Rechte der betroffenen Personen

Artikel 12 – 23 DSGVO

Mit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) wurden die Rechte der betroffenen Personen nachhaltig gestärkt. So enthält die DSGVO umfangreiche Informationspflichten bei der Datenerhebung, Auskunftsrechte, Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit, Widerspruchsrechte sowie das Recht, nicht einer automatisierten Einzelentscheidung unterworfen zu sein. Eine schnelle Reaktion des verantwortlichen Unternehmens ist gefordert, denn auf Anträge des Betroffenen, z.B. auf Auskunft welche Daten verarbeitet werden, verlangt die DSGVO eine Antwort innerhalb eines Monats. Kommt das Unternehmen einem solchen Antrag nicht nach, droht ein Bußgeld. Daher sollten in jedem Unternehmen Prozesse implementiert sein, die eine fristgerechte und korrekte Bearbeitung der Anträge der betroffenen Personen gewährleisten.

Inhalt:

Art. 12      Transparente Information, Kommunikation und Modalitäten für die Ausübung der Betroffenenrechte

Art. 13      Informationspflicht bei Datenerhebung beim Betroffenen

Art. 14      Informationspflicht, wenn Datenerhebung nicht beim Betroffenen erfolgt

Art. 15      Auskunftsrecht

Art. 16      Recht auf Berichtigung

Art. 17      Recht auf Löschung, Recht auf Vergessenwerden

  • Abs. 2 DS-GVO – Öffentlich gemachte personenbezogene Daten
  • Abs. 3 DS-GVO – Ausnahmen von der Löschpflicht

Art. 18      Recht auf Einschränkung der Verarbeitung

Art. 19      Mitteilungspflicht in Zusammenhang mit der Berichtigung oder Löschung

Art. 20      Recht auf Datenübertragbarkeit

Art. 21      Recht auf Widerspruch

Art. 22      Automatisierte Entscheidung im Einzelfall

Art. 23      Beschränkungen

Art. 12   Transparente Information, Kommunikation und Modalitäten für die Ausübung der Betroffenenrechte

Bereits zu Beginn der Verarbeitung besteht nach dem Grundsatz der Transparenz eine Pflicht zur umfassenden Informationsweitergabe gegenüber der betroffenen Person. Nach Art. 12 DS-GVO hat der Verantwortliche geeignete Maßnahmen zu treffen, um der betroffenen Person alle die Datenverarbeitung betreffenden Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Die Informationen werden schriftlich oder in anderer Form, insbesondere auch elektronisch übermittelt. Ausnahmsweise auch mündlich, sofern die betroffene Person dies verlangt und die Identität der betroffenen Person nachgewiesen wurde.

Geht ein Antrag (beispielsweise auf Auskunft) einer betroffenen Person bei dem Verantwortlichen ein, kann dieser entweder tätig werden und Maßnahmen ergreifen (z. B. eine Auskunft erteilen (Art. 12 Abs. 3 DS-GVO) oder davon absehen. Wird der Verantwortliche aber nicht tätig (12 Abs. 4 DS-GVO), hat er neben den Gründen hierfür die betroffene Person auch über die Möglichkeit zu unterrichten, bei einer Aufsichtsbehörde Beschwerde oder bei Gericht einen entsprechenden Rechtsbehelf einzulegen. Wird der Verantwortliche tätig, muss er auf den Antrag der betroffenen Person grundsätzlich unverzüglich reagieren (12 Abs. 3 DS-GVO), in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Allerdings muss dann die betroffene Person innerhalb eines Monats über die Fristverlängerung unter Nennung der Gründe für die Verzögerung unterrichtet werden (Art. 12 Abs. 3 DS-GVO). Die Auskunftserteilung erfolgt unentgeltlich. Bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person kann ein angemessenes Entgelt verlangt werden oder eine Weigerung erfolgen aufgrund des Antrags tätig zu werden; der Verantwortliche hat hierfür aber die Nachweispflicht (Art. 12 Abs. 5 DS-GVO).

