Seite wählen
Meldungspflicht bei Datenschutzpannen und Datenschutzverletzung

Meldungspflicht bei Datenschutzpannen und Datenschutzverletzung

Datenschutzpanne

Datenschutzpanne oder Datenschutzverletzung sind Begriffe, die nicht jedem Unternehmer geläufig sind. Das ist ein wichtiges Themengebiet im Datenschutz. Es geht nämlich um die Frage, wann ein Datenschutzverstoß vorliegt und wann dieser gemeldet werden muss. Art. 33 Datenschutzgrundverordnung (DSGVO) regelt die Meldepflicht. Viele Unternehmer wissen gar nicht, dass im Falle eines Datenschutzverstoßes eine Meldung an die Behörde und an den Betroffenen gemacht werden muss. Diese Unkenntnis schützt aber nicht vor Bußgelder. Verstöße gegen die Meldepflicht sind Bußgeld bewährt. Die Meldepflicht gegenüber der Behörde besteht bei einem einfachen Risiko für die Rechte und Pflichten natürlicher Personen.

Datenschutzverletzungen

Wann liegt also eine Datenschutzverletzung vor? Nach unserer Erfahrung ist das nicht so einfach festzustellen. Es ist auch nicht jedem Unternehmer zuzumuten, die Datenschutzgrundverordnung (DSGVO) so zu kennen, dass er zweifelsfrei feststellen kann, dass eine Datenschutzpanne oder Datenschutzfahrvorfall vorliegt. So zumindest die betroffenen Unternehmer. Die Datenschutzbehörden und der Gesetzgeber sehen das anders und im Zweifel muss man sich professionalen Rat einholen. Das Problem dabei ist, dass es schnell gehen muss. Die Meldung an die Datenschutzbehörde hat innerhalb von 72 Stunden zu erfolgen. Wenn noch nicht ganz klar ist, ob wirklich ein Datenschutzverstoß vorliegt, dann muss man mit entsprechender Begründung später eine Meldung machen.

Meldung an Betroffene

Der Unternehmer hat beim Datenschutzverstoß ein Spagat zu vollführen. Er muss sich ganz genau überlegen, ob ein Datenschutzverstoß vorliegt und dann diesen entsprechend melden. Wenn er diesen meldet, muss er auch prüfen, ob Kunden oder andere Personen von einem Datenschutzverstoß (Bsp. Cyberangriff) davon betroffen sind. Er muss dann diese Kunden informieren. Nun schreckt der Unternehmer in der Regel davor zurück zu veröffentlichen, dass bei ihm einen Cyberangriff oder Datenleck entstanden ist, wenn eine Vielzahl von Kunden betroffen ist. Viele Unternehmer überlegen sich also sehr gut, ob sie überhaupt den Vorfall melden.

Keine Meldung an die Behörde

Was sind die Folgen, wenn die Meldung unterbleibt? Die Kehrseite der obigen Taktik ist, dass wenn der Datenschutzverstoß ans Licht kommt, das Bußgeld entsprechend höher ausfallen wird. Man kann sogar Vorsatz annehmen. Der Gesetzgeber belohnt den einsichtigen Unternehmer und den, der von sich heraus mit der Behörde kooperiert. Letztlich kann dem Unternehmer nur empfohlen werden, für den Fall dass tatsächlich eine Datenschutzverletzung vorliegt, reinen Tisch zu machen und Schadensbegrenzung zu betreiben. Dazu gehören das Abstellen des Datenschutzverstoßes bzw. Datenschutzverletzung, die Kooperation mit der Behörde und die Information der Betroffenen. Problematisch ist häufig, dass der Unternehmer erst im Zuge einer solchen Datenschutzpanne bemerkt, dass er auch in anderen Bereichen die Datenschutzgrundverordnung (DSGVO) nicht alles „gesetzmäßig“ umgesetzt hat. Das ist natürlich für die Behörde leichtes Spiel und entsprechend werden die Bußgelder auch hoch ausfallen.

Der Datenschutz mag unlieb für Unternehmen sein. Wichtig ist zu wissen, dass die Nichteinhaltung sehr teuer werden kann.

