsoft Teams“ -> Daten werden in Deutschland gespeichert -> damit bin ich „safe“ und habe nichts weiter zu tun.

Denn hier muss tatsächlich die genaue Verarbeitungstätigkeit bzw. die Datenkategorien berücksichtigt werden. Nutze ich z. B. Microsoft Teams für eine Videokonferenz mit externen Teilnehmern und zeichne dieses Meeting auf (z. B. aufgrund von Nachweis- oder Dokumentationspflicht), so werden Daten in Microsoft Stream gespeichert und durch die Einladung externer Gäste werden Daten (Name und Mailadresse) über das B2B-Verzeichnis von Microsoft zusätzlich in die USA repliziert.

Es ist also wichtig, jede Verarbeitungstätigkeit einzeln zu prüfen. Eine pauschale Bewertung z. B. zur Verwendung von Office 365 mit JA oder NEIN hilft uns hier nicht weiter. Folgende Vorgehensweise zur Einzelfallprüfung kann angewendet werden:

1. Bestandsaufnahme:

Welche Datenkategorien werden in welche Länder übermittelt (innerhalb EU/EWR oder Drittland)?
Welche Rechtsgrundlage liegt hinter der Verarbeitung (z. B. Aufzeichnung wg. Nachweispflicht)?
Sind Informationspflichten zu beachten (z. B. Mitarbeiter, Kunden bei Aufzeichnungen)?
Welche technischen und organisatorischen Maßnahmen werden bereits ergriffen (z. B. Passwortschutz, Verschlüsselung, Pseudonymisierung)?

2. Alternativen prüfen:

Findet eine Übermittlung in ein Drittland statt, sollte geprüft werden, ob es einen alternativen Anbieter innerhalb EU/EWR gibt.

3. Überprüfung Rechtslage:

Wie ist die Rechtslage im entsprechenden Drittland?
Welche Eingriffsbefugnisse haben die dortigen Behörden?
Welche Standardvertragsklausel (SCC) kann zusätzlich zum AV-Vertrag abgeschlossen werden?

4. Risikoanalyse:

Welche Risiken bestehen?
Wie hoch ist der Schaden, der entstehen kann?
Wie hoch ist die Eintrittswahrscheinlichkeit?
Wie stufe ich das Risiko ein (geringes Risiko, Risiko, hohes Risiko)?
Bei einem hohen Risiko ist zwingend eine Datenschutzfolgenabschätzung durchzuführen.

5. Zusätzliche Maßnahmen:

Zur Risikominimierung können weitere vertragliche, technische und organisatorische Maßnahmen ergriffen bzw. vereinbart werden. z. B. Verschlüsselung der Daten, Diagnosedaten in den Einstellungen minimieren, Tools wie MyAnalytics deaktivieren.

Kann man Office 365 DSGVO konform nutzen?

Wenn diese Punkte für jeden Einzelfall berücksichtigt werden, kann meiner Meinung nach Office 365 gut als Tool im Unternehmen eingesetzt werden. Da wir bei der SAVISCON GmbH Office 365 bereits nutzen, habe ich nach dieser ausführlichen Betrachtung nun deutlich weniger Bauchschmerzen, aber noch ein paar offene ToDos:

Sind alle Verarbeitungstätigkeiten mit dem Asset „Office 365“ auf dem aktuellen Stand?
Prüfen, ob wir (neben dem Hauptvertrag) den aktuellen Datenschutznachtrag von Microsoft dokumentiert haben (letzte Version sollte vom 15. September 2021 sein; Stand: 24.02.2022)
Können evtl. weitere Verschlüsselungsmethoden von Microsoft in Anspruch genommen werden?
Haben wir die Diagnosedaten soweit möglich eingedämmt?
Haben wir die Verwendung von MyAnalytics flächendeckend deaktiviert?

Wie sieht es bei Ihnen aus?

Nutzen Sie Office 365 in Ihrem Unternehmen und wie ist Ihre Einschätzung zum Thema Datenschutz? Lassen Sie uns gerne in den Kommentaren diskutieren.

Die Zukunft bleibt natürlich auch weiter spannend, denn die neue ePrivacy-Verordnung steht immer noch aus. Sobald diese dann in Kraft tritt, werden wahrscheinlich Vorgaben aus dem TTDSG durch die ePrivacy-Verordnung abgelöst. Aber nun bleibt erstmal abzuwarten, wann die EU-Mitgliedsstaaten die neue Verordnung verabschieden werden.

…to be continued:

Hier die Zusammenfassung der bisher wichtigsten Erkenntnisse des heutigen Blog-Beitrages:

Wir werden immer digitaler
Immer mehr Cloud-Anbieter werden unseren Alltag bestimmen, nicht nur Microsoft
Es müssen immer die DSGVO und das TTDSG zur Prüfung herangezogen werden
Die Datenübermittlung ist immer im Einzelfall zu prüfen
Bestehende Geschäftsmodelle und Geschäftsbeziehungen hinterfragen und ggf. umstellen
Wenn keine Alternative innerhalb EU/EWR zu finden ist, sind Standardvertragsklauseln und zusätzliche Maßnahmen notwendig

Über die Autorin:

Karin Selzer ist als Compliance- und Datenschutz Consultant, sowie interne Datenschutzbeauftragte bei der SAVISCON GmbH tätig.

Online Marketing und die DSGVO

Januar 28, 2022/in Datenschutz, GRC@SAVISCON/von Kerstin Wittemeier

Oder: „How to trigger a Marketing Professional”

Von Kerstin Wittemeier, Digital Marketing Managerin bei der SAVISCON GmbH

Ein Wort reicht aus und so gut wie jeder Online Marketer verdreht die Augen: Datenschutzgrundverordnung (DSGVO). Was war sie schön, die Zeit vor Mai 2018. Keine DSGVO. Kein Double-Opt-In. Keine komplizierten Cookie-Banner. Die DSGVO hat den Arbeitsalltag von Online Marketern verkompliziert, denn mit ihr sind auch einige rechtliche Stolpersteine hinzugekommen. So wurde beispielsweise die Nutzung von Google Analytics in Frage gestellt: Geht das überhaupt noch datenschutzkonform? Wir von der SAVISCON GmbH haben das interne Programm GRC@SAVISCON ins Leben gerufen, um unser eigenes Governance-, Risk- and Compliance-Management – darunter auch das Datenschutz-Management – strukturiert aufzubauen. Wir nutzen dazu unsere eigene GRC-Software, das GRC-COCKPIT. Aber darum soll es hier gar nicht gehen. Wir wollen viel mehr darüber berichten, was uns in der Marketing-Abteilung auf dieser Reise bisher aufgefallen ist und wie wir damit umgegangen sind. Was müssen Online Marketer beachten, um DSGVO-konform zu arbeiten? Disclaimer: Das hier soll und kann keine Handlungsempfehlung oder Rechtsberatung sein. Wir berichten lediglich von unseren ganz eigenen, individuellen Erfahrungen.

Wie betrifft die DSGVO das Online Marketing?

Vereinfacht gesagt: Die DSGVO soll personenbezogene Daten schützen. Also müssen wir uns im Online Marketing fragen: An welcher Stelle erheben und verarbeiten wir personenbezogene Daten und an welche Dienstleister geben wir sie eventuell sogar weiter? Personenbezogene Daten werden im Online Marketing beispielsweise hier erhoben:

Webanalyse-Tools (z. B. Google Analytics)
Schnittstellen zu Social Media Kanälen (z. B. Facebook Teilen-Buttons im eigenen Blog)
Kontaktformular auf der eigenen Webseite
Anmeldung zum Newsletter
Bestellung im Online-Shop

Hier haben wir im ersten Schritt eine Übersicht unserer Online Marketing Prozesse und Tools erstellt und festgehalten, welche personenbezogenen Informationen wir erheben und an welche Stellen wir sie weitergeben. Dieser Schritt ist Teil zum Aufbauen und Führen eins Verzeichnisses für Verarbeitungstätigkeiten. Dieses Verzeichnis ist eine Anforderung der DSGVO. Dafür ist bei uns im Unternehmen Karin Selzer (Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte der SAVISCON GmbH) zuständig. Sie hat dazu Feedback aus allen Fachabteilungen eingeholt, dokumentiert und in unser GRC-COCKPIT eingepflegt. Darüber hat sie schon in ihrem Blog-Beitrag „Verzeichnis von Verarbeitungstätigkeiten aufbauen“ berichtet.