Art. 13   Informationspflicht bei Datenerhebung beim Betroffenen

Grundsätzlich können personenbezogene Daten entweder direkt bei der betroffenen Person oder bei einer Dritten (Art. 14 DS-GVO) erhoben werden. Werden die Daten bei der betroffenen Person erhoben (Art. 13 DS-GVO), so muss der Verantwortliche zum Zeitpunkt der Datenerhebung die betroffene Person umfassend über die Verarbeitung informieren und Folgendes mitzuteilen:

Name und Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters, 

  • Kontaktdaten des Datenschutzbeauftragten,
  • Zwecke der Verarbeitung und Rechtsgrundlage,
  • wenn die Verarbeitung auf Art. 6 Abs. 1 f DS-GVO beruht: Berechtigtes Interesse des Verantwortlichen,
  • ggf. Empfänger oder Kategorien von Empfängern,
  • Absicht der Übermittlung in ein Drittland/internationale Organisation sowie das Vorhandensein oder Fehlen eines Angemessenheitsbeschlusses der Kommission,
  • Dauer der Datenspeicherung,
  • Bestehen eines Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht und Recht auf Datenübertragbarkeit,
  • Recht auf Widerruf einer Einwilligung (bei Verarbeitung mit Art. 6 Abs. 1 a o. Art. 9 Abs. 2 a DS-GVO),
  • Bestehen eines Beschwerderechts gegenüber einer Aufsichtsbehörde,
  • Information, ob die Bereitstellung der personenbezogenen Daten gesetzlich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist und welche möglichen Folgen die Nichtbereitstellung hätte,
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling (Art. 22 DS-GVO).
  • Beabsichtigt der Verantwortliche die personenbezogenen Daten für einen anderen Zweck weiter zu verarbeiten als zu den für den die personenbezogenen Daten erhoben wurden, so erfordert dies vorab eine erneute Information des Betroffenen (Prüfung, ob eine solche Zweckänderung im Rahmen von Art. 6 Abs. 4 DS-GVO überhaupt zulässig ist).

Art. 14    Informationspflicht, wenn Datenerhebung nicht beim Betroffenen erfolgt

Erfolgt die Datenerhebung nicht beim Betroffenen, sind die Informationspflichten weitgehend parallel zu Art. 13 Abs. 1 und 2 DS-GVO geregelt. Abweichungen sind Folgende:

  • Es müssen die Kategorien personenbezogener Daten, die verarbeitet werden, genannt werden.
  • Es muss genannt werden, aus welcher Quelle die personenbezogenen Daten stammen und ggf. ob sie aus öffentlich zugänglichen Quellen stammen.

Des Weiteren gibt es im Unterschied zu Art. 13 DS-GVO detailliertere Regelungen zum Zeitpunkt der Informationserteilung (Art. 14 Abs. 3 DS-GVO) und zu den Ausschlusstatbeständen nach Art. 14 Abs. 5, als wenn keine Information notwendig ist.

Grundsätzlich sollte das verantwortliche Unternehmen sicherstellen können, dass diese Datenschutzinformationen den oben genannten Anforderungen entsprechen und insbesondere ein Nachweis über die Mitteilung der Informationen geführt werden kann.

Art. 15    Auskunftsrecht

Das Auskunftsrecht der betroffenen Person über beim Verantwortlichen gespeicherte personenbezogene Daten ist das zentrale Recht, um bei Bedarf gezielt weitere Rechte, z. B. Recht auf Berichtigung, Löschung etc. geltend zu machen. Die betroffene Person kann von dem Verantwortlichen eine Bestätigung darüber verlangen, ob dort sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so hat die betroffene Person bezüglich dieser personenbezogenen Daten ein Recht auf Auskunft über:

  • Verarbeitungszwecke,
  • Kategorien personenbezogener Daten, die verarbeitet werden,
  • Empfänger oder Kategorien von Empfängern, denen die personenbezogenen Daten offengelegt werden, insbesondere Drittländer,
  • soweit möglich über die geplante Speicherdauer, ansonsten Kriterien für die Festlegung der Dauer,
  • Informationen über die Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung sowie über ein Widerspruchsrecht gegen die Verarbeitung,
  • über das Beschwerderecht bei der Aufsichtsbehörde,
  • über die Herkunft der Daten, soweit diese nicht von der betroffenen Person selbst erhoben wurden,
  • soweit zutreffend über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling,
  • wenn Übermittlung an Drittländer/internationale Organisation, dann Unterrichtung über die geeigneten Garantien gemäß Art. 46 DS-GVO

Form der Auskunftserteilung: Je nach Sachverhalt schriftlich, elektronisch oder mündlich. Möglichst in Form einer Kopie der personenbezogenen Daten (Art. 15 Abs. 3 DS-GVO). Der Verantwortliche hat sicherzustellen, dass die Auskunft nur der betroffenen Person oder einer von ihr bevollmächtigten Person erteilt wird und die Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden. Als datenschutzfreundlichste Variante wird in Erwägungsgrund Nr. 63 Satz 4 ein Fernzugriff der betroffenen Person auf ihre eigenen Daten über ein sicheres System bezeichnet.