Anwalt für Datenschutz

Wenn Sie Fragen zum Datenschutz haben, dann können Sie uns telefonisch unter 069 405 64282 telefonisch erreichen oder per E-Mail an info@rechtsanwalt-dsgvo.de

Ihr Rechtsanwalt für Datenschutz in Frankfurt am Main und bundesweit

Beitragsbild: Daan Mooij

Datenschutz (-dokumente) für Unternehmer! Was wird benötigt?

Datenschutz (-dokumente) für Unternehmer! Was wird benötigt?

Mindestanforderungen DSGVO

Die Datenschutzgrundverordnung (DSGVO) ist schon mehr als zwei Jahre alt und trotzdem müssen wir immer wieder feststellen, dass Unternehmer den Mindeststandard nicht einhalten und fragen, welche Datenschutzdokumente sie benötigen. Wir haben festgestellt, dass eine Vielzahl von Unternehmer und Mandanten das Thema Datenschutz erst dann ernst nehmen, wenn ein Bescheid der Datenschutzbehörde zugestellt wird. Unserer Auffassung nach, ist es dann schon reichlich spät und es geht um Schadensbegrenzung. Aus diesem Grund möchten wir einige Mindeststandards im Datenschutzrecht vorstellen oder in Erinnerung rufen.

Verzeichnis der Verarbeitungstätigkeiten

Wenn wir bei unseren Mandanten nachfragen, ob sie uns ihr Verzeichnis der Verarbeitungstätigkeiten zeigen können, dann kommen meistens fragende Blicke. Was ist das? Unserer Auffassung nach ist das die Landkarte für das Datenschutzrecht in einem Unternehmen. Es ist von essenzieller Bedeutung und nach Art. 30 DSGVO Pflicht! Dieses Verzeichnis kann sehr einfach ausgestaltet werden oder aber auch natürlich komplex, je nachdem welche Datenflüsse in einem Unternehmen strömen. Wie ein solches erstellt wird, werden wir in einem separaten Beitrag vorstellen. Im Internet bestehen zudem zahlreiche Muster und auch die Datenschutzbehörden stellen solche zur Verfügung. Aus diesem Grund ist auch die Datenschutzbehörde relativ unnachgiebig, wenn ein solches fehlt. Die Schwierigkeit besteht hier meist in der Anlage für die technischen und organisatorischen Maßnahmen (TOM). Aber auch dafür gibt es Vorlagen. Gleichwohl sollte ein solche Anlage natürlich individuell angepasst werden.

Datenschutzerklärung und Datenschutzhinweise

Man kann schon mit Fug und Recht behaupten, dass mit Einführung der Datenschutzgrundverordnung (DSGVO) der Begriff Datenschutzerklärung in aller Munde ist. Aus diesem Grund gehen wir davon aus, dass die meisten Unternehmer über eine solche verfügen, wenn sie Waren und Dienstleistungen über das Internet anbieten. Was alles in eine Datenschutzerklärung gehört, werden wir in einem separaten Beitrag darlegen. Es ergibt sich aber aus Art. 13 und Art. 14 DSGVO. Hier gilt es zu wissen, dass sich aufgrund der stetig wandelnden Rechtsprechung, immer wieder Neuerungen ergeben und im Prinzip eine Datenschutzerklärung vom 25. Mai 2018 nicht mehr aktuell sein dürfte. Datenschutzhinweise sind im Übrigen die Hinweise nach Art. 13 oder Art. 14 aus Art. 13 und Art. 14 DSGVO, wenn personenbezogene Daten nicht über die Webseite erhoben werden.. Wenn beispielsweise jemand sie offline anschreibt also klassich per Brief.

Auftragsverarbeitungsverträge

Auch die Auftragsverarbeitungsverträge nach Art. 28 DSGVO werden häufig vergessen. Fast jeder Unternehmer nutzt das Kommunikationsmittel E-Mail und muss daher mit seinem Anbieter einen Auftragsverarbeitungsvertrage schließen. Wer überdies Google, Facebook oder andere ähnliche Anbieter nutzt, muss auch mit denen entsprechende Auftragsverarbeitungsverträge schließen.

