Monat: Juni 2019

Laut einer Umfrage der Welt am Sonntag unter den deutschen Datenschutzbehörden wurden in den ersten zwölf Monaten nach Inkrafttreten der DSGVO Bußgelder in Höhe von ca. EUR 485.000 in Deutschland verhängt.

Die Spannbreite reichte hierbei von Bußgeldern in Höhe von wenigen hundert Euro bis hin zu einem vorläufigen Rekordbußgeld in Höhe von EUR 80.000, das der Landesbeauftragte für den Datenschutz in Baden-Württemberg wegen der unsachgemäßen Verarbeitung von Gesundheitsdaten verhängt hat. In Berlin wurde zudem erst im Mai – quasi zum einjährigen Bestehen der DSGVO – ein Bußgeld in Höhe von EUR 50.000 gegen eine Online-Bank verhängt, die unzulässigerweise Daten ehemaliger Kunden auf einer schwarzen Liste geführt haben soll.

Die Bußgelder werden häufig durch Beschwerden betroffener Personen ausgelöst. Allerdings führt nur ein Bruchteil der eingereichten Beschwerden zu einem Bußgeld. So wurden in den ersten zwölf Monaten über 150.000 Beschwerden allein bei deutschen Datenschutzbehörden eingereicht. Eine Steigerung um ein Vielfaches im Vergleich zu den Zahlen vor Einführung der DSGVO.

In anderen EU-Ländern sind bisher wenige Bußgelder auf Grundlage der DSGVO verhängt worden. Allerdings sind die Bußgeldbeträge zum Teil deutlich höher als in Deutschland. Allen voran die französische „Commission Nationale de l’Informatique et des Libertés“oder CNIL, die im Jahr 2018 exakt ein Bußgeld auf Grundlage der DSGVO verhängt hat, nämlich in Höhe von EUR 50 Mio. gegen Google und zwar wegen nicht im Sinne von Art. 13 DSGVO transparenter bzw. nicht vollständiger Datenschutzinformationen. In Portugal, Polen und Norwegen verhängte Bußgelder, die jeweils deutlich im sechsstelligen Bereich liegen, lassen vermuten, dass sowohl die Anzahl der Bußgeldverfahren, als auch die in den Raum gestellten Bußgeldbeträge in Zukunft europaweit steigen dürften.

Am Ende sollte jedoch nicht vergessen werden, dass die Bußgelder keinen Selbstzweck darstellen dürfen. Es schließlich ist das ausdrückliche Ziel der DSGVO, den freien Verkehr personenbezogener Daten in der EU zu fördern – nicht etwa einzuschränken oder gar zu verbieten (Art. 1 Abs. 3 DSGVO).

Eine systematische Ausrichtung anhand der europäischen Datenschutznormen bietet Unternehmen jeglicher Größe Möglichkeit, bei der Datenverarbeitung in der EU – und zunehmend auch in anderen Regionen der Welt mit vergleichbaren Standards (z.B. Kanada, Japan, Australien) – von den durch die DSGVO gesetzten Standards zu profitieren.

Wer eine Webseite betreibt, ist früher oder später über diese Problematik gestolpert: wird eine Einwilligung für den Einsatz von Cookies benötigt oder nicht? Und wenn ja, wie hat diese auszusehen?

Die Rechtslandschaft auf diesem Gebiet gestaltet sich alles andere als übersichtlich. Da ist die in aller Munde befindliche Datenschutzgrundverordnung (DSGVO). Dann gibt es eine E-Privacy-Richtlinie (EPrivRL). Daneben gibt es das Telemediengesetz (TMG). Auch gehört hat man vielleicht etwas von der geplanten E-Privacy-Verordnung (EPrivVO).

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat kürzlich eine aktualisierte Stellungnahme für Anbieter von Telemedien herausgegeben, zu finden unter

https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf.

Gesetzliche Grundlagen:

Der etwas hölzerne Begriff „Telemedien“ ist legaldefiniert in § 1 Abs. 1 TMG und umschließt das Betreiben von Webseiten.

Spezifische Regelungen über elektronische Kommunikation finden sich in der EPrivRL und im TMG.