Was sind personenbezogene Daten?

Laut Artikel 4 der DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Kann Google Analytics datenschutzkonform eingesetzt werden?

Google Analytics kann zurzeit noch datenschutzkonform eingesetzt werden, wenn es dazu genutzt wird, Statistikdaten zu erheben und nicht, um den einzelnen Nutzer zu Marketingzwecken zu tracken. Dazu müssen einige Punkte beachtet werden. Hier eine Auflistung von Einstellungen und Maßnahmen, um Google Analytics datensparsam und nutzerfreundlich einzusetzen:

Auftragsverarbeitungsvertrag (AVV) mit Google abschließen
IP-Adresse der Nutzer anonymisieren
„User-ID-Funktion“ deaktivieren (damit könnte man einzelne User über verschiedene Geräte hinweg tracken)
Remarketing-Funktion deaktivieren (damit könnte man beispielsweise über Google Ads gezielt Anzeigen an Personen ausspielen, die die eigene Webseite bereits besucht haben)
Hinweis zu Deaktivierungs-Addon in die eigene Datenschutzerklärung einbinden
Opt-Out-Möglichkeit in der eigenen Datenschutzerklärung bereitstellen
keine weiteren Google-Dienste mit Analytics verknüpfen
Link auf die Datenschutzerklärung von Google in die eigene Datenschutzerklärung einbauen
Speicherdauer der Daten auf 14 Monate ab dem ersten Besuch begrenzen

Diese Einstellungen verwenden wir auch bei unserem Google Analytics Konto. Uns ist wichtig, dass wir erfolgreiche oder auch nicht so erfolgreiche Seiten und Blog-Beiträge auf unserer Webseite identifizieren können. Das setzen wir anhand der Besucherzahlen, der Absprungrate und der Verweildauer um. Für uns haben diese Informationen vor allem einen redaktionellen Nutzen, damit wir die Inhalte auf unserer Webseite noch besser auf die Interessen unserer Zielgruppe zuschneiden können.

Google Analytics datenschutzkonform einsetzen: Screenshot aus dem GRC-COCKPIT

So haben wir die Nutzung von Google Analytics in unserem GRC-COCKPIT dokumentiert. Bisher haben wir drei Risiken aus dem Prozess abgeleitet.

Update: Urteil in Österreich zu Google Analytics

Januar 2022: In Österreich hat die Datenschutzbehörde die Nutzung von Google Analytics für unzulässig erklärt. Ausgelöst hat dieses Urteil die Datenschutzorganisation NOYB von Max Schrems, die, nachdem der EuGH das Privacy Shield Abkommen in 2020 gekippt hat, in 101 Fällen Beschwerde eingereicht hat. Auch für das Ende des Privacy Shields im Jahr 2020 war NOYB rund um Max Schrems verantwortlich, daher wird es auch das Schrems-II-Urteil genannt. Im aktuellen Fall hat die österreichische Datenschutzbehörde entschieden, dass US-Behörden keine Daten von der EU in die USA übermitteln dürfen. Denn in den USA gibt es nicht so ein hohes Datenschutzniveau, wie in der EU. Die Google-Maßnahmen würden nicht ausreichen, um die Nutzerdaten hinreichend zu sichern. Doch was heißt das für deutsche Unternehmen? Bisher handelt es sich um eine Entscheidung für einen konkreten Fall. Es entstehen dadurch keine direkten Auswirkungen für deutsche Webseitenbetreiber und Google Analytics Nutzer. Dennoch: NOYB hat auch bei der deutschen Datenschutzbehörde Beschwerden eingereicht und sobald eine deutsche Behörde darüber entscheidet, könnte es zu einem ähnlichen Urteil kommen. Es sind zurzeit also keine übereilten Änderungen nötig, dennoch sind Google Analytics Nutzer gut darin beraten, die Situation genau zu beobachten und sich bereits frühzeitig über eine Alternative zu informieren, damit es im Ernstfall schnell gehen kann.

E-Mail-Marketing datenschutzkonform gestalten

Zum Thema E-Mail-Marketing gibt es eine wichtige Änderung seit Einführung der DSGVO. Die Empfänger müssen dem Erhalt des Newsletters vorab zugestimmt haben. Das muss per Double-Opt-In geschehen, also einem doppelten Zustimmungsverfahren. Das bedeutet, dass sich die Interessenten selbstständig in den Newsletterverteiler eintragen, dann eine Mail erhalten und in dieser Mail nochmals bestätigen müssen, dass sie den Newsletter auch wirklich erhalten möchten. Gerade der zweite Schritt erschwert es den Marketern einen Newsletterverteiler aufzubauen, weil einige – auch wenn sie den Newsletter erhalten wollen – die Anmeldung im zweiten Schritt nicht bestätigen. Auch bei der Auswahl des Mailing-Tools ist Vorsicht geboten. Da hier personenbezogene Daten, wie Namen und Mailadressen, durch einen Drittanbieter verarbeitet werden, muss mit dem Tool-Anbieter ein AVV geschlossen werden. Das funktioniert meist unkompliziert online.

Außerdem ist besondere Vorsicht bei Anbietern aus dem nicht-europäischen Ausland geboten. Beliebte Anbieter sind da beispielsweise mailchimp oder hubspot. Denn 2020 hat der Europäische Gerichtshof das EU-US Privacy Shield für ungültig erklärt, nachdem sich Unternehmen freiwillig verpflichten konnten, der EU-DSGVO nachzukommen. Deutsche Unternehmen sollten also am besten direkt einen deutschen oder europäischen Anbieter auswählen, der ebenfalls den Vorgaben der DSGVO gerecht werden muss. In unserem Fall ist die Wahl auf rapidmail gefallen, ein Deutscher Anbieter mit Serverstandort in Deutschland. Wenn die Wahl dann auf einen Tool-Anbieter gefallen ist, muss dies auch transparent in der eigenen Datenschutzerklärung des Unternehmens kommuniziert werden.

Stolpersteine bei Cookie-Bannern

Laut DSGVO müssen Webseitennutzern den Cookies vorab zustimmen. Angenommen Sie nutzen zur Webanalyse Google Analytics, dann darf das Skript auf Ihrer Webseite erst laden und diese Drittanbieter-Cookies setzen, sobald der User dem auch zugestimmt hat – andernfalls nicht. Wenn Sie dem Nutzer die Wahl lassen, welche Cookies er annehmen kann, dann dürfen keine Optionen vorausgewählt sein. Wichtig ist außerdem, dass die Webseitenbesucher auf der ersten Seite, wenn sie mit einem Klick allen Cookies zustimmen können, auch an derselben Stelle alle Cookies mit einem Klick ablehnen können. Im besten Fall sind diese beiden Optionen dann auch optisch gleichwertig gestaltet. Außerdem müssen die Nutzer die Möglichkeit haben, ihre Cookie-Einstellungen jederzeit anpassen zu können und so auch im Nachhinein noch das Tracking unterbinden zu können. Cookie-Banner sollten nutzerfreundlich gestaltet werden und nicht dazu führen, die Absprungrate zu erhöhen.

Auszug aus der SAVISCON Datenschutzerklärung

Bearbeitungsmöglichkeit: Den Nutzern muss in der Datenschutzerklärung die Möglichkeit gegeben werden, im Nachgang die ihre Cookie-Einstellungen anzupassen.

Ausblick ePrivacy Verordnung (ePVO)

Die ePrivacy Verordnung soll zukünftig die DSGVO ergänzen und damit die in Deutschland bisher geltende ePrivacy Richtlinie ablösen. Ziel ist es, das Datenschutzniveau für Nutzer elektronischer Kommunikationsdienste zu verbessern und beispielsweise die Bestimmungen für Cookies und Cookie-Banner zu konkretisieren. Wann genau die ePVO in Kraft tritt ist noch unklar. Der Bundesverband Digitale Wirtschaft e. V. (BVDW) hat die Entwicklung der ePVO auf ihrer Webseite zusammengefasst: Aktuelle Informationen zur ePVO.

Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)

Zusätzlich zur DSGVO ist hat am 20.05.2021 der Bundestag den Entwurf des „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ mehrheitlich angenommen und zum 01.12.2021 ist das TTDSG nun gemeinsam mit dem neuen Telekommunikationsgesetz (TKG) in Kraft getreten. Damit sollen bisher offene Lücken geschlossen werden. Zudem wurden im TTDSG auch weitestgehend die Vorgaben der ePrivacy-Richtlinie (nicht zu verwechseln mit der noch ausstehenden ePrivacy-Verordnung!) umgesetzt. Das TTDSG hat folgende Inhalte:

Umgang mit dem digitalen Erbe
Verlangen eines amtlichen Ausweises
Auskunftsverfahren bei Bestands- und Nutzungsdaten
Schutz der Privatsphäre bei Endeinrichtungen
Anerkannte Dienste zur Einwilligungsverwaltung (PIMS)
Cookie-Consent
Straf- und Bußgeldvorschriften

Für Detail-Informationen können Sie unseren Blog-Beitrag „TTDSG – schon wieder ein neues Gesetz?“ von unserer Datenschutzbeauftragten Karin Selzer lesen.

Zusammenfassung Datenschutz im Online Marketing:

Übersicht verschaffen: In welchen Digital Marketing Prozessen werden personenbezogene Daten erhoben?
Übersicht konkretisieren: Welche personenbezogenen Daten werden in diesen Prozessen erhoben und werden sie an Dritte weitergegeben?
Maßnahmen ableiten: Müssen Auftragsverarbeitungsverträge mit den Dienstleistern geschlossen werden? Müssen die Dienstleister in der Datenschutzerklärung genannt werden?
Bei Unsicherheit immer Rücksprache mit der intern zuständigen Person für den Datenschutz halten oder sich externen Rat einholen
Google Analytics kann datenschutzkonform eingesetzt werden, wenn die passenden Einstellungen vorgenommen werden; wichtig: Skript darf erst nach Cookie-Zustimmung laden
Augen auf bei der Newsletter-Software: arbeitet der Anbieter selbst DSGVO-konform?
Cookie-Banner müssen nutzerfreundlich gestaltet werden

Fakt ist: Auch wenn es manchmal lästig ist, der Datenschutz ist ein wichtiger Teil des Online Marketings. Marketer sollten bereits vor der Auswahl eines neuen Marketing-Tools die Augen offen halten und prüfen, ob der Anbieter der DSGVO gerecht wird. Im Zweifel lohnt sich vorab die Rücksprache mit dem internen Datenschutzbeauftragten. Das bewahrt einen vor Fehlentscheidungen und spart im Zweifel Zeit und Geld.

Über die Autorin

Kerstin Wittemeier arbeitet als Digital Marketing Managerin bei der SAVISCON GmbH. Seit 2020 kümmert sie sich um die Inhalte für die Webseite, die Social Media Kanäle und den Blog. Bei Fragen, Anregungen oder zum Austausch: kerstin.wittemeier@saviscon.de

TTDSG – schon wieder ein neues Gesetz?

November 5, 2021/in Datenschutz, GRC@SAVISCON/von Karin Selzer

Was steht im Telekommunikation-Telemedien-Datenschutz-Gesetz?

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

Was bisher geschah: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: Datenschutz.

Heute wollen wir uns das TTDSG (Telekommunikation-Telemedien-Datenschutzgesetz) genauer ansehen. Als ich das erste Mal davon gehört habe dachte ich: ach nein, nicht schon wieder ein neues Datenschutzgesetz … Bei näherem Betrachten tauchen aber bald alte Bekannte auf: das Telekommunikationsgesetz (TKG) und das Telemediengesetz (TMG). Diese beiden älteren Gesetze stehen leider nicht im Einklang mit der aktuellen DSGVO und da kommt nun das neue TTDSG zur Harmonisierung ins Spiel. Datenschutzbestimmungen aus dem TMG und TKG wurden überarbeitet und sind nun dort mit eingeflossen.

Im Gesetzentwurf des Bundesministeriums für Wirtschaft und Energie (BMWi) vom 10.02.2021 heißt es wie folgt:

„Mit dem Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) sollen die bisher im Telekommunikationsgesetz (TKG) enthaltenen Bestimmungen zum Schutz des Fernmeldegeheimnisses und des Datenschutzes sowie die im Telemediengesetz enthaltenen Bestimmungen in einem neuen Stammgesetz zusammengeführt werden. Dabei werden die geltenden Bestimmungen an die europäische Datenschutz-Grundverordnung und an die neuen Begriffsbestimmungen des Telekommunikationsgesetzes angepasst. Der Entwurf flankiert den bereits vorgelegten Entwurf für ein neues Telekommunikationsgesetz und berücksichtigt die vom Bundestag am 28. Januar 2021 beschlossenen Regelungen zur Bestandsdatenauskunft im Telemediengesetz.“

Am 20.05.2021 hat der Bundestag den Entwurf des „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ mehrheitlich angenommen und zum 01.12.2021 tritt das TTDSG nun gemeinsam mit dem neuen Telekommunikationsgesetz (TKG) in Kraft. Damit sollen dann bisher unklare bzw. offene Lücken geschlossen werden. Zudem wurden im TTDSG auch weitestgehend die Vorgaben der ePrivacy-Richtlinie (nicht zu verwechseln mit der noch ausstehenden ePrivacy-Verordnung!) umgesetzt.

Alle Paragraphen des TTDSG können Sie u.a. hier einsehen: https://gesetz-ttdsg.de/

Begriffsbestimmungen

Unter § 2 TTDSG findet man wichtige Begriffsbestimmungen:

Anbieter von Telemedien

„jede natürliche oder juristische Person, die eigene oder fremde Telemedien erbringt, an der Erbringung mitwirkt oder den Zugang zur Nutzung von eigenen oder fremden Telemedien vermittelt,“

Bestandsdaten

„im Sinne des Teils 3 dieses Gesetzes die personenbezogenen Daten, deren Verarbeitung zum Zweck der Begründung, inhaltlichen Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Anbieter von Telemedien und dem Nutzer über die Nutzung von Telemedien erforderlich ist,“

Nutzungsdaten

„die personenbezogenen Daten eines Nutzers von Telemedien, deren Verarbeitung erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen; dazu gehören insbesondere

1. Merkmale zur Identifikation des Nutzers,
2. Angaben über Beginn und Ende sowie Umfang der jeweiligen Nutzung und
3. Angaben über die vom Nutzer in Anspruch genommenen Telemedien,“

Nachricht

„jede Information, die zwischen einer endlichen Zahl von Beteiligten über einen Telekommunikationsdienst ausgetauscht oder weitergeleitet wird; davon ausgenommen sind Informationen, die als Teil eines Rundfunkdienstes über ein öffentliches Telekommunikationsnetz an die Öffentlichkeit weitergeleitet werden, soweit die Informationen nicht mit dem identifizierbaren Nutzer, der sie erhält, in Verbindung gebracht werden können,“

Dienst mit Zusatznutzen

„jeder von einem Anbieter eines Telekommunikationsdienstes bereitgehaltene zusätzliche Dienst, der die Verarbeitung von Verkehrsdaten oder anderen Standortdaten als Verkehrsdaten in einem Maße erfordert, das über das für die Übermittlung einer Nachricht oder für die Entgeltabrechnung des Telekommunikationsdienstes erforderliche Maß hinausgeht,“

Endeinrichtung

„jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten; sowohl bei direkten als auch bei indirekten Anschlüssen kann die Verbindung über Draht, optische Faser oder elektromagnetisch hergestellt werden; bei einem indirekten Anschluss ist zwischen der Endeinrichtung und der Schnittstelle des öffentlichen Netzes ein Gerät geschaltet.“

Für wen gilt das TTDSG?

Das neue Gesetz gilt für Anbieter von Telemedien (siehe o.g. Begriffsbestimmungen), also für sämtliche Anbieter/Betreiber von Webseiten und Apps. Rein private Webseiten fallen nicht darunter. Der Begriff Telemedien wird im Telemediengesetz näher definiert (§ 1 TMG): unter Telemedien sind alle elektronischen Informations- und Kommunikationsdienste zu verstehen.

Welche Inhalte des TTDSG sind besonders hervorzuheben?

