Datenschutz, DSGVO, Cookies & Co.: Tipps vom Anwalt
Passgenaue Fördermittel für Unternehmen
Hallo Janina! Das neue etwas sperrige Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) soll die Nutzung von Kundendaten zu Werbezwecken verbindlich regeln. Was bedeutet das in der Praxis?
Viel ändert sich durch das geplante TTDSG bei den Vorschriften zu Cookies nicht. Nach europäischem Recht war es bereits vorgeschrieben, für das Setzen von Cookies eine Einwilligung einzuholen. In Deutschland wurde diese europäische Regelung nur nie umgesetzt.
Seit dem Inkrafttreten der Datenschutzgrundverordnung im Mai 2018 haben sich viele Webseitenbetreiber auf die dortige Möglichkeit gestützt, die Verwendung von Cookies über das sogenannte "berechtigte Interesse" zu begründen. Das wird mit Inkrafttreten des TTDSG nun nicht mehr möglich sein. Das TTDSG hat also das Ziel, die deutsche Rechtslage an europäisches Recht anzupassen.
Bislang befindet sich das TTDSG noch im Entwurfsstadium. Wann es tatsächlich in Kraft tritt, ist noch nicht bekannt. Auch nicht bekannt ist, wie lange die Vorschriften des TTDSG zu Cookies in Kraft bleiben, denn die EU arbeitet hier schon an der nächsten europaweiten Regelung.
Man sollte grundsätzlich zwei Learnings mitnehmen. Erstens, Cookies lieber nur mit ausdrücklicher Einwilligung setzen. Und zweitens sollten Unternehmer die Rechtslage fortlaufend im Auge behalten.
Welche Form der Einwilligungserklärung hat sich in der Praxis am meisten bewährt? Auf welche Formulierungen sollten Unternehmer achten?
An die Einwilligung in das Setzen von Cookies sind dieselben Maßstäbe anzusetzen wie bei Einwilligungen nach der DSGVO auch.
Der Einwilligungstext muss klar und verständlich sein und die wesentlichen Informationen wiedergeben. Lange, sehr technische Texte sind genaus ungeeignet wie die Verwendung schwammiger Oberbegriffe.
Außerdem muss der Nutzer eine echte Wahlmöglichkeit haben. Es muss also auch möglich sein, Cookies abzulehnen. Das gilt natürlich nicht, wenn das Setzen bestimmter Cookies technisch zwingend notwendig ist, um die versprochene Leistung anbieten zu können. Was nicht geht, ist mit einer pauschalen Einwilligung zu arbeiten, etwa über ein Add-on des Browsers, in dem man seine Einwilligung voreinstellen kann. Diese Möglichkeit war einmal angedacht, wurde dann aber gestrichen – sie hätte auch nicht in das rechtliche Gefüge gepasst, denn eine Einwilligung kann immer nur in Kenntnis der konkreten Umstände erfolgen und nicht pauschal im Voraus.
Hintergrundinformation: Du musst Nutzern die Wahl zur Einwilligung in das Setzen von Cookies bzw. zum Widerspruch auf "die einfachste Art und Weise" ermöglichen. Im ursprünglichen Entwurf der Cookie-Richtlinie war die Möglichkeit vorgesehen, dass Nutzer die Einwilligung durch eine spezifische Einstellung im Browser oder eine andere Anwendung erteilen können. Diese Option wurde im neuen Entwurf des Telemediengesetzes gestrichen.
Wer muss eine Einwilligung zur Verarbeitung personenbezogener Daten grundsätzlich einholen? Was sind praktische Beispiele nach Art. 6 DSGVO?
Personenbezogene Daten dürfen immer nur dann verarbeitet werden, wenn eine Rechtsgrundlage für die Verarbeitung existiert. Eine weitere Rechtsgrundlage kann etwa die vertragliche Notwendigkeit einer Datenverarbeitung sein. Wenn ich beispielsweise über meine Webseite Coachings anbiete und dafür einen Videochatdienst verwende, benötige ich für den Call entweder den Benutzernamen meines Kunden oder seine E-Mail-Adresse. Ohne eine dieser Angaben werden wir nicht im gleichen Videocall zusammenfinden. Oder ich möchte eine Warenbestellung an den Kunden verschicken und benötige dafür eine Lieferadresse. In diesen Fällen brauche ich keine ausdrückliche Einwilligung des Kunden.
Eine andere mögliche Rechtsgrundlage ist das sogenannte "berechtigte Interesse". Hierunter zählt aktuell noch das rein statistische Auswerten der Besucherstatistik meiner Webseite ohne die Einbindung von Drittanbieter-Tracking.