Die EPrivRL ist eine von der europäischen Kommission erlassene Richtlinie, die von der Legislative der Mitgliedstaaten in nationales Recht übertragen werden muss. Eine europäische Richtlinie ist vor deren nationaler Umsetzung noch kein für jedermann anwendbares Gesetz und kann allenfalls Signalwirkung bei der Interpretation der nationalen Gesetze entfalten.

Das TMG ist ein vom Bundestag seit 2007 in Kraft getretenes Gesetz, das den Umgang mit Informations- und Kommunikationsdiensten regelt.

Die DSGVO regelt den allgemeinen Umgang mit personenbezogenen Daten, ist also auch grundsätzlich anwendbar auf elektronisch anfallende personenbezogene Daten, und hat grundsätzlich Vorrang vor anderen Gesetzen außer in konkret in der DSGVO geregelten Ausnahmen. Vorrang wird insbesondere den Regelungen eingeräumt, die aufgrund der EPrivRL erlassen wurden, Art. 95 DSGVO. Wenn also das TMG die Umsetzung der EPrivRL darstellt, hätte das TMG als Ausnahme Vorrang vor der DSGVO.

Was wird in diesen Gesetzen vorgeschrieben?

Die EPrivRL verpflichtet die Mitgliedstaaten in Art. 5 Abs. 1 EPrivRL dazu, die Vertraulichkeit von Daten zu gewährleisten, die bei der elektronischen Kommunikation anfallen. Die Speicherung soll nur dann zulässig sein, wenn es sich gemäß Art. 5 Abs. 3 EPrivRL um technisch notwendige Daten handelt. Im Übrigen kann eine darüber hinaus gehende Verarbeitung nur durch eine informierte Einwilligung des Nutzers gerechtfertigt werden.

Das TMG erlaubt die Verarbeitung zu „Zwecke[n] der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien“, § 15 III TMG solange, bis der Nutzer dem widerspricht.

Die bislang überwiegend angewandte Praxis des sogenannten Cookie-Banners, in dem darauf hingewiesen wird, dass Cookies verwendet werden und innerhalb der Datenschutzerklärung auf die Widerspruchsmöglichkeit hingewiesen wird, beruht auf dieser Regelung.

Praktisch umgesetzt bedeutet dies:
Nach der EPrivRL dürfen Sie erst Cookies platzieren, nachdem der Nutzer eingewilligt hat. Nach dem Telemediengesetz dürfen Sie Cookies platzieren, bis der Nutzer dem widerspricht. Ein großer Unterschied!

Nach der DSGVO könnte die Datenverarbeitung aufgrund eines berechtigten Interesses des Webseiten-Betreibers gerechtfertigt sein, hierzu bedarf es allerdings einer Interessenabwägung. Andernfalls kommt nur eine Einwilligung in Betracht, die aktiv vom Nutzer kundgetan werden muss.

Telemediengesetz Vorrang?

Das TMG hat nur dann Vorrang, wenn es als Umsetzung der EPrivRL zu werten ist. Der deutsche Gesetzgeber sagte bislang, dass die EPrivRL trotz der unterschiedlichen Ausgestaltung ausreichend durch das TMG umgesetzt worden sei. Das TMG verbiete die Datenverarbeitung grundsätzlich und erlaube die Verarbeitung nur im Ausnahmefall. Damit sei der Grundsatz der EPrivRL ausreichend umgesetzt.

Die Datenschutzkonferenz hat im März 2019 klar Stellung bezogen, dass sie das TMG nicht als nationalen Umsetzungsakt betrachtet und dementsprechend keinen Anwendungsvorrang des TMG anerkennt.

Regelungen der DSGVO

Damit bleiben bis zum Inkrafttreten der EPrivVO als Bewertungsmaßstab für die Rechtmäßigkeit der Verwendung von Cookies nur die allgemeinen Regelungen der DSGVO.

Gegebenenfalls lässt sich die Nutzung von Cookies auf Ihr überwiegendes berechtigtes Interesse stützen. Hierfür muss geprüft werden,

1. ob ein berechtigtes Interesse Ihrerseits vorliegt
2. ob die Datenverarbeitung zur Wahrung Ihres Interesses erforderlich ist
3. ob die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person entgegen stehen

Als Ihr berechtigtes Interesse kann vieles angenommen werden, angefangen von Warenkorb-Funktionen über die Einbindung von fremdem Kontext, über Analysedienste zur Verbesserung Ihrer Webseite wie Reichweitenmessung oder statistische Analysen und vieles mehr.