Art. 16    Recht auf Berichtigung

Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung der sie betreffenden personenbezogenen Daten zu verlangen, wenn die unrichtig sind. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen.

Art. 17    Recht auf Löschung, Recht auf Vergessenwerden

Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende Daten unverzüglich gelöscht werden, wenn folgende Gründe vorliegen (Art. 17 Abs. 1 DS-GVO):

  • Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig,
  • die betroffene Person widerruft ihre Einwilligung (Art. 6 Abs. 1 a oder Art. 9 Abs. 2 a DS-GVO) und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung,
  • die betroffene Person legt Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen, berechtigten Gründe für die weitere Verarbeitung vor,
  • die personenbezogenen Daten wurden unrechtmäßig verarbeitet,
  • die Löschung der personenbezogenen Daten ist aufgrund eines spezielleren Gesetzes erforderlich, d. h. zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt,
  • die personenbezogenen Daten wurden in Bezug auf direkt gegenüber einem Kind angebotene Dienste der Informationsgesellschaft erhoben.

Art. 17 Abs. 2 – Öffentlich gemachte personenbezogene Daten

Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er zur Löschung verpflichtet (Art. 17 Abs. 1 DS-GVO), muss er unter Berücksichtigung der verfügbaren Technologien und der Implementierungskosten angemessene Maßnahmen, auch technischer Art treffen, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogene Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.

Art. 17 Abs. 3 – Ausnahmen von der Löschpflicht

Es besteht für den Verantwortlichen keine Pflicht zur Löschung, wenn die weitere Speicherung der personenbezogenen Daten aus einem der folgenden Gründe erforderlich ist:

  • Ausübung des Rechts auf freie Meinungsäußerung und Information, 
  • Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten erfordert oder zur Wahrung einer im öffentlichen Interesse liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die den Verantwortlichen übertragen wurde, 
  • Gründe des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, 
  • im öffentliche Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke, 
  • Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

Art. 18    Recht auf Einschränkung der Verarbeitung

Unter „Einschränkung der Verarbeitung“ sind nach den Erwägungsgründen Methoden zur Beschränkung der Verarbeitung personenbezogener Daten zu verstehen, z. B. dass ausgewählte personenbezogene Daten vorübergehend auf ein anderes Verarbeitungssystem übertragen werden, dass sie für Nutzer gesperrt werden oder dass veröffentlichte Daten vorübergehend von einer Webseite entfernt werden. Die betroffene Person hat das Recht, von dem Verantwortlichen diese Einschränkung der Verarbeitung zu verlangen, wenn die nachfolgend aufgezählten Voraussetzungen vorliegen:

  • Die Richtigkeit der personenbezogenen Daten wird von der betroffenen Person bestritten, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der Daten zu überprüfen, 
  • die Verarbeitung ist unrechtmäßig und die betroffene Person lehnt die Löschung der Daten ab und verlangt statt dessen eine Einschränkung der Nutzung, 
  • der Verantwortliche benötigt die personenbezogenen Daten nicht länger für die Zwecke der Verarbeitung, die betroffene Person benötigt diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, 
  • die betroffene Person hat Widerspruch gegen eine auf berechtigte Interessen des Verantwortlichen gestützte Verarbeitung eingelegt und es steht noch nicht fest, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen. 

Wurde die Verarbeitung auf Antrag des Betroffenen eingeschränkt, so dürfen diese personenbezogenen Daten – mit Ausnahme ihrer Speicherung – nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interessen der Union oder eines Mitgliedsstaates verarbeitet werden. Außerdem muss der Verantwortliche die betroffene Person vor Aufhebung der Einschränkung unterrichten (Art. 18 Abs. 3 DS-GVO).

Art. 19   Mitteilungspflicht in Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung

Der für die Verarbeitung Verantwortliche teilt allen Empfängern, an die Daten weitergegeben wurden, jede Berichtigung, Löschung oder Einschränkung der Verarbeitung mit, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden.

Wenn der Betroffene dies wünscht, muss der für die Verarbeitung Verantwortliche die Informationen über die Empfänger, an die Daten weitergegeben wurden, mitteilen.

