Ausbildung & Beruf
Licht 6 | 2022

Serie: Recht im Licht

Die 7 Todsünden der DSGVO – oder: wie verhalte ich mich datenschutzkonform?

Mehr als vier Jahre sind seit Inkrafttreten der DSGVO vergangen und mittlerweile kristallisiert sich heraus, worauf in der Praxis besonderen Wert zu legen ist. Die aus Sicht des Autors sieben wichtigsten Punkte sollen in diesem Beitrag erläutert werden.

Lesezeit: ca. 5 Minuten
Abb.: Einer Einwilligung zum Einsatz von Cookies bedarf es bei solchen, die das Verhalten der Nutzer auswerten. Setzt man diese Cookies ohne entsprechende Einwilligung, stellt dies einen Datenschutzverstoß dar, der bußgeldbewehrt ist. Datenschutz-Stockfoto / shutterstock.com

1. Einwilligungen

Einwilligungen für das Erheben und Verarbeiten von personenbezogenen Daten waren auch vor dem Inkrafttreten der DSGVO notwendig. Da die DSGVO den Schutz personenbezogener Daten bezweckt, ist die Frage der Einwilligung immer mehr in den Fokus auch gerichtlicher Auseinandersetzungen gerückt. Von besonderer Wichtigkeit und enormer Praxisrelevanz ist dabei die Einholung einer Einwilligung für den Versand von Newslettern. Newsletter sind immer noch eine der wichtigsten Vertriebsquellen eines Unternehmens, da diese zumeist an Bestandskunden gerichtet sind, die im Idealfall schon gute Erfahrungen mit dem werbenden Unternehmen und seinen Produkten gemacht haben. Um die E-Mail-Flut zu bändigen, müssen grundsätzlich (insbesondere im B2C-Bereich) wirksame Einwilligungen für den Versand von Newslettern eingeholt werden. Dies geschieht durch das Double-Opt-In-Verfahren. Hierbei gibt es einige Punkte zu beachten. Meldet sich der Kunde für einen Newsletter an, muss die Identität dadurch bestätigt werden, dass der Kunde eine Mail mit der Aufforderung erhält, seinen Auftrag zu bestätigen. Dieser Backloop verhindert, dass die Mailadresse von unbeteiligten Dritten verwendet wird. Wichtig ist, dass diese Mail des Anbieters so nüchtern wie möglich gehalten wird und sie keine Werbung beinhaltet. Denn ansonsten könnte darin bereits eine Werbung ohne Einwilligung gesehen werden. Erst nach erfolgreichem Durchlaufen dieses Verfahrens ist eine Werbung per Newsletter zulässig bis sich der Empfänger vom Empfang des Newsletters abmeldet.

Ein weiterer wesentlicher Punkt ist die Einwilligung beim Setzen von sog. Cookies. Ohne Cookies ist der Betrieb einer Website heute kaum denkbar. Über den Einsatz von Cookies muss vollständig und transparent informiert werden. Einer Einwilligung zum Einsatz von Cookies bedarf es dabei grundsätzlich nicht bei technisch notwendigen Cookies, sondern nur bei solchen, die das Verhalten der Nutzer auswerten. Setzt man diese Cookies ohne entsprechende Einwilligung, stellt dies einen Datenschutzverstoß dar, der bußgeldbewehrt ist.

2. Auftragsverarbeitung

Da Unternehmen personenbezogene Daten längst nicht mehr nur intern verarbeiten, sondern die Datenverarbeitung häufig auslagern, ist es wichtig, den Umgang mit diesen Daten auf eine rechtssichere vertragliche Grundlage zu stellen. Ein Auftragsverarbeiter handelt dabei auf Weisung des Verantwortlichen, wobei er auch noch gewisse Entscheidungsspielräume hat. Mit der Übertragung von einzelnen Aufgaben auf einen Dritten ist meistens auch die Übermittlung von personenbezogenen Daten der Kunden oder Mitarbeiter verbunden, weswegen ein datenschutzrechtlicher Regelungsbedarf bezüglich der Frage besteht, welches Unternehmen für den Schutz von personenbezogenen Daten verantwortlich ist und wer welche Maßnahmen für diesen Schutz zu treffen hat. Es sollte also genau überprüft werden, welche Daten extern verarbeitet werden. Mit diesen Auftragsverarbeitern sollten dann entsprechende Verträge über die Auftragsverarbeitung geschlossen werden, um Bußgelder wegen Verstoßes gegen Datenschutzbestimmungen zu verhindern.

3. Technische und organisatorische Maßnahmen

Die DSGVO schreibt an vielen Stellen das Etablieren von technischen und organisatorischen Maßnahmen (sog. TOMs) vor. Diese Maßnahmen sollen dem Schutz von personenbezogenen Maßnahmen dienen. Als Betreiber einer Website oder eines Onlineshops kommt ein Unternehmer mit zahlreichen personenbezogenen Daten in Berührung, die es entsprechend zu schützen gilt. Hierfür muss der Unternehmen angemessene technische und organisatorische Maßnahmen treffen. Kommt es zu einem Datenleck oder einem anderen Datenschutzverstoß, wird der betroffene Unternehmer darlegen müssen, welche technischen und organisatorischen Maßnahmen er zum Schutz der personenbezogenen Daten getroffen hat. Daran wird sich dann die Höhe eines Bußgelds der Datenschutzbehörde bzw. des Schadensersatzes gem. Art 82 DSGVO bemessen. Je besser die etablierten technischen und organisatorischen Maßnahmen sind, desto geringer ist das Verschulden eines Unternehmers anzusehen. Gerade in der heutigen Zeit, in welcher sich Unternehmen darauf spezialisiert haben, die Betroffenheit durch ein Datenleck zu überprüfen und dann im gleichen Atemzug auf Schadensersatz zu klagen, ist jedes Unternehmen, das personenbezogene Daten verarbeitet, gut beraten, möglichst effektive technische und organisatorische Maßnahmen zum Schutz dieser Daten zu etablieren.