Bereits auf der zweiten Stufe ist dann allerdings zu fragen, ob die getroffene Maßnahme erforderlich ist für die Erreichung Ihres Zwecks. Das Mittel muss geeignet sein, das Ziel zu erreichen, wobei kein milderes und gleich effektives Mittel zur Verfügung steht. Wenn hierbei Dienste eingebunden werden, die Nutzungsdaten über die eigene Webseite hinweg mit Nutzungsdaten anderer Webseiten zusammenführen, geht dies weit über das Ziel hinaus und dürfte damit schon an der Erforderlichkeit scheitern.

Schlussendlich muss geprüft werden, inwiefern die Interessen des Nutzers dagegen überwiegen. Wie tiefgreifend ist der Eingriff in das Persönlichkeitsrecht des Nutzers? Habe ich zusätzliche Funktionen implementiert, die die Selbstbestimmung des Nutzers schützen, wie Maßnahmen zur Anonymisierung oder ähnliches? Kann der Nutzer wissen, worauf er sich einlässt, habe ich ihn ausreichend informiert? Sind an die Datenverarbeitung negative Folgen für den Nutzer verknüpft (Preisdiskriminierung)?

Viele der Datenverarbeitungen, die momentan über den Cookiebanner abgewickelt werden, dürften dabei herausfallen.

Damit bleibt lediglich übrig, die Datenverarbeitung über eine Einwilligung der betroffenen Person zu rechtfertigen. Diese muss nach der DSGVO ausdrücklich erfolgen. Ein Nichtstun muss zur datensparsamsten Verarbeitung führen. Der Cookie darf demnach erst eingesetzt oder abgefragt werden, wenn der Nutzer ausdrücklich seine Einwilligung erteilt.

Der Vollständigkeit halber sei erwähnt, dass sich diese Ausführungen auf sämtliche Werbe-, Marketing- und Trackingmaßnahmen beziehen, also auch die Nutzung von digital-Fingerprinting-Methoden und ähnliches. Diese sind zudem als tieferer Eingriff zu betrachten, da der Nutzer kaum Möglichkeiten hat, dies von sich aus zu unterbinden.

Aussicht:

Die EPrivVO ist auch ein von der Europäischen Kommission ausgehender Rechtsakt und wird der Nachfolger der EPrivRL werden. Als Verordnung ist sie allerdings wie die DSGVO unmittelbar in den Mitgliedsstaaten anwendbares Recht, ohne dass es hierzu einer nationalen Umsetzung bedarf. Nach der sehr unterschiedlichen Umsetzung der EPrivRL durch die einzelnen Mitgliedstaaten war der Bedarf nach einer einheitlichen Regelung groß. Allerdings ist die EPrivVO noch nicht verabschiedet, da sich die Einigung aufgrund der sehr unterschiedlichen Interessenlagen immer wieder verzögert. Mit dem Inkrafttreten ist vor 2020 nicht zu rechnen. Wir informieren Sie über die weitere Entwicklung.

Empfehlung:

Vor dem Hintergrund des in diesem Artikel dargestellten Sachstandes empfehlen wir Ihnen, Ihre Webseite kritisch zu prüfen und zu hinterfragen. Wenn Sie außer den technisch notwendigen Cookies weitere Tools verwenden, empfehlen wir Ihnen ein Gespräch mit Ihrem Datenschutzbeauftragten.

Ass.iur. Nicole Krause
Juristische Mitarbeiterin bei GINDAT GmbH

Im August 2014 hat die Internationale Standardisierungsorganisation (ISO) ihre Norm „ISO/IEC 27018:2014 – Code of Practice for Protection of Personal Identifiable Information (PII) in Public Clouds as PII-processors“ eingeführt, die allgemein anerkannte Kontrollziele, Kontrollmechanismen und Leitlinien für die Umsetzung von Maßnahmen zum Schutz personenbezogener Daten in der Cloud definiert.