Art. 20   Recht auf Datenübertragbarkeit

Eine betroffene Person, die einem Verantwortlichen sie betreffende personenbezogene Daten bereitgestellt hat, hat das Recht, diese Daten – in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Darüber hinaus ist die betroffene Person berechtigt, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten ursprünglich bereitgestellt wurden, zu übermitteln. Dies gilt allerdings nur, sofern die Verarbeitung

  • auf einer Einwilligung oder einem Vertrag beruht und 
  • mit Hilfe automatisierter Verfahren erfolgt. 

Der Betroffene kann also erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen übermittelt werden, soweit dies technisch möglich ist.

Ausnahmen gelten, wenn die Verarbeitung zur Wahrnehmung einer Aufgabe erfolgt, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Ferner dürfen die Rechte und Freiheiten anderer Personen durch die Ausübung nicht beeinträchtigt werden.

Art. 21    Recht auf Widerspruch

Die betroffene Person kann einer Verarbeitung durch den Verantwortlichen jederzeit widersprechen, wenn die Verarbeitung auf Art. 6 Abs. 1 e oder f DS-GVO (Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt, oder zur Wahrung berechtigter Interessen des Verantwortlichen) erfolgt ist. Dies gilt auch auf ein darauf gestütztes Profiling. Eine fortdauernde Verarbeitung durch den Verantwortlichen ist nicht zulässig, außer er kann 

  • zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen oder 
  • die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen 

Im Fall der Direktwerbung findet keine Interessenabwägung statt. Ein Widerspruch führt zu einem sofortigen Verarbeitungsstopp. Bei einer Verarbeitung zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken führt der Widerspruch ebenfalls zu einem Verarbeitungsstopp, es sei denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich (Art. 21 Abs. 6 DS-GVO).

Auf sein Widerspruchsrecht muss der Betroffene spätestens zum Zeitpunkt der ersten Kommunikation ausdrücklich sowie in einem verständlichen und von anderen Informationen getrennter Form hingewiesen werden.

Art. 22    Automatisierte Entscheidung im Einzelfall

Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Dabei hat die betroffene Person insbesondere das Recht auf Eingreifen einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auch Anfechtung der Entscheidung. Das Recht, nicht eine ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, gilt nicht, wenn die Entscheidung

  • für den Abschluss oder die Erfüllung eines Vertrages zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist 
  • aufgrund von Rechtsvorschriften der Union oder der Mitgliedsstaaten denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung de Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder 
  • mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.

DSGVO-konformes Arbeiten im Home-Office

Um mögliche Risiken durch persönliche Kontakte zu reduzieren und damit die Verbreitung des Corona-Virus zu verlangsamen, bietet sich das „Home-Office“ als eine geeignete Maßnahme an. Viele Unternehmen erwägen daher, ihren Mitarbeitern b.a.w. einen Heimarbeitsplatz einzurichten. Vor dem Hintergrund der Schließung von Kindergärten und Schulen würde dies zudem vielen Eltern die Organisation der Betreuung ihrer minderjährigen Kinder erleichtern.

Auch bei der Einrichtung eines Homeoffice-Arbeitsplatzes sind datenschutzrechtliche Grundsätze sowohl auf Seiten des Arbeitgebers wie auch durch die Beschäftigten zu beachten. Die wichtigsten Regeln im Überblick:

Aufgaben des Arbeitgebers:

In der Regel sollte die Arbeit im Home-Office nicht am privaten PC, sondern an einer vom Arbeitgeber bereitgestellten IT-Ausstattung erfolgen. Es ist die Pflicht des Arbeitgebers, darauf zu achten, dass diese IT-Ausstattung ein DSGVO-konformes Arbeiten ermöglicht. Hierzu gehören u.a.:

  • Der Zugriff auf das Betriebssystem und die vom Arbeitgeber bereitgestellten Systeme sind mit einem Kennwort zu versehen.
  • Alle bereitgestellten Speichermedien (z.B. Festplatten im Desktop oder Notebook, USB-Sticks) sollten verschlüsselt werden.
  • Zugriffe auf das zentrale IT-System des Arbeitgebers sollten nach Möglichkeit ausschließlich über ein VPN erfolgen.
  • Die elektronische Datenübermittlung (also z.B. E-Mail, Zugriffe auf zentrale Daten) sollte nach dem Stand der Technik verschlüsselt sein.
  • Es sind verbindliche Regeln zum Umgang und Vernichtung von sensiblen Unterlagen sowie Ausdrucken zu definieren. Unter Umständen sollte der Arbeitgeber den Beschäftigten auch im Homeoffice Shredder oder Datentonnen zur Verfügung stellen.