§ 1 TTDSG: Anwendungsbereich

Der Anwendungsbereich ist erweitert worden: mit den bereits genannten Endeinrichtungen (§ 2 TTDSG) sind auch alle mit dem Internet verbundenen Geräte gemeint, z.B. Messenger-Dienste wie WhatsApp oder auch Smarthome Anwendungen wie Alarmsysteme, Haushaltsgeräte etc.

Außerdem gilt – wie auch in der DSGVO – das „Marktortprinzip“ (§ 1 Abs. 3 TTDSG): „Diesem Gesetz unterliegen alle Unternehmen und Personen, die im Geltungsbereich dieses Gesetzes eine Niederlassung haben oder Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen.“

§ 4 TTDSG: Umgang mit dem digitalen Erbe

Bislang gab es keine gesetzliche Regelung zum Umgang mit den digitalen Daten eines Verstorbenen (z.B. Daten bei Facebook). Jetzt geht auch der digitale Nachlass an die Erben über:

„Das Fernmeldegeheimnis steht der Wahrnehmung von Rechten gegenüber dem Anbieter des Telekommunikationsdienstes nicht entgegen, wenn diese Rechte statt durch den betroffenen Endnutzer durch seinen Erben oder eine andere berechtigte Person, die zur Wahrnehmung der Rechte des Endnutzers befugt ist, wahrgenommen werden.“

§ 7 TTDSG: Verlangen eines amtlichen Ausweises

Lange war unklar, ob ein geklickter Button zur Bestätigung des Alters als Bestätigung wirklich ausreicht. Jetzt dürfen Anbieter zur Begründung eines Vertragsverhältnisses die Vorlage eines Ausweises verlangen. Der Ausweis kann in physischer Form vorgelegt werden, aber auch ein elektronischer Identitätsnachweis ist möglich. Der Anbieter darf eine Kopie erstellen, diese muss aber unverzüglich nach Feststellung der Identität vernichtet werden.

§§ 22 + 24 TTDSG: Auskunftsverfahren bei Bestands- und Nutzungsdaten

Immer wieder kommt es vor, dass behördliche Stellen (z.B. Strafverfolgungsbehörde, Bundeskriminalamt, Verfassungsschutzbehörde etc.) nach Bestands- und Nutzungsdaten fragen. Unklar war bis jetzt, ob und inwieweit die Daten herausgegeben werden dürfen. Dies ist jetzt im TTDSG geregelt. Was genau unter Bestandsdaten und Nutzungsdaten zu verstehen ist, haben wir oben bereits unter § 2 TTDSG erläutert.
Die Herausgabe von Passwörtern und sonstigen Zugangsdaten ist grundsätzlich ausgeschlossen. Nur in bestimmten Einzelfällen (§ 23 TTDSG) ist die Herausgabe möglich, z.B. in einem Strafprozess einer besonders schweren Straftat.

§ 25 TTDSG: Schutz der Privatsphäre bei Endeinrichtungen

Hier geht es um die bereits bekannten Cookies und Cookie-Banner. Laut § 25 Abs. 1 TTDSG ist nun eine ausdrückliche Einwilligung für Tracking, Cookies und Co. gesetzlich vorgeschrieben:
„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 (=DSGVO) zu erfolgen.“

Im Absatz 2 sind zwei Ausnahmen aufgeführt nämlich dann,

wenn „der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist“
wenn „die Speicherung unbedingt erforderlich ist, um den ausdrücklich vom Nutzer gewünschten Telemediendienst zur Verfügung stellen zu können“ (technisch notwendige Cookies)

Solche technisch notwendigen Cookies sind z.B. Warenkorb- oder Session-Cookies. Diese verhindern, dass der bereits gefüllte Warenkorb wieder geleert wird, nur weil ich auf Unterseiten weitersurfen bzw. weitershoppen möchte.

§ 26 TTDSG: Anerkannte Dienste zur Einwilligungsverwaltung (PIMS)

Durch diesen Paragraphen soll die Möglichkeit geschaffen werden, Einwilligungen über sogenannte Personal Information Management Systems (PIMS) zu verwalten. Als Endnutzer trifft man einmalig bestimmte Voreinstellungen und je nach Einstellung würden dann bestimmte Dienste (z.B. Cookies) angenommen oder blockiert, ohne dass separat ein Cookie-Banner durchgeklickt werden muss. Allerdings müssen sich Anbieter solcher PIMS zertifizieren lassen, damit das angewandte Verfahren auch offiziell anerkannt ist und bestimmte Voraussetzungen erfüllt sind (z.B. ausreichendes Sicherheitskonzept, kein wirtschaftliches Eigeninteresse etc.). Dazu fehlt allerdings noch die entsprechende Rechtsverordnung der Bundesregierung. Es wird also noch eine Weile dauern und bis dahin bleibt uns auch der Cookie-Banner erhalten.

§§ 27 + 28 TTDSG: Straf- und Bußgeldvorschriften

„Mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe wird bestraft, wer

entgegen § 5 Absatz 1 eine Nachricht abhört oder in vergleichbarer Weise zur Kenntnis nimmt,
entgegen § 5 Absatz 2 Satz 1 eine Mitteilung macht oder
entgegen § 8 Absatz 1 eine dort genannte Telekommunikationsanlage herstellt oder auf dem Markt bereitstellt.“

Je nach Verstoß fällt die Höhe des Bußgeldes unterschiedlich aus:

bis zu 300.000 € (z.B. bei einer fehlenden Einwilligung, § 25 TTDSG)
bis zu 100.000 € (z.B. bei der unrechtmäßigen Verarbeitung von Verkehrsdaten, § 12 TTDSG)
bis zu 50.000 € (z.B. bei falscher oder nicht rechtzeitiger Information des Endnutzers, § 13 TTDSG)
bis zu 10.000 € (z.B., wenn eine Aufsichtsbehörde nicht rechtzeitig in Kenntnis gesetzt wurde, § 12 TTDSG)

Bei einer fehlenden Einwilligung drohen Bußgelder nicht nur nach dem TTDSG, sondern auch nach der DSGVO!

Aktuell aus unserer Praxis

Bis zum Inkrafttreten des TTDSG ist nicht mehr viel Zeit. Deshalb laufen unsere Maßnahmen in vollem Gang:

Welche einwilligungsbedürftigen Cookies und Tools werden von uns genutzt?
Sind unsere Cookie-Banner auf dem aktuellen Stand?
Muss unsere Datenschutzerklärung ergänzt / angepasst werden?
Wie können wir uns schon jetzt auf ein zukünftiges PIMS vorbereiten?

Wie sieht es bei Ihnen aus? Haben Sie sich schon mit dem TTDSG beschäftigt?

…to be continued:

Hier die Zusammenfassung der bisher wichtigsten Erkenntnisse zum Thema „TTDSG“:

das TTDSG schließt einige Lücken
ein Cookie-Banner ist Pflicht!
bestimmten Behörden darf Auskunft erteilt werden
PIMS vielleicht bald die Lösung für Einwilligungen?

Karin Selzer (Consultant Compliance & Datenschutz) im Büro der SAVISCON GmbH.

Über die Autorin:

Der Auftragsverarbeitungs-Vertrag (AVV)

September 3, 2021/in Datenschutz, GRC@SAVISCON/von Karin Selzer

Was ist der AVV und was muss rein?

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

In diesem Blog-Beitrag sehen wir uns in unserem internen Projekt Datenschutz aus der Reihe GRC@SAVISCON (hier geht’s zum initialen Blog-Beitrag) den AV-Vertrag (Auftragsverarbeitungsvertrag) genauer an. Ein AV-Vertrag ist ein Vertrag über die Auftragsverarbeitung, der immer dann abgeschlossen werden muss, wenn personenbezogene Daten durch einen weisungsabhängigen Dienstleister verarbeitet werden. Ganz neu ist das Thema nicht, denn im Bundesdatenschutzgesetz (BDSG) war das Dokument als ADV-Vertrag (Auftragsdatenverarbeitungs-Vertrag) bekannt.

Was hat sich durch die Einführung der EU-Datenschutz-Grundverordnung geändert?