Weitere Unterlagen

Es müssen zudem eine Vielzahl von anderen Datenschutzdokumenten vorrätig gehalten werden. Dies hängt aber dann nunmehr davon ab, ob das Unternehmen Mitarbeiter hat, ob es deren Fotos auf der Webseite hochladen möchte oder ob es Gesundheitsdaten verarbeitet. Das richtet sich dann nach dem Einzelfall. Sprechen Sie uns gerne an und wir prüfen für Sie, was Sie genau benötigen.

Anwalt für Datenschutz

Wenn Sie Fragen zum Datenschutz haben, dann können Sie uns telefonisch unter 069 405 64282 telefonisch erreichen oder per E-Mail an info@rechtsanwalt-dsgvo.de

Ihr Rechtsanwalt für Datenschutz in Frankfurt am Main und bundesweit

Beitragsbild: Adeolu Eletu

Das Recht auf Vergessenwerden! BGH vom 27.07.2020

Das Recht auf Vergessenwerden! BGH vom 27.07.2020

BGH und das Recht auf Vergessen

Der Bundesgerichtshof BGH hat in einer Pressemitteilung über zwei anhängige Verfahren berichtet, die sich mit dem Recht auf Vergessenwerden auseinandersetzen. Der für das Datenschutzrecht zuständige Senat des BGH musste im ersten Verfahren über ein Auslistungsbegehren entscheiden. Der Geschäftsführer eines Regionalverbandes wurde in einem Artikel erwähnt, der in der Googlesuche erschienen ist. Der Kläger begehrte die Löschung dieses Eintrages. In seiner Entscheidung vom 27. Juli 2020 – VI ZR 405/18 hat der BGH die Revision zurückgewiesen.

Grundrechtsabwägung Art. 17 DSGVO

Der BGH prüft in solchen Fällen den Art. 17 DSGVO. Wörtlich heißt es:

„Der Auslistungsanspruch aus Art. 17 DSGVO. erfordert nach der Rechtsprechung des Europäischen Gerichtshofs und dem Beschluss des Ersten Senats des Bundesverfassungsgerichts vom 6. November 2019 (1 BvR 276/17 – Recht auf Vergessen II) eine umfassende Grundrechtsabwägung, die auf der Grundlage aller relevanten Umstände des Einzelfalles und unter Berücksichtigung der Schwere des Eingriffs in die Grundrechte der betroffenen Person einerseits (Art. 7, 8 GRCh), der Grundrechte der Beklagten, der Interessen ihrer Nutzer und der Öffentlichkeit sowie der Grundrechte der Anbieter der in den beanstandeten Ergebnislinks nachgewiesenen Inhalte andererseits (Art. 11, 16 GRCh) vorzunehmen ist.“

In dem zu entscheidenden Verfahren überwog das Interesse von Google, Informationen der Öffentlichkeit zur Verfügung zu stellen. Viel wichtiger in dieser Entscheidung ist aber, dass der BGH von seiner bisherigen Rechtsprechung abgekehrt ist. Unter ausdrücklicher Aufgabe seiner bisherigen Rechtsprechung, entschied der BGH, dass Google nicht erst bei offensichtlichen Rechtsverletzungen löschen muss. Wir zitieren wörtlich:

„Aus diesem Gebot der gleichberechtigten Abwägung folgt aber auch, dass der Verantwortliche einer Suchmaschine nicht erst dann tätig werden, wenn er von einer offensichtlichen und auf den ersten Blick klar erkennbaren Rechtsverletzung des Betroffenen Kenntnis erlangt.“

Damit muss nicht Google erst bei klaren Rechtsverstößen löschen, sondern viel früher. Aber wann genau? Das ergibt sich aus der Mitteilung nicht. Es bleibt damit abzuwarten, was die Entscheidungsgründen dazu hergeben.