Darauf müssen Beschäftigte im Homeoffice achten:

Für eine Arbeit im Home-Office gelten auf Seiten der Beschäftigten grundsätzlich die gleichen datenschutzrechtlichen Regeln wie bei einer Tätigkeit im Büro:

  • Werden personenbezogene Daten im Homeoffice verarbeitet, ist darauf zu achten, dass die Daten nicht von Dritten eingesehen werden können. Sensible Unterlagen sollten für Dritte – und das sind in diesem Zusammenhang auch Familienmitglieder und private Besucher – nicht frei zugänglich ausgebreitet werden.
  • vertrauliche Telefonate sollten nicht in Gegenwart Dritter geführt werden.
  • Personenbezogene Daten sollten nach Möglichkeit in einem separaten, abschließbaren Raum verarbeitet werden. Ist dies nicht möglich, sollte zumindest die Aufbewahrung dieser Daten in einem abschließbaren Schrank erfolgen.
  • Für die vom Arbeitgeber für die Tätigkeit im Home-Office zur Verfügung gestellte IT-Ausstattung gelten die betrieblichen Regelungen zur privaten Nutzung unverändert fort. Der Zugang zum PC bzw. Notebook sollte gesperrt werden, wenn – auch kurzzeitig – nicht an ihm gearbeitet wird.
  • Die Übertragung von Daten muss ausschließlich über gesicherte Transportwege erfolgen.
  • Berufliche E-Mails dürfen nicht zur Bearbeitung an private E-Mail-Postfächer der Beschäftigten weitergeleitet werden.
  • Auch beim Arbeiten im Home-Office müssen die Daten regelmäßig gesichert werden. Falls möglich sollte dies durch Hochladen auf ein zentrales IT-Systems des Unternehmens erfolgen. Die Daten dürfen nicht auf privaten USB-Sticks gespeichert werden.
  • Die im Unternehmen geltenden Sicherungs- und Löschregeln sind auch im Home-Office zu beachten.
  • Das Vernichten von Unterlagen muss datenschutzgerecht erfolgen.

Home-Office-Richtlinie

Unabhängig von aufgrund der drohenden Ausbreitung des Corona-Virus eingeleiteten Maßnahmen bietet es sich an, die Arbeit im Home-Office durch eine entsprechende betriebliche Vereinbarung („Home-Office-Richtlinie“) grundsätzlich zu regeln. Bei der Ausarbeitung einer solchen Richtlinie sollte der Datenschutzbeauftragte einbezogen werden. Ist im Unternehmen ein Betriebsrat vorhanden, so ist auch dieser einzubeziehen.

Videokonferenzen mit „Zoom“

Das Videokonferenz-Angebot „Zoom“ der amerikanischen Zoom Video Communications, Inc. Zoom erfreut sich dank geringer technischer Hürden, einfacher Nutzbarkeit und stabiler Performance großer Beliebtheit. Aus datenschutzrechtlicher Sicht sind beim Einsatz von Zoon eine Reihe von Aspekten zu beachten:

Übersicht:

  1. Datentransfer in Drittländer
  2. Vertrag zur Auftragsverarbeitung
  3. Informationspflichten
  4. Zulässigkeit der Verarbeitung
  5. Aufmerksamkeitstracking
  6. Zoom-Bombing
  7. Fehlende End-to-End-Verschlüsselung
  8. Fazit
  1. Datentransfer in Drittländer

Schwerpunktmäßig wird der Cloud-Dienst in den USA betrieben. Laut Zoom ist jedoch grundsätzlich eine Speicherung von Daten in Rechenzentren auf der ganzen Welt möglich. Nach Art. 44 ff. DSGVO ist dies nur dann zulässig, wenn in dem jeweiligen Drittland ein ausreichendes Datenschutzniveau sichergestellt ist. Für einen Datentransfer in die USA ist es erforderliche, dass sich der Dienstanbieter dem EU-US-Privacy Shield unterwirft und entsprechend registriert ist.

Zoom hat die Vorgaben des EU-US-Privacy Shield akzeptiert; für alle anderen Drittländer bietet Zoom den Abschluss eines EU-Standardvertrags an.

2. Vertrag zur Auftragsverarbeitung

Der Betrieb eines cloudbasierten Videokonferenz-Tools stellt eine Auftragsverarbeitung nach Art. 28 DSGVO dar. Daher ist vor dem ersten Einsatz des Tools ein entsprechender Auftragsverarbeitungsvertrag mit Zoom abzuschließen.