Das Verhältnis zwischen Auftraggeber und Auftragnehmer wird schärfer ausgestaltet. Insbesondere durch die Rechenschaftspflicht wird man als verantwortliche Stelle deutlich stärker in die Pflicht genommen. Nach Art. 26 DS-GVO gibt es nun auch „Gemeinsame Verantwortliche“. Neu ist auch die gemeinsame Haftung von Auftraggeber und Auftragnehmer bei Datenschutzverstößen mit Schadenersatzansprüchen (Art. 82 DS-GVO).

Was passiert mit bereits bestehenden ADV-Verträgen auf Grundlage des BDSG?

Diese sollten neu verhandelt und neu abgeschlossen werden. Zumindest ist dies die datenschutzkonformere und damit sicherere Lösung. Ansonsten besteht auch die Möglichkeit alte ADV-Verträge durch Ergänzungsverträge an die neue gesetzliche Grundlage anzupassen. Das kann allerdings mit hohem manuellen Aufwand verbunden sein, wenn die ADV-Verträge nicht standardisiert, sondern sehr individuell gestaltet wurden.

Deckblatt eines Vertrags zur Auftragsverarbeitung

Auszug aus SAVISCON Muster AV-Vertrag

Inhalt eines AV-Vertrages

Folgende Bestandteile (Mindestanforderungen) muss ein AV-Vertrag lt. DS-GVO haben, um die einzelnen Rechte und Pflichten von Auftraggeber und Auftragnehmer bei der Auftragsverarbeitung zu regeln (Art. 28 DS-GVO):

Angaben zu Auftraggeber, Auftragnehmer und Vertreter innerhalb der EU
Gegenstand und Dauer der Verarbeitung
Art und Zweck der Verarbeitung
Art der personenbezogenen Daten
Kategorien von betroffenen Personen
Umfang der Weisungsbefugnisse
Pflichten und Rechte des Verantwortlichen (z. B. Kontrollrecht)
Pflichten des Auftragsverarbeiters (z. B. Rückgabe bzw. Löschung personenbezogener Daten nach Auftragsende, Beschäftigung von Subunternehmer, Unterstützung bei Betroffenenanfragen und bei der Meldepflicht von Datenschutzverletzungen)
Sicherstellung von technischen und organisatorischen Maßnahmen (TOM)

Die Auflistung der technischen und organisatorischen Maßnahmen erfolgt üblicherweise in einer separaten Anlage zum AV-Vertrag und ist ebenfalls von beiden Parteien zu unterschreiben.

Auszug aus SAVISCON Muster Anlage 1 TOM

Woran erkenne ich einen Auftragsverarbeiter?

Ein „Auftragsverarbeiter“ ist eine natürliche oder eine juristische Person (Unternehmen), eine Behörde, eine Einrichtung oder eine andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Ein Auftragsverarbeiter bestimmt weder den Zweck noch die Mittel der Datenverarbeitung, dies obliegt ausschließlich dem Auftraggeber (Verantwortlicher). Allerdings darf der Auftragnehmer durchaus geeignete technische und organisatorische Schutzmaßnahmen selbst auswählen. Folgende Kriterien deutet auf eine Auftragsverarbeitung hin:

Der Auftragnehmer

hat keine Entscheidungsbefugnis über die Daten
verfolgt keinen eigenen Geschäftszweck bezüglich der personenbezogenen Daten
unterliegt einem Nutzungsverbot der zu verarbeitenden Daten
steht in keiner vertraglichen Beziehung zu den Betroffenen
ist nach außen hin nicht für die Datenverarbeitung verantwortlich, sondern der Auftraggeber

Klassische Auftragsverarbeiter sind z. B.

IT-Dienstleister, Hosting-Anbieter (Webseite)
Anbieter für Daten- und Aktenvernichtung (Datenschutztonne)
Externer Lettershop (Mailings)

Wann ist kein AV-Vertrag notwendig?

Eine einfach Frage, auf die es aber leider keine einfache pauschale Antwort gibt. Denn hier sind die einzelnen Aufsichtsbehörden und auch die Datenschutzkonferenz (DSK) nicht immer einer Meinung und es gibt immer mal wieder unterschiedliche Auslegungen.

Laut LDA Bayern stellt die Beauftragung mit fachlichen Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund steht, bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-)Bestandteil ausmacht, keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar. D. h. wenn ein Dienstleister z. B. die Wartung an der Stromzufuhr oder an der Kühlung übernimmt, spricht man nicht von einem Auftragsverarbeiter (keine Verarbeitung personenbezogener Daten) und es ist kein AV-Vertrag notwendig.

Wird aber ein IT-Dienstleister, der sich z. B. per Fernwartung (IT-Support) auf den Rechner aufschalten kann und dabei Zugriff auf personenbezogene Daten haben könnte, als Auftragsverarbeiter gesehen. Sie sehen, es ist eine genaue Betrachtung des Dienstleisters und der Art der Verarbeitung notwendig.

Hier einige Beispiele aus der FAQ-Liste des LDA Bayern wann keine Auftragsverarbeitung vorliegt:

a) Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen z. B.

Berufsgeheimnisträger (Ärzte, Steuerberater, Rechtsanwälte, Wirtschaftsprüfer)
Inkassobüros mit Forderungsübertragung
Bankinstitute für den Geldtransfer
Postdienste für den Brief- oder Pakettransport
Matching-Dienste (z. B. Personalvermittler)

b) im Kern keine beauftragte Verarbeitung personenbezogener Daten, sondern der Auftrag zielt auf eine andere Tätigkeit z. B.

vom Vermieter beauftragte Handwerker, die dazu die nötigen Mieterdaten erhalten
Sachverständige zur Begutachtung eines Kfz-Schadens
Personenbeförderung, Krankentransportleistungen
Bewachungsdienstleistungen
Reinigungsdienstleistungen und Handwerkereinsätze in Unternehmen

Muster AV-Verträge

Um einen datenschutzkonformen AV-Vertrag zu erstellen, müssen Sie das Rad aber nicht neu erfinden. Hier gibt es sehr gute Vorlagen, die auf jeden Fall eine gute Basis darstellen und an Ihr Unternehmen und Ihre Auftragsverarbeiter angepasst werden können:

Vorlage des LDA Bayern
Vorlage der GDD (in deutscher und englischer Sprache verfügbar)

Aktuell aus unserer Praxis

Wir arbeiten mehrmals im Jahr mit einer Telemarketing-Agentur zusammen, die für uns im Anschluss an Mailings Adressen abtelefoniert, um Beratungstermine zu vereinbaren oder Informationsmaterial zu versenden. Hier werden ganz klar personenbezogene Daten nach Weisung von uns als Auftraggeber verarbeitet. Zusätzlich zu den jeweiligen Einzelaufträgen (Hauptverträge) gibt es einen AV-Vertrag zwischen beiden Parteien, der so lange gültig sein wird, wie die Geschäftsbeziehung aktiv ist.
Den Abschluss haben wir natürlich auch in unserem GRC-COCKPIT dokumentiert, in dem wir eine Maßnahme dazu angelegt und mit dem erfassten Partner (Telemarketing-Agentur) verknüpft haben. So können wir auf Knopfdruck überprüfen, ob es sich bei dem Partner um einen Auftragsverarbeiter (Dienstleister) handelt und ob hier ein gültiger AV-Vertrag vorliegt. Denn dieser wird ebenfalls verknüpft bzw. fest als Anhang hinterlegt.
Sollte es neue Vorgaben der Datenschutzbehörden geben, können wir aus dem GRC-COCKPIT heraus eine Liste an Auftragsverarbeitern erstellen und so weitere Maßnahmen (z. B. AV-Vertrag aktualisieren) erzeugen und bis zum Abschluss überwachen. Natürlich handelt es sich bei diesem Prozess um einen Verarbeitungsprozess nach Art. 30 DS-GVO. Wie man ein solches Verzeichnis von Verarbeitungstätigkeiten aufsetzt, haben wir bereits in einem vorherigen Blog-Beitrag erklärt: Zum Beitrag Verzeichnis von Verarbeitungstätigkeiten aufbauen

Auszug aus dem GRC-COCKPIT: Maßnahme AV-Vertrag abschließen.