Löschung von Thumbnails

In dem Verfahren BGH VI ZR 476/18 vom 27. Juli 2020 geht es um die Löschung von Thumbnails. Hier hat der BGH keine Entscheidung getroffen, sondern dem Europäischen Gerichtshof (EuGH) zwei Fragen vorgelegt. Es ging um die Frage, ob Thumbnails (eine verkleinerte Vorschau von Originalbilder), gelöscht werden müssten, und zwar unabhängig von der Bezugnahme zum Inhalt des Artikels. Google verteidigte sich nämlich damit, dass es die Wahrheit, über den Inhalt des verlinkten Artikels nicht kennt. Daher wollte der BGH wissen, ob der Rechtsuchende vorher -beispielsweise mit einer einstweiligen Verfügung- die Wahrheit klären muss, bevor er die Entfernung eines Eintrages oder Thumbnails fordern kann.

Ausblick

Beide Fragen sind von höchster praktischer Relevanz und es bleibt abzuwarten, wie schnell der Europäische Gerichtshof (EuGH) sich dazu äußert. Da die Datenschutzgrundverordnung (DSGVO) eine europäische Verordnung ist, hat der EuGH solche Fragen auszulegen bzw. zu klären. Wir werden natürlich über den Ausgang des Verfahrens berichten, sobald wir näheres wissen.

Anwalt für Datenschutz

Wenn Sie Fragen zum Datenschutz haben, dann können Sie uns telefonisch unter 069 405 64 282 telefonisch erreichen oder per E-Mail an info@rechtsanwalt-dsgvo.de

Ihr Rechtsanwalt für Datenschutz in Frankfurt am Main und bundesweit

Beitragsbild: Guillaume Périgois

Privacy Shield ungültig (EuGH, Urteil in der Rechtssache C-311/18, 16. Juli 2020)!

Privacy Shield ungültig (EuGH, Urteil in der Rechtssache C-311/18, 16. Juli 2020)!

Datentransfer in einem Drittland

Mit Urteil vom 16. Juli 2020 hat der EuGH in der Rechtssache (Pressemitteilung und Urteil) Data Protection Commissioner / Maximillian Schrems und Facebook Ireland das Privacy Shield gekippt. Der EuGH hat den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig erklärt. Das ist mit Verlaub, eine Überraschung und hatte sich in der Form nicht abgezeichnet. Worum geht es? Kurz gesagt: Es geht um Datentransfer nach USA. Die USA sind im Hinblick auf den Datenschutz ein unsicheres Drittland. Damit geltend andere Regeln, als bei dem Transfer von Daten zwischen EU-Länder.

Privacy Shield

Die Rechtslage war bislang so, dass US-Unternehmen sich einem Privacy-Shield zertifizieren konnten. Haben sie die notwendigen Voraussetzungen dafür geschaffen, durften sie –vereinfacht gesagt- Daten von EU in die USA übermitteln. Der EuGH musste nun prüfen, ob der Beschluss 2016/1250 (Privacy-Shield) mit der Datenschutzgrundverordnung vereinbar ist. Ergebnis: Das hat der EuGH verneint. Der Grund liegt unter anderem darin, dass amerikanische Behörden auf Unternehmensdaten relativ einfach zugreifen können. Verkürzt dargestellt sagt der EuGH: Wenn ein deutscher Bürger einen Account bei Facebook hat, könnte die US-Administration darauf zugreifen.

Genauer stellt der EuGH laut Pressemitteilung fest: „Er (EuGH)kommt zu dem Ergebnis, dass die von der Kommission im Privacy Shield-Beschluss 2016/1250 bewerteten Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in dieses Drittland übermittelt werden, zugreifen und sie verwenden dürfen, nicht dergestalt geregelt sind, dass damit Anforderungen erfüllt würden, die den im Unionsrecht nach dem Grundsatz der Verhältnismäßigkeit bestehenden Anforderungen der Sache nach gleichwertig wären, da die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind.“

Standardvertragsklauseln

Die Entscheidung ist sehr neu und muss noch sorgfältig geprüft werden. Insbesondere hat der EuGH sich aber zu den Standardvertragsklauseln geäußert. Diese sind ein Weg, um Daten ins Drittland datenschutzkonform zu übermitteln. Hierzu werden wir einen gesonderten Beitrag verfassen.