4. Verhalten bei Datenpannen

Kommt es trotz der getroffenen technischen und organisatorischen Maßnahmen doch zu einer Datenpanne, ist korrektes Handeln geboten. Die DSGVO schreibt vor, dass Datenpannen innerhalb von 72 Stunden bei der Datenschutzbehörde anzuzeigen sind. Häufig sind zusätzlich auch die von der Datenpanne betroffenen zu informieren. Kommt der Unternehmer diesen Verpflichtungen nicht nach, muss er mit empfindlichen Bußgeldern seitens der Datenschutzbehörden rechnen. Ebenfalls drohen Klagen der von der Datenpannen betroffenen Personen auf Schadensersatz gem. Art. 82 DSGVO. Datenpannen sind darüber hinaus ausführlich zu dokumentieren. Schnelligkeit und richtiges Handeln zahlt sich aus. Jeder Unternehmer, der personenbezogene Daten verarbeitet, sollte einen entsprechenden Prozess etablieren, auf den im Ernstfall zurückgegriffen werden kann. Liegt die Datenpanne nämlich vor, ist die Zeit häufig sehr knapp bemessen und die Gefahr weiterer Fehler sehr hoch.

5. Reaktion auf Auskunftsersuchen

Betroffenenanfragen häufen sich in letzter Zeit immer mehr. Sei es aus tatsächlich legitimem Interesse oder als sog. »Quälanspruch«, um einem anderen Anspruch etwas entgegenzusetzen oder seine Verhandlungsposition zu stärken. Betroffenenanfragen sollten allerdings stets ernst genommen werden. Für die Beantwortung solcher Anfragen sieht die DSGVO eine Monatsfrist vor. Wird die Betroffenenanfrage nicht oder nicht hinreichend beantwortet, kann dies bei der zuständigen Datenschutzbehörde angezeigt werden. Zudem besteht die Möglichkeit des Beschreitens des Klageweges. Auch hier ist zu empfehlen, dass sich Unternehmer auf entsprechende Betroffenenanfragen vorbereiten, um im Ernstfall eine erschöpfende Auskunft erteilen zu können. Zunächst sollte sich der Unternehmer ein umfassendes Bild davon verschaffen, welche personenbezogene Daten wie verarbeitet werden. Betroffenenanfragen sollten unbedingt ernst genommen und erschöpfend beantwortet werden. Stellt sich heraus, dass das Auskunftsersuchen rechtsmissbräuchlich erfolgt, kann das Ersuchen auch mit entsprechender Begründung abgelehnt werden.

6. Fehler im Verarbeitungsverzeichnis

Wer personenbezogene Daten verarbeitet, muss ein Verarbeitungsverzeichnis führen. In diesem Verzeichnis müssen sämtliche Verarbeitungsvorgänge aufgeführt werden. Auf Verlangen ist dieses Verzeichnis der Datenschutzbehörde vorzulegen. Die Dokumentation muss anhand Rechtsgrundlage, Verarbeitungszweck, Kategorien der betroffenen Personen und Speicherdauer erfolgen. Die Datenschutzbehörde verhängt empfindliche Strafen, wenn ein Verarbeitungsverzeichnis nicht oder unvollständig bzw. fehlerhaft geführt wird. Wer also personenbezogene Daten verarbeitet, sollte überprüfen, ob er ein umfassendes Verarbeitungsverzeichnis vorhält. Stellen sich hier Fehler heraus, sollte dieser Prozess neu und optimiert aufgesetzt werden, um Probleme mit der Datenschutzbehörde zu vermeiden.

7. Fehler beim Beschäftigtendatenschutz

Der Datenschutz im Arbeitsverhältnis spielt ebenfalls eine immer größere Rolle und wird zunehmend Gegenstand von gerichtlichen Auseinandersetzungen. Hier geht es unter anderem um Fragen bezüglich der Erstellung von Fotos von Arbeitnehmern, der Veröffentlichung von Geburtstagen, das Kontaktieren von Bewerbern über soziale Netzwerke und viele andere Problematiken. Darüber hinaus gilt es zu beachten, inwiefern ein Unternehmen seine Beschäftigten über die Verarbeitung ihrer personenbezogenen Daten informieren muss. Der Datenschutz findet dabei bereits im Bewerbungsprozess Anwendung, zieht sich durch das Arbeitsverhältnis und ist auch nach Beendigung des Arbeitsverhältnisses zu beachten. Auch hier sollte sich jeder Arbeitgeber darüber bewusst werden, welche personenbezogenen Daten er wie verarbeitet, um einen effektiven Beschäftigtendatenschutz zu gewährleisten.

Weitere Informationen:

Autor: Daniel Loschelder, Rechtsanwalt, Fachanwalt für IT-Recht, Fachanwalt für Gewerblichen Rechtsschutz, LoschelderLeisenberg Rechtsanwälte München, www.LL-ip.com

Dieser Artikel ist erschienen in

Licht 6 | 2022

Erschienen am 25. August 2022