Zoom stellt hierfür ein passendes AVV-Muster auf seiner Webseite zum Download bereit. Der Abschluss des AVV mit Zoom erfolgt in drei Schritten:

  1. Download des bereits von Zoom unterschriebenen Vertrages via https://zoom.us/gdpr
  2. Unterzeichnung und/oder Eintragung der Vertragspartnerdaten auf den Seiten 6, 7, 16, 17, 23, 25
  3. Übersendung des Vertrags an Zoom dpa@zoom.us

Der Vertrag erfüllt die gesetzlichen Anforderungen nach Art. 28 DSGVO und bezieht darüber hinaus im Anhang auch den erforderlichen EU-Standardvertrag (siehe Ziff. 1) in der Version „Controller to Processor“ mit ein. Gleichwohl empfiehlt es sich, den Vertrag vor dem Absenden durch den Datenschutzbeauftragten überprüfen zu lassen.

3. Informationspflichten

Alle Kommunikationspartner (Teilnehmer eines Zoom-Meeting) sind gem. Art. 13 und 14 DSGVO vorab über die Datenverarbeitung bei Zoom zu informieren. Einen Großteil der hierfür benötigten Informationen können der Datenschutzerklärung von Zoom entnommen werden: https://zoom.us/de-de/privacy.html.

Mitarbeiter (und Studierende) können hierüber per Rundmail informiert werden. Externen Gesprächspartnern sollten die Informationen zusammen mit der Einladung zum Zoom-Meeting (z.B. als Anhang) zugesandt werden.

4. Zulässigkeit der Verarbeitung

Das Videokonferenz-Tools von Zoom lässt sich mit geringem Dateneinsatz nutzen: Lediglich der Host benötigt einen Account; die übrigen Teilnehmer benötigen lediglich einen Link und müssen dann nur noch ihren Namen eingeben, um an dem Meeting teilzunehmen. Im Meeting steht es zudem jedem Teilnehmer frei, sein Mikrofon und seine Webcam zu aktivieren sowie ggf. über Bildschirmfreigaben weitere Informationen preiszugeben.

Die Datenverarbeitung dient internen wie externen Kommunikationszwecken und erfolgt daher im berechtigten Interesse des Unternehmens. Entgegenstehende schutzwürdige Interessen der Gesprächspartner sind nicht ersichtlich, zumal diese einen Großteil der Verarbeitungen selbst anstoßen und blockieren können. Die Verarbeitungsvorgänge lassen sich daher in der Regel über Art. 6 Abs. 1 lit. f) DSGVO rechtfertigen. Veranstaltet das Unternehmen bezahlte Webinare über Zoom, kann auch Art. 6 Abs. 1 lit. b) DSGVO als Rechtsgrundlage herangezogen werden.

5. Aufmerksamkeitstracking

Zoom enthält eine Funktion zum Aufmerksamkeitstracking. Diese gibt dem Host eine Warnung, sobald ein Teilnehmer sein Zoom-Fenster nicht mehr im Focus hat. Die Einstellung ist standardmäßig deaktiviert und sollte auch nur in begründeten Ausnahmefällen und nach vorheriger Information an alle Gesprächsteilnehmer aktiviert werden.

6. Zoom-Bombing

In jüngster Zeit wurde verstärkt über das sog. Zoom-Bombing berichtet. Hierbei handelt es sich um den nicht autorisierte Beitritt von unbefugten Personen zu Zoom-Meetings oder wie man es mancherorts liest „Die Übernahme von Konferenzen durch Trolle“. Die Gefahr einer solchen feindlichen Übernahme von Meetings besteht dort, wo ein Beitritt schon bei bloßer Kenntnis der Meeting-ID möglich ist, es also keine zusätzlichen Authentisierungsfaktoren eingerichtet wurden.

Um ein „Zoom-Bombing“ zu verhindern, sind die Meeting entweder so zu konfigurieren, dass Teilnehmer der Konferenz nur mit der Erlaubnis des Moderators beitreten dürfen (“Warteraum aktivieren”) oder alternativ mit einem Passwort abzusichern.

7. Fehlende End-to-End-Verschlüsselung

Zoom bietet derzeit keine Ende-zu-Ende-Verschlüsselung für Meetings an. Zwar stellt eine Transportverschlüsselung (TLS 1.2 mit AES 256-bit) sicher, dass die Verbindung zwischen den Clients und den Zoom-Servern verschlüsselt ist, auf den Servern selbst liegen die Daten jedoch unverschlüsselt vor. Zoom hat damit die Möglichkeit, auf die Meeting-Daten zuzugreifen.