Wen betrifft es?

Muss ich als Facebook-Nutzer etwas befürchten? Die Entscheidung betrifft in erster Linie Unternehmen, die Daten in die USA übermitteln und mit Unternehmen zusammenarbeiten, die im Privacy Shield Abkommen gelistet sind. Für diese wird es wichtig schnell auf Standardvertragsklauseln zu wechseln. Aber auch da existieren praktische Probleme. Es gibt auch weiter Möglichkeiten des Transfers, etwa über Corporate Binding Rules oder klassisch über Einwilligungen. Es kommt je nach Betrieb und Größe darauf an, was zweckmäßig ist. Insofern muss die Entscheidung des EuGH nochmals eingehend geprüft werden.

Was passiert bei Missachtung des Urteils?

Ein Urteil bedeutet erstmal, viele Presseberichte und Arbeit für Juristen. In praktischer Hinsicht werden sich die Datenschutzbehörden erstmals anschauen müssen, wo ein Datentransfer in die USA durchgeführt wird. Das wird rein praktisch eine gewisse Zeit in Anspruch nehmen. Die Datenschutzbehörden haben nach unserer Erfahrung genug zu erledigen. Dann kann es zu einem Bußgeldverfahren kommen, sofern kein datenschutzkonformer Datentransfer stattfindet. Nun kommt die Entscheidung des EuGH ins Spiel. Wann etwas datenschutzkonform ist, richtet sich nach der Datenschutzgrundverordnung und diese wird auch durch den EuGH ausgelegt. Insofern sollten Unternehmen prüfen, ob sie Daten in die USA übermitteln und sich fragen, auf welcher Rechtsgrundlage sie das bislang machen. Wir helfen Ihnen gerne, falls Sie hierbei Unterstützung benötigen.

Kanzlei für Datenschutz

Wenn Sie Fragen zum Datenschutz haben, dann können Sie uns telefonisch unter 069 405 64282 telefonisch erreichen oder per E-Mail an info@rechtsanwalt-dsgvo.de

Ihr Rechtsanwalt für Datenschutz in Frankfurt am Main und bundesweit

Beitragsbild: Jasper Benning

Google Analytics und DSGVO! DSK-Beschluss

Google Analytics und DSGVO! DSK-Beschluss

DSK vom 12.05.2020

Mit Beschluss vom 12.05.2020 hat sich die Datenschutzkonferenz (DSK) erneut zu Google Analytics und DSGVO (Datenschutzgrundverordnung) geäußert. Die DSK stellt zunächst einmal klar, dass zwischen dem Nutzer von Google Analytics und Google LLC kein Auftragsverarbeitungsvertrag vorliegt. Kern der Aussage ist, dass Google LLC sich vorbehalte, die Daten auch zu eigenen Zwecken zu nutzen. Damit hat der Google Analytics Nutzer die Entscheidungsfreiheit. Daraus folgt wiederum, dass keine Auftragsverarbeitung vorliegt. Was meinen die Juristen nun damit?

Einwilligung Google Analytics

Für den praktischen Anwender, der typischerweise kein DSGVO Spezialist ist und nicht sein muss, bedeutet der Beschluss zweierlei:

  1. Es ist datenschutzrechtlich zulässig, Google Analytics zu nutzen.
  2. Es ist eine Einwilligung des Betroffenen erforderlich.

Die gute Nachricht ist, dass dieses Tool zur Reichweitenmessung grundsätzlich benutzt werden darf. Etwas schwieriger wird es schon mit der Umsetzung. Erforderlich ist erstmal eine Einwilligung des Webseitenbesuchers. Diese muss vorher erteilt werden und freiwillig sein. Außerdem fordert die DSK einen deutlichen Hinweis diesbezüglich, wie beispielsweise „Datenverarbeitung Ihrer Nutzerdaten durch Google“. Die einzelnen Schritte sind in dem Beschluss anschaulich durch die Behörde beschrieben. Wer Google Analytics nutzen will, sollte diese sorgfältig lesen und beachten. Wir haben Sie hier nochmals verlinkt.

Bußgelder