…to be continued:

Hier die Zusammenfassung der bisher wichtigsten Erkenntnisse zum Thema „AV-Vertrag“:

Alte ADV-Verträge am besten neu verhandeln und abschließen
Prüfen, bei welchen Partnern es sich um Auftragsverarbeiter handelt
Wenn möglich Muster AV-Verträge verwenden
Übersichtliche Dokumentation der Partner / Auftragsverarbeiter inkl. AV-Verträge

Im nächsten Blog-Beitrag am 16. September, schauen wir wieder gemeinsam in das Projekt Compliance-Management.

Über die Autorin:

Karin Selzer (Consultant Compliance & Datenschutz) im Büro der SAVISCON GmbH.

Datenschutz-Folgenabschätzung

Juni 24, 2021/in Datenschutz, GRC@SAVISCON/von Karin Selzer

GRC@SAVISCON: Datenschutz

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

Nachdem wir in unserem letzten Blog-Beitrag „Verzeichnis von Verarbeitungstätigkeiten“ der Reihe GRC@SAVISCON über dessen Aufbau und die damit verbundenen Herausforderungen berichtet haben, soll es heute um die Datenschutz-Folgenabschätzung gehen. Ein kurzer Rückblick: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: Datenschutz.

Ein kurzer Rückblick:

In meinem letzten Blog-Beitrag habe ich ausführlich über das Verzeichnis von Verarbeitungstätigkeiten (VVT) berichtet und darüber, dass das Verzeichnis als Zentrum/Kern gesehen werden kann. Eine Verarbeitungstätigkeit stellt einen Prozess dar, bei dem personenbezogene Daten für einen oder mehrere Zwecke verarbeitet werden. Am Ende unseres Projektes GRC@SAVISCON wollen wir alle entsprechenden Prozesse vollständig (mit mind. allen Pflichtangaben, die ein VVT haben muss) in unserer eigenen GRC-Software (GRC-COCKPIT) erfasst haben.

Aktuell ist der Stand noch nicht ganz erreicht, da und das Tagesgeschäft uns mit den begrenzten Ressourcen allzu oft daran hindert, alle relevanten Informationen einzusammeln und einzutragen. Hier werden noch ein paar Abstimmungstermine mit den Fachbereichen notwendig sein. Wie Sie sehen, ist hier der Austausch zwischen Datenschutz und Fachbereichen sehr wichtig und unumgänglich. Aus dem Bereich Datenschutz kommt die Struktur, der Anstoß und eine Empfehlung – der fachliche Inhalt muss aber aus der Organisation heraus erstellt werden.

Wie aber hängt nun die Datenschutz-Folgenabschätzung mit dem VVT zusammen?

Im Verzeichnis kann auf Dokumente, Richtlinien, Vertragswerke, Rechtsgrundlagen, Maßnahmen, etc. verwiesen werden. Der Prozess ist somit als Verarbeitungstätigkeit bereits dokumentiert und es kann direkt eine Datenschutz-Folgenabschätzung (falls notwendig) als Maßnahme abgeleitet werden. Diese Funktion ist bereits in unserem GRC-COCKPIT umgesetzt. Aber dazu später mehr …

Was ist eigentlich eine Datenschutz-Folgenabschätzung (DSFA)?

Eine DSFA ist eine Form der Risikobewertung inkl. möglicher Folgen für die persönlichen Rechte und Freiheiten der Betroffenen. Führt die Art der Verarbeitung voraussichtlich zu einem hohen Risiko für die Betroffenen, so muss der Verantwortliche vorab (also vor Inkrafttreten dieser neuen Verarbeitungstätigkeit) eine Datenschutz-Folgenabschätzung durchführen. Dabei holt er den Rat des Datenschutzbeauftragten (sofern ein solcher benannt wurde) ein (gemäß Art. 35 Abs. 2 DS-GVO). Dieser prüft die Risiken und gibt abschließend eine Empfehlung / Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung ab.

Wann ist eine DSFA notwendig?

Gemäß Art. 35 Abs. 1 DS-GVO ist eine Datenschutz-Folgenabschätzung durchzuführen, wenn:

„(…) eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge [hat]“.

In Art. 35 Abs. 3 DS-GVO werden folgende Beispiele genannt:

systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DS-GVO oder
systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Was bedeutet das nun für uns in der Praxis?

An dieser Stelle möchte ich zum einen die abgestimmte „Muss-Liste“ der Datenschutzkonferenz (DSK – Gremium der deutschen Datenschutzaufsichtsbehörden) und zum anderen ein Working Paper (WP) der Art. 29 Gruppe erwähnen. Diese beiden Quellen haben es mir leichter gemacht, das Thema DSFA besser einordnen und umsetzen zu können.
In der sogenannten „Muss-Liste“ (DSFA_MUSS_LISTE_DSK_DE.PDF – Stand 17.10.2018) werden Beispiele von Verarbeitungstätigkeiten aus der Praxis aufgeführt, für die eine DSFA zwingend durchzuführen ist.

Screenshot der Liste der Verarbeitungstätigkeiten Datenschutz-Folgenabschätzung

Screenshot: Auszug aus der DSK „Muss-Liste“

Im WP 248 (Stand 04.10.2017) hingegen, werden ab Seite 10 insgesamt 9 Kriterien aufgeführt, die für die eigene Bewertung hinzugezogen werden können, wenn die betreffende Verarbeitungstätigkeit nicht in der Muss-Liste aufgeführt ist. Außerdem sind ebenfalls Praxisbeispiele zur Orientierung aufgeführt.

Auszug aus dem Working Paper 248 – Kriterien

Auszug aus dem Working Paper 248 – Praxisbeispiele

Um es auch unseren Kunden des GRC-COCKPIT bei der Entscheidung „Datenschutz-Folgenabschätzung, ja/nein?“ einfacher zu machen, haben wir eine Checkliste mit den Inhalten aus den oberen beiden Dokumenten in die Software eingebaut. Anhand der Liste kann der User die Bewertung pro Verarbeitungstätigkeit durchführen und die entsprechenden Antworten vermerken.

Screenshot GRC-COCKPIT „Checkliste DSFA”

Auszug GRC-COCKPIT „Checkliste DSFA”

Wird mind. eine Frage mit ja beantwortet, so wird im GRC-COCKPIT systemtechnisch mittels eines Anwenderhinweises nachgefragt, ob eine Maßnahme „Datenschutz-Folgenabschätzung durchführen“ abgeleitet werden soll. Wird dies bestätigt, hat der Verantwortliche gleich eine Maßnahme im System hinterlegt und kann dies nicht mehr vergessen. Wird keine Maßnahme erstellt, so wird nur die Checkliste mit den aktuellen Angaben gespeichert.

Screenshot GRC-COCKPIT „Maßnahme DSFA ableiten?”

Auszug GRC-COCKPIT „Maßnahme DSFA ableiten?”

In der Verarbeitungstätigkeit selbst ist dann der aktuelle Status entsprechend dokumentiert:

Auszug GRC-COCKPIT „Datenschutz-Folgenabschätzung notwendig? Status offen / ja / nein”

Wie ist eine DSFA durchzuführen?

Gemäß Art. 35 Abs. 7 müssen folgende Punkte enthalten sein:

eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

Sie sehen, auch beim Thema Datenschutz-Folgenabschätzung nutzen wir Orientierungshilfen und Kurzpapiere der Aufsichtsbehörden bzw. der Datenschutzkonferenz. So treiben wir Stück für Stück unser Datenschutz-Projekt voran und entwickeln parallel unsere eigene GRC-Software (GRC-COCKPIT) weiter, damit wir unseren Kunden auch weiterhin passende Lösungen für aktuelle Anforderungen bieten können.

…to be continued:

Hier die Zusammenfassung der wichtigsten Erkenntnisse zum Thema Datenschutz-Folgenabschätzung:

Datenschutz-Folgenabschätzung hört sich komplizierter an, als sie ist
Orientierungshilfen und Kurzpapiere können eine gute Grundlage geben, um die Artikel der DS-GVO praxistauglich umzusetzen
es lohnt sich, Zeit und Mühe in das Verzeichnis von Verarbeitungstätigkeiten zu stecken, da die Notwendigkeit einer DSFA direkt aus der einzelnen Verarbeitungstätigkeit bewertet werden kann
es ist sehr hilfreich, alles in einem System (z. B. unser GRC-COCKPIT) abbilden zu können, so werden Doppelerfassungen und Abweichungen vermieden und es findet eine zentrale Dokumentation und Kontrolle statt.