Sollte jedes Unternehmen einen Datenschutzbeauftragten ernennen? Was sind “besondere Kategorien” personenbezogener Daten?
Nicht immer ist ein eigener Datenschutzbeauftragter notwendig. Eine Pflicht zur Benennung besteht aber bei Unternehmen ab 20 Mitarbeitern sowie bei der Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO. Das sind etwa medizinische Daten, Daten zur sexuellen Orientierung oder zu politischen Ansichten.
Teilweise tauchen solche Daten in Personalakten auf. Sofern das nur am Rande geschieht bzw. die Erfassung dieser Daten sich aus einer gesetzlichen Pflicht ergibt, ist ein Datenschutzbeauftragter aber noch nicht zwingend notwendig. Nicht jeder Krankenschein in der Personalakte ist für die Benennung eines Datenschutzbeauftragten ausschlaggebend.
Eine Pflicht zur Benennung ergibt sich schließlich aus einer umfangreichen Datenverarbeitung. Wenn ein Unternehmen also vorrangig mit der Verarbeitung vieler personenbezogener Daten zu tun hat, sollte eine Prüfung erfolgen, ob eine Benennung notwendig ist.
Worauf müssen Unternehmen achten, wenn sie Daten gemeinsam mit anderen Unternehmen nutzen?
Es gibt zwei Möglichkeiten, personenbezogene Daten mit anderen Personen zu teilen. In der ersten Variante gibt es ein verantwortliches Unternehmen und einen Auftragsverarbeiter. Das ist etwa der Fall, wenn man für seine Arbeit weitere, untergeordnete Dienstleister für bestimmte Leistungen hinzuzieht. Dann muss unbedingt ein Auftragsverarbeitungsvertrag abgeschlossen werden. Auftragsverarbeiter können vielfältig sein, etwa selbständige Dienstleister, externe Lohnbuchhalter oder ein Übersetzungsdienst, wenn Dokumente mit personenbezogenen Daten übersetzt werden sollen. Keine Auftragsverarbeiter sind hingegen Steuerberater und Rechtsanwälte, da sie durch ihr Berufsgeheimnis zur Verschwiegenheit verpflichtet sind.
Daneben gibt es noch die gemeinsame Verantwortlichkeit mehrerer Unternehmen, wenn beide über die Zwecke und Mittel der Datenverarbeitung entscheiden, also quasi beide "den Hut aufhaben". Hier ist ein joint-controller-Vertrag notwendig. In beiden Varianten gilt, dass man – mal mehr, mal weniger – für Datenschutzverstöße seiner Partner- und Auftragsunternehmen haftet. Eine sorgfältige Auswahl sollte also ernst genommen werden.
Hintergrund: Verträge über die gemeinsame Datenverarbeitung müssen inhaltlich den Anforderungen des Art. 28 Abs. 3 DSGVO entsprechen. Typische Anwendungen sind z.B. Callcenter, externe Lohnabrechnungen und vieles mehr.
Was ist ein Löschkonzept und warum ist es wichtig?
Auch rechtmäßig erlangte Daten dürfen nicht endlos gespeichert bleiben. Unternehmen sollten daher für alle Datenkategorien definieren, welche Rechtsgrundlage ihnen zugrunde liegt und wie lange sie gültig ist.
Es gilt der Grundsatz der Datensparsamkeit. Wenn der Speicherzweck für die Daten entfällt, etwa weil eine Bestellung sehr lange zurückliegt, müssen die Datensätze auch ohne Aufforderung gelöscht werden.
Nicht zulässig ist es, den Verarbeitungszweck von Daten zu ändern, um sie weiter behalten zu können. Eine E-Mail-Adresse, die beispielsweise für einen Videocall übermittelt wurde, darf nicht nachträglich für einen Newsletterversand verwendet werden. Spätestens wenn ein Betroffener die Löschung seiner Daten beantragt, muss zwingend eine Überprüfung der Rechtsgrundlagen erfolgen.
Brauche ich eine Verschwiegenheitserklärung für Mitarbeiter?
Die Verpflichtung von Mitarbeitern auf die Vertraulichkeit sowie die Einhaltung geltender Datenschutzvorschriften sollte unbedingt schriftlich dokumentiert werden. Sie ersetzt jedoch nicht regelmäßige Mitarbeiterschulungen, die wenigstens einmal jährlich erfolgen sollten. Nur so können die Mitarbeiter auch verstehen, wie sie sich rechtmäßig verhalten sollen.
Hintergrund: Konkret aus Art. 29 DSGVO und Art. 32 DSGVO ergibt sich für Unternehmen die Aufgabe, jeden Mitarbeiter zur Wahrung der Vertraulichkeit und zur Beachtung des Datenschutzes eine Vertraulichkeitsverpflichtung mit datenschutzrechtlichem Bezug sowie eine Verschwiegenheitsverpflichtung unterzeichnen zu lassen.
Wie gehen Unternehmen nach bekannt gewordenen Verstößen gegen die DSGVO oder im Fall von Kundenbeschwerden am besten vor?
Verstöße gegen die DSGVO können vielfältig sein. Bereits der Versand einer E-Mail an einen falschen Adressaten kann einen Verstoß darstellen. Auch der Verlust des Diensthandys durch einen Mitarbeiter stellt einen Verstoß dar. Daneben gibt es Verstöße durch mangelnde Sicherheit, etwa bei Hackerangriffen.
Unabhängig von der Art des Verstoßes sollte das Unternehmen den Vorfall prüfen und das Risiko einordnen. Handelt es sich um einen nur geringen Verstoß, bei dem eine Gefährdung von Daten ausgeschlossen ist, muss nicht unbedingt eine Meldung an die Datenschutzaufsicht erfolgen.
Der Vorfall und auch die Entscheidung über die Meldung sollte aber auf jeden Fall schriftlich dokumentiert werden. In vielen Fällen ist eine Meldung an die Datenschutzaufsicht und/oder die Betroffenen notwendig. Für diesen Fall sollten bereits alle Datenschutzdokumente gut sortiert und aktuell geführt sein, um ein Bußgeld abwenden zu können. Nicht in jedem Fall wird das aber gelingen.
Was ist ein Datensicherheitskonzept? Wie können kleine Unternehmen ohne IT-Kenntnisse ihre Daten maximal schützen?
Jedes Unternehmen muss ein Konzept erarbeiten, wie personenbezogene Daten sowohl technisch als auch organisatorisch geschützt werden. Der Schutz muss vor einem Diebstahl und einer Offenlegung der Daten vorhanden sein, aber auch vor dem Verlust der Daten, etwa durch Löschung.
Das Sicherheitskonzept umfasst viele unterschiedliche Punkte von der Frage, wer Zugang zu den Geschäftsräumen und Akten hat, über Rollenverteilungen und Zugriffsrechte im Unternehmen, bis hin zur Sicherung von Daten durch regelmäßige Backups. Der Aufwand, den Unternehmen hinsichtlich der Datensicherheit aufwenden müssen, hängt auch davon ab, wie sensibel die Daten sind und wie hoch das Risiko für die Daten ist.
Kommen wir abschließend noch zum umgekehrten Fall, dem Schutz firmeneigener sensibler Daten. Was sind “angemessene Geheimhaltungsmaßnahmen” für den Schutz von Geschäftsgeheimnissen?
Geheimhaltungsmaßnahmen nach dem Gesetz zum Schutz von Geschäftsgeheimnissen haben einen anderen Schutzzweck als das Datenschutzrecht. Hier geht es darum, Geschäftsgeheimnisse wie beispielsweise das Coca Cola-Rezept vor Wettbewerbern zu schützen. Es geht also nicht um personenbezogene Daten, sondern vielmehr um Rezepte, Verfahren, Herstellungsprozesse, Geschäftszahlen und Unternehmensstrategien.
Der Schutz von Geschäftsgeheimnissen muss technisch und rechtlich gesichert werden, etwa durch sehr konkrete Geheimhaltungsvereinbarungen. Allgemeine Geheimhaltungsklauseln aus Standardverträgen eignen sich dafür nicht.
Wichtig ist, Geschäftsgeheimnisse unbedingt als solche zu kennzeichnen und innerhalb des Unternehmens klar zu definieren, wer Zugriff auf welche Informationen hat. Ein Verlust von Geschäftsgeheimnissen ist, anders als ein Verstoß gegen das Datenschutzrecht, nicht bußgeldbewährt. Der Verlust ist vielmehr ein wirtschaftlicher und strategischer.
Hier finden Gründer und Unternehmer individuelle Beratung:
Rechtsanwältin Janina Albrecht und Rechtsanwalt Kilian Springer arbeiten als Bürogemeinschaft an der Schnittstelle zwischen Rechtsberatung, disruptiver Technologie und Innovation. Sie beraten Startups, Unternehmen und Freelancer in den Bereichen Gründung, Markenrecht, Internet- und Marketingrecht sowie Software- und IT-Recht. Ihre Mandanten sind vor allem digitale und innovative Unternehmen. Neben den Standorten in Leipzig, Berlin und Hamburg ist KTR Legal deutschlandweit beratend tätig.
Beratung und Kontakt zu Janina und Kilian findest du auf der Website von KTR Legal.
Bild-Urheber:
RA Janina Albrecht KTR Legal