Als Auftragsverarbeiter darf Zoom von dieser Zugriffsmöglichkeit gleichwohl nur Gebrauch machen, wenn es mit dem Vertrag nach Art. 28 DSGVO und den Weisungen des Kunden vereinbar ist. Der Anbieter könnte die Daten demnach weder für eigene Zwecke nutzen noch unautorisiert an Dritte weitergeben, ohne vertragsbrüchig zu werden. Dennoch empfiehlt es sich vor diesem Hintergrund, keine sensiblen Inhalte, wie etwa besondere Kategorien personenbezogener Daten oder Geschäftsgeheimnisse, über Zoom zu kommunizieren.

8. Fazit:

Bei Beachtung der vorstehend empfohlenen Einstellungen sowie einem entsprechendem Vorgehen können Zoom-Meetings datenschutzkonform durchgeführt werden.

Consent Management Tools

Für den Betreiber einer Website ist das Erheben und Auswerten von Daten über das Verhalten der Nutzer auf seiner Website von großer Bedeutung. Auf Basis verschiedener Analysen können die Websites „optimiert“ und beworbene Produkte oder Dienstleistungen bestmöglich platziert werden. Allerdings: Mit seinem Urteil vom 28.05.2020 folgt der BGH den Vorgaben des EuGH (Urteil vom 01.10.2019) und hat einer Analyse des Nutzerverhaltens ohne vorherige Einwilligung eine deutliche Absage erteilt!

Die Entscheidung des Bundesgerichtshofs lässt keinen Spielraum für Interpretationen:

  • weder genügt das von vielen Websitebetreibern praktizierte „Opt-Out-Verfahren“ bei Third-Party- und Tracking-Cookies den Anforderungen der DSGVO
  • noch ist die sehr verbreitete Variante, die Weiternutzung der Website im Sinne einer „konkludenten Einwilligung“ seitens des Websitebesuchers auszulegen, zulässig;
  • auch die auf vielen Websites angebotenen „OK“ oder „Verstanden“ –Button stellen keine Einwilligung dar, denn sie lassen den Nutzern nicht die Wahl, das Setzen von Cookies abzulehnen.

Für Website-Betreiber bedeutet diese Entscheidung, dass Marketing- und Tracking-Tools, wie z.B. Google Analytics nicht mehr ohne die zuvor erteilte Einwilligung des Nutzers eingesetzt werden dürfen.

Kein Tracking ohne Einwilligung

Für eine wirksame Einwilligung ist zwingend erforderlich, dass

  • die Einwilligung muss in Form vorab ausführlich über die Datenverarbeitung und die Empfänger der Daten informiert wurde,
  • es muss die Möglichkeit bestehen, in die einzelnen Formen der Datenverarbeitung spezifisch einzuwilligen und
  • einer „unmissverständlich abgegebene Willensbekundung“ vorliegen.

Ausnahme: Technisch erforderliche Cookies

Ausgenommen von dem beschriebenen Erfordernis einer Einwilligung sind lediglich so genannte First Party Cookies, die für ein technisches Funktionieren der Webseite unbedingt erforderlich sind. Dabei handelt es sich z.B. um:

  • Session-Cookies, die für einen Online-Warenkorb oder die Spracheinstellungen der Website erforderlich sind
  • Login-Cookies
  • Cookies, die Consent Tools für die Cookie Einwilligung setzen

Einwilligungen mit einem Consent-Management-Tool verwalten

Eine Consent Management Platform (CMP) ist eine Lösung, mit der Betreiber von Websites die Zustimmung der Nutzer einholen können, ob ihre Daten gespeichert und verarbeitet werden dürfen. Dazu erscheint auf der Webseite ein Pop-up-Fenster mit dem Hinweis, dass Daten erhoben werden. Es bietet die Möglichkeit einer differenzierten Zustimmung für verschiedene Verarbeitungszwecke.