Über die Autorin:

Karin Selzer (Consultant Compliance & Datenschutz) im Büro der SAVISCON GmbH.

GRC@SAVISCON: Datenschutz

Februar 25, 2021/in Datenschutz, GRC@SAVISCON/von Karin Selzer

Los geht‘s: Wie wir den Datenschutz intern umsetzen

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

Nachdem wir in unserem letzten Blog-Beitrag „Step by step“ der Reihe GRC@SAVISCON über den Start unseres IT-Sicherheitsmanagements berichtet haben, soll es heute um den Datenschutz gehen. Ein kurzer Rückblick: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: Datenschutz.

Datenschutz in der Praxis: wie geht das?

Vielleicht geht es Ihnen wie es mir bei meinem vorherigen Arbeitgeber erging, dort habe ich mich als Datenschutzkoordinatorin oft gefragt: was bedeuten die Anforderungen aus der EU-Datenschutz-Grundverordnung (DSGVO) eigentlich für uns in der Praxis? Wie genau ist das alles umzusetzen? Auch heute – nach meiner Ausbildung zur Datenschutzbeauftragten ist das teilweise noch immer so. Ja, ich kenne und verstehe die Hintergründe besser und sammle immer mehr Erfahrung auf dem Gebiet, aber die DSGVO ist in vielen Punkten einfach noch unscharf. In vielen Bereichen fehlen eindeutige Gerichtsurteile und das wird auch noch einige Zeit dauern. Aber: es gibt viele Orientierungshilfen, Kurzpapiere, Leitlinien und Muster u. a. von der deutschen Datenschutzkonferenz und den Aufsichtsbehörden der einzelnen Bundesländer, die sehr hilfreich sind. Auch unterschiedliche Fachliteratur und Fachzeitschriften können weitere Orientierung bringen. Dazu später mehr.

Datenschutz-Management: das Fundament

Das Thema Datenschutz wird oft als unliebsames Thema gesehen, das die Unternehmen mit zig Regelungen immens einschränkt, keine praktikablen Lösungen für die wirkliche Praxis bietet und eigentlich nur Zeit und Geld kostet. Deshalb ist es wichtig, dass die Führungsetage hinter dem Thema steht und die nötigen Ressourcen zur Verfügung stellt. Unser Geschäftsführer, Ingo Simon, hat die Wichtigkeit dieses Themas erkannt und die notwendigen Ressourcen bereitgestellt. Dafür bin ich der lebende Beweis, denn meine Stelle als Consultant Compliance und Datenschutz sowie interne Datenschutzbeauftragte wurde im Januar 2021 neu geschaffen. So steht einem guten Start nichts im Wege. Doch wo fängt man an?

Verzeichnis von Verarbeitungstätigkeiten

Die DSGVO bietet 99 Artikel, da kann man schon mal den Überblick fürs Wesentliche verlieren und scheut sich vielleicht überhaupt erst anzufangen. Hier kann ich empfehlen, kleine Meilensteine / Arbeitspakete zu schnüren. Wir haben uns dazu entschieden, erstmal unser „Verzeichnis von Verarbeitungstätigkeiten“ aufzubauen. Warum? Ein kurzer Einstieg in zwei Artikel der DSGVO: Im Artikel 5 Abs. 1 werden die Grundsätze für die Verarbeitung personenbezogener Daten beschrieben (z. B. Rechtmäßigkeit, Zweckbindung, Datenminimierung). Im Abs. 2 heißt es, dass der Verantwortliche für die Einhaltung des Absatzes 1 verantwortlich ist und dessen Einhaltung nachweisen können muss („Rechenschaftspflicht“). Im Artikel 24 Abs. 1 sind die Pflichten des Verantwortlichen im Hinblick auf die zu ergreifenden technischen und organisatorischen Maßnahmen aufgeführt. Wir als Unternehmen müssen also den Nachweis erbringen können, dass wir die Anforderungen aus der DSGVO umgesetzt haben. Dazu gehört natürlich auch der Nachweis der umgesetzten Maßnahmen.

Das Verzeichnis von Verarbeitungstätigkeiten erfüllt demnach gleich mehrere Funktionen. Zum einen soll mit der Führung des Verzeichnisses der Nachweis zur Einhaltung der Vorgaben gemäß DSGVO erfolgen. Zum anderen ist jeder Verantwortliche bzw. jeder Auftragsverarbeiter verpflichtet, mit der Aufsichtsbehörde zusammenzuarbeiten und auf Anfrage das entsprechende Verzeichnis vorzulegen (Art. 30 DSGVO). Sie können das Verzeichnis auch als „Zentrum/Kern“ des Ganzen sehen, denn die komplette Dokumentation lässt sich um das Verzeichnis herum aufbauen, in dem auf Dokumente, Richtlinien, Vertragswerke, Rechtsgrundlagen verwiesen werden kann.

Übrigens: Die Datenschutzkonferenz hat hier ein Kurzpapier zum Verzeichnis von Verarbeitungstätigkeiten (Kurzpapier Nr. 1 – Stand 17.12.2018) herausgegeben, um eine einheitliche Handhabung bei der Führung des Verzeichnisses zu erreichen. Alle Kurzpapiere sind im Internet auf der Seite der Datenschutzkonferenz veröffentlicht: Datenschutzkonferenz (datenschutzkonferenz-online.de).

Wie setze ich das Verzeichnis von Verarbeitungstätigkeiten auf?

Zum Start des Verzeichnisses habe ich erstmal sämtliche Kolleginnen/Kollegen mit „ins Boot“ geholt. Ich allein kann unmöglich alle Verarbeitungstätigkeiten im Haus kennen, deshalb bin ich auf die Mithilfe der anderen Mitarbeiter angewiesen. Dazu habe ich mit allen Kollegen virtuell gesprochen, alle Tätigkeiten gesammelt und grob beschrieben. Wir bilden das im GRC-COCKPIT in der Prozessdokumentation der Stammdaten ab. Ein Prozess oder Teilprozess, der eine Verarbeitungstätigkeit darstellt, bekommt eine entsprechende Markierung. Dadurch werden die spezifischen Detailfelder, die ich im nächsten Abschnitt erwähne, aktiviert und können gefüllt werden. Aus den eingegebenen Daten kann per Knopfdruck ein Bericht erstellt werden, der alle diese markierten Prozesse enthält und damit unser Verzeichnis der Verarbeitungstätigkeiten darstellt. Dieser Bericht kann dann der Aufsichtsbehörde zur Verfügung gestellt werden.
Übrigens: unser Entwicklungsteam wird hier permanent mit eingebunden. Wenn sich neue oder verbesserte Funktionen aus der Praxis ergeben und bei unserer Nutzung bewähren, übernehmen wir sie auch in das GRC-COCKPIT für unsere Kunden. Unser Ansporn ist es, das GRC-COCKPIT stetig zu verbessern, sodass wir unseren Kunden eine Software aus der Praxis, für die Praxis bieten können!

Verzeichnis von Verarbeitungstätigkeiten mit Details verfeinern

Im nächsten Schritt (dort stehen wir aktuell) wird jede einzelne Verarbeitungstätigkeit im GRC-COCKPIT erfasst und zur weiteren Erhebung von Details an den jeweils verantwortlichen Mitarbeiter geschickt. Das bedeutet, dass jeder verantwortliche Mitarbeiter über das Tool eine Aufgabe mit einer Deadline erhält. Über den „Health Check“ im System kann ich mir anzeigen lassen, wie viele Aufgaben zur Detailerfassung der Verarbeitungstätigkeiten noch offen sind. So kann ich nichts vergessen. In den Details werden z. B. die Betroffenengruppen, die Datenkategorien, die Empfänger und Löschfristen hinterlegt sowie Risikobewertungen durchgeführt. Selbstverständlich werden dort auch Verknüpfungen zu den technischen und organisatorischen Maßnahmen hergestellt, z. B. Verweis auf IT-Sicherheitskonzept, Berechtigungskonzept, Richtlinien, etc. Hierbei wird klar erkennbar, dass die Themenfelder Datenschutz, IT-Sicherheit und Risiko-Management sich überlappen bzw. eng miteinander verbunden sind. Demnach ist der Austausch mit meinen Kollegen aus den Projekten Risiko-Management und IT-Sicherheit zwingend notwendig, um auch Doppelarbeit zu vermeiden. Die Kommunikation ist aber auch wichtig, um ein gemeinsames Verständnis von Definitionen zu erhalten. Immer wieder stolpern wir darüber, was eigentlich eine Anforderung und was eine Maßnahme ist und, wie detailliert ein Risiko formuliert sein sollte.