Im Gegensatz zu den sehr technisch orientierten Normen ISO 27001 und ISO 27002 verfügt ISO 27018 über eine eher organisatorische und konzeptionelle Ausrichtung. Während erstere als Hauptnormen zudem auf ein recht breites Anwendungsspektrum ausgerichtet sind, beschäftigt sich ISO 27018 sehr spezifisch mit dem Teilaspekt der Verarbeitung von personenbezogenen Daten in der Cloud. Sie enthält Kontrollen und Leitlinien für die Schutzanforderungen an die Verarbeitung personenbezogener Daten in der Public Cloud, die von den Kontrollen beispielsweise der ISO 27002 nicht berücksichtigt werden.

Für Anbieter und Nutzer von Cloud-Lösungen ist die ISO 27018 unter anderem deshalb interessant, weil sie weitgehend mit den Bestimmungen von Art. 28 DSGVO übereinstimmt, die für Cloud Computing relevant sind. Mit einer Zertifizierung nach ISO 27018 kann die DSGVO-konforme Umsetzung technischer und organisatorischer Maßnahmen daher standardisiert und nachhaltig dokumentiert werden. Dies erleichtert auch den Nachweis und die Bewertung der DSGVO-Konformität beim Abschluss von Auftragsverarbeitungsverträgen.

Die Anforderungen der ISO 27018 an die Betreiber von Cloud Computing-Diensten spiegeln die Anforderungen von Art. 28 DSGVO weitgehend wider. Die Norm kann daher als Wegweiser dienen, der das Unternehmen auf dem teilweise komplizierten Pfad des Datenschutzes leitet.

ISO 27018 stellt unter anderem folgende Anforderungen an die Anbieter von Clouds:

• Personenbezogene Daten müssen stets nach den Anweisungen des Kunden verarbeitet werden.
• Vor der Verarbeitung personenbezogener Daten für Marketing- oder Werbezwecke ist eine gültige Einwilligung der betroffenen Person einzuholen.
• Der Cloud-Anbieter muss seinen Kunden unterstützen, wenn eine von der Datenverarbeitung betroffene Person ihr Recht auf Zugang zu ihren Daten geltend macht.
• Personenbezogene Daten aus der Cloud sollten den Strafverfolgungsbehörden nur dann zur Verfügung gestellt werden, wenn dies gesetzlich vorgeschrieben ist.
• Im Falle einer Datenschutzverletzung muss der Anbieter den Kunden bei der Meldung an die Datenschutzbehörden unterstützen.
• Es müssen Richtlinien für die sichere Rückgabe, Übermittlung und Entsorgung personenbezogener Daten vorhanden sein.
• Datenschutzaudits müssen in regelmäßigen Abständen durchgeführt werden.
• Der Cloud-Anbieter muss sicherstellen, dass Mitarbeiter, die Zugang zu personenbezogenen Daten haben, Vertraulichkeitsvereinbarungen unterzeichnen und hinsichtlich Datenschutz und Datensicherheit geschult werden.

ISO 27018 Zertifizierungen werden von diversen Dienstleistern angeboten. Neben großen Anbietern wie T-Systems, IBM und Amazon/AWS lassen sich zunehmend auch mittlere und kleine Unternehmen zertifizieren. Das ISO 27018-Zertifikat (aufbauend auf ISO 27001) schafft Vertrauen bei den Kunden und hilft ihnen, sich im immer härter werdenden Wettbewerb zu differenzieren.

Clouds speichern bereits heutzutage enorme Mengen von Daten. Eine Entwicklung, die sich in naher Zukunft noch auf bisher unvorstellbare Weise beschleunigen wird. Diese Entwicklung erfordert einen umfassenden systematischen und standardisierten Schutz der in den Clouds verarbeiteten personenbezogenen Daten. Die dramatischen Folgen von Datenschutzverletzungen können den Verlust von Rechten und Freiheiten, Identitätsdiebstahl, Geldbußen und einen enormen Reputationsverlust für die von der Datenverarbeitung betroffenen Personen umfassen. Die Einhaltung der ISO 27018 trägt zum Schutz der personenbezogenen Daten bei und stellt sicher, dass personenbezogene Daten in der Cloud in Übereinstimmung mit den gesetzlichen Bestimmungen verarbeitet werden.