Folgende (Mindest)Anforderungen sind bei der Einrichtung eines Consent-Management-Tool (CMP zu beachten:

  • Vollständige Information über eingesetzte Tools in der Datenschutzerklärung
  • Speicherung der Einwilligung (Dokumentation)
  • Keine Pauschaleinwilligungen, die Einwilligung muss konkret erfolgen
  • Ladevorgänge für einwilligungspflichtige Technologien erst nach erteilter Einwilligung
  • Integration in das Tag-Management und die Webseite

Die Consent Management Tools der beiden nachfolgend aufgeführten Premiumanbieter erfüllen die aufgeführten Anforderungen:

Usercentrics
Usercentrics GmbH München  
www.usercentrics.com Pakete ab 8 € mtl. Automatischer Cookie-Scan bei Einrichtung, danach monatliche Scans CMS/Shopsystem unabhängig Banner-Design individualisierbar Speicherort: auch auf eigenem Server möglich IAB-TCF-Standard: Ja
Cookie-Information
Cookie Information A/S
Kopenhagen, Denmark
www.cookieinformation.com/de/   Pakete ab 8 € mtl. Cookie Compliance Audit Tool Compliance-Dashboard CMS/Shopsystem unabhängig,
u.a. WordPress-Plugin Banner-Design individualisierbar Speicherort: Europa IAB-TCF-Standard: Ja

Alternativen zu Google Analytics

Bei vielen Websitebetreibern und insbesondere bei Agenturen gilt Google Analytics als Analyseprogramm „gesetzt“. (Zu) selten wird die Frage gestellt, welche Informationen sind wirklich erforderlich, um die „Performance“ meiner Website zu verbessern oder Produkte im Shop optimal zu platzieren. Doch es gibt Alternativen zu Google-Analytics, die dem „Original“ hinsichtlich Bedienbarkeit, Kosten, Funktionsumfang nicht nachstehen und vor allem den europäischen datenschutzrechtlichen Ansprüchen entsprechen:

Matomo Open Source   www.matomo.org   Open Source, kostenlos Datenschutz, viele Erweiterungen Cloud- sowie Self-Hosting möglich Serverstandort: Deutschland
etracker Analytics etracker GmbH Hamburg   www.etracker.com Kosten: ab 19 Euro mtl. Kostenlose Testversion gute Usability, voller Funktionsumfang erst bei Pro- und Enterprise-Paketen Serverstandort: Deutschland

Bußgelder und Abmahnungen

Der EU-Gesetzgeber weist dem Verbraucherschutz und der Wahrung des Verbraucherschutzes durch die DSGVO eine übergeordnete Priorität zu. Um diese wirksam und einheitlich europaweit durchzusetzen, ist ein Verstoß gegen die DSGVO mit strengen Sanktionen belegt.

Die bei einem Verstoß drohenden Strafen:

  • maximales Bußgeld bei Verstoß     bis zu 20 Millionen Euro bzw. 4 % vom weltweiten Jahresumsatz
  • Gesetzesgrundlage                          Art. 83, 84 DSGVO
  • Ansprüche der Betroffenen             Schadenersatz gem. Art. 82 I DSGVO als Direktanspruch auch gegen den Datenverarbeiter

Fazit und Empfehlungen

Der EuGH hat mit seiner Entscheidung unmissverständlich klargestellt hat, dass ein Tracking bevor der User hierzu seine Einwilligung erteilt hat, nicht zulässig ist. Mehrere nationale Gerichte, u.a. auch das OLG Hamburg haben sich bereits an dieser Vorgabe orientiert.

Für Website-Betreiber, Agenturen und Unternehmen der AdTech-Branche bedeutet dies:

  • Tracking-Tools wie Google Analytics, Adobe Analytics, Facebook Pixel sollten ohne das Vorliegen einer entsprechenden Einwilligung der Nutzer nicht mehr eingesetzt werden.
  • Regelmäßig sollte geprüft werden, ob der angestrebte Zweck auch mit Alternativen wie Matomo, eTracker oder ähnlichen Tools erreicht werden kann.
  • YouTube-Videos sollten nicht mehr direkt auf den Websites eingebunden werden. Stattdessen können diese lokal abgelegt und/oder mit einem Vorschaubild verlinkt werden.
  • Vor der Einbindung von Social Media Plugins wie die von Facebook, Twitter, Instagram, Linkedin oder XING sollte eine Double-Click-Lösung eingebunden werden. Damit kann der Nutzer vor dem Laden des Plugins den Datenschutzrichtlinien zustimmen.
  • Consent-Management-Platforms sollten zur Einholung einer Einwilligung auf der Website DSGVO-konformen eingebunden werden.
  • In der Datenschutzerklärung auf der Website sind alle eingesetzten Tracking-Tools aufzuführen sowie ihre Funktion und Empfänger zu beschreiben.
  • Die Website sollte regelmäßig auf Cookies, implementierte Scripte und Browser-Fingerprints überprüft und das CMP entsprechend angepasst werden.