Hier habe ich ein konkretes Beispiel zum besseren Verständnis herausgesucht:

Norm:	EU-Datenschutz-Grundverordnung
Anforderung_1:	Führen des Verzeichnisses von Verarbeitungstätigkeiten (gemäß Art. 30 DSGVO
Anforderung_2:	Erfüllung der Rechenschaftspflicht (gemäß Art. 5 Abs. 2 DSGVO)
Anforderung_3:	Beschreibung der technischen und organisatorischen Maßnahmen (gemäß Art. 24 Abs. 1 + Art. 32 Abs. 1 DSGVO)
Maßnahme_a:	Erfassen aller Verarbeitungstätigkeiten mit allen geforderten Pflichtangaben im GRC-COCKPIT
Maßnahme_b:	Regelmäßige Pflege und Aktualisierung der Verarbeitungstätigkeiten mit allen geforderten Pflichtangaben im GRC-COCKPIT
Risiko:	Sanktionen (Geldbuße) bei fehlendem bzw. nicht vollständigem Verzeichnis von Verarbeitungstätigkeiten (gemäß Art. 83 Abs. 4 lit. a DSGVO)

Das ist natürlich nur ein Auszug an Anforderungen, Maßnahmen und Risiken. Zur vollständigen Erfüllung der Rechenschaftspflicht sind z. B. noch viele weitere Maßnahmen notwendig. Unser Ziel ist es, alle Anforderungen aus der EU-DSGVO mit den jeweils notwendigen Maßnahmen und den entsprechenden Risikobewertungen (inkl. Datenschutz-Folgenabschätzungen) im GRC-COCKPIT abzubilden und zu dokumentieren. Bei Maßnahmen, die regelmäßig durchgeführt werden müssen, kann uns das Tool ebenso unterstützen, und zwar in Form von Erinnerungen/Überwachungen.
Wie Sie sehen, haben wir noch eine ganze Menge Arbeit vor uns, aber der Grundstein ist gelegt und jetzt müssen wir dranbleiben. Und das werden wir auch!

…to be continued:

Hier die Zusammenfassung der bisher wichtigsten Erkenntnisse aus dem Projekt Datenschutz:

Kleine Meilensteine / Arbeitspakete schnüren
Einfach mal loslegen mit einem Thema, z. B. Verzeichnis von Verarbeitungstätigkeiten
Mitarbeiter unbedingt mit „ins Boot holen“, denn sie liefern wichtigen Input
Gemeinsames Verständnis durch Beispiele schaffen
Nicht verzweifeln, wenn zu Beginn nicht alle Details vorliegen, sondern weiter recherchieren und im Nachgang ergänzen
Kurzpapiere der DSK und weitere Handlungsempfehlungen aus dem Netz zur Orientierung heranziehen
Austausch mit anderen Datenschutzbeauftragten

In unserem nächsten Blog-Beitrag geht es um das Thema Compliance und die Frage: Zu klein für Compliance?

Über die Autorin:

Karin Selzer (Consultant Compliance & Datenschutz) im Büro der SAVISCON GmbH.

Clubhouse und die DSGVO

Februar 19, 2021/in Datenschutz/von Karin Selzer

Hype-App: Viele wollen rein, doch um welchen Preis?

von Karin Selzer, Consultant für Compliance & Datenschutz bei der SAVISCON GmbH

Haben Sie schon von Clubhouse gehört? Bei der kostenlosen App handelt es sich um eine neue Social-Media-Plattform, die ausschließlich die Audio-Kommunikation zulässt – keine Videos, keine Fotos, keine Textnachrichten, nur Ton. Die App der US-Firma Alpha Exploration Co. Inc. gibt es aktuell ausschließlich im App-Store für iPhone-Nutzer. Der Zugang ist nur mit einer Einladung von Freunden möglich, die diese App bereits nutzen. Ist man dann mal drin, können verschiedene virtuelle Räume besucht werden, in denen dann über diverse Themen gesprochen wird. Ähnlich einer Telefonkonferenz oder einem Podcast. Viele bekannte Persönlichkeiten sind schon drin: Thomas Gottschalk, Joko Winterscheidt, Mario Götze und Ashton Kutscher. Klingt erstmal total hip und cool. Passt gut in die aktuelle Lockdown-Zeit. Oder? Bestimmt! Doch der neue Social-Media-Hype ist datenschutzrechtlich sehr heikel:

Übertragung des Adressbuches

Das eigene Adressbuch wird an Clubhouse übertragen, wenn man das Einverständnis dazu gibt. Das ist zwar nicht verpflichtend, aber eigentlich notwendig, um die App in vollem Umfang nutzen zu können. Ohne Adressbuchfreigabe hat man z. B. keine Einladungsoption. Stimmt man der Übertragung des Adressbuches zu, findet diese aber ohne Zustimmung der betroffenen Personen statt, d.h. bei jedem einzelnen Kontakt müsste vorab eine Zustimmung eingeholt werden. Da dies nicht passiert, liegt hier ein Verstoß gegen die Rechtmäßigkeit der Verarbeitung vor (Art. 6 DSGVO). Zudem auch ein Verstoß gegen Art. 14 DSGVO: der Verantwortliche hat eine Informationspflicht gegenüber der betroffenen Person. Auch dieser kommen die Betreiber von Clubhouse nicht nach.

Speicherung diverser Daten

Die Audiobeiträge werden temporär aufgezeichnet. Laut Clubhouse, um bei Verstößen/Beschwerden reagieren zu können. Außerdem werden weitere Daten gesammelt, wie z. B. Interessen an den unterschiedlichen Themen/Beiträgen, Ortsdaten, Interaktionen mit anderen App-Nutzern. Die Speicherung der Beiträge und der sonstigen Daten sind aber zur Nutzung der App nicht wirklich notwendig und dies widerspricht den Grundsätzen für die Verarbeitung personenbezogener Daten (Art. 5 Abs. 1b DSGVO „Zweckbindung“ und Art. 5 Abs. 1c DSGVO „Datenminimierung“).

Fehlende Transparenz

Aus den Nutzungsbedingungen und aus der Datenschutzerklärung geht nicht hervor, inwieweit und zu welchen konkreten Zwecken die personenbezogenen Daten von Clubhouse genutzt werden. Die Art und der Umfang der Verwendung sind wenig transparent und unklar. Gemäß Art. 12 DSGVO ist der Verantwortliche aber verpflichtet, alle Informationen gemäß den Artikeln 13 und 14 und allen Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34 in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Die Dokumente sind nur in englischer Sprache vorhanden, was demnach nicht DSGVO-konform ist, denn sie müssten auch in deutscher Sprache zur Verfügung gestellt werden. Zwischenzeitlich hat das Unternehmen zumindest den Anfang der Datenschutzerklärung ins Deutsche übersetzt, aber ab den Internetaktivitätsdaten sind die Inhalte wieder nur in Englisch verfügbar (Stand 09.02.2021). Aufgrund der sehr allgemein gehaltenen Angaben gehe ich davon aus, dass sämtliche personenbezogene Daten der Nutzer auch umfassend für Marketingzwecke genutzt sowie an Dritte weitergegeben werden.

Hat Clubhouse Zukunft?

Es bleibt abzuwarten, ob der Hype rund um die App Clubhouse bestehen bleibt und vor allem, ob das Unternehmen die datenschutzrechtlichen Mängel zeitnah ausmerzen wird – angekündigt haben sie es jedenfalls. Was meinen Sie: Sollten Apps, die gegen die DSGVO verstoßen, überhaupt in deutschen App-Stores erhältlich sein? Diskutieren Sie mit uns in den Kommentaren, wir sind gespannt auf Ihre Meinung!

Über die Autorin:

Karin Selzer (Consultant Compliance & Datenschutz) im Büro der SAVISCON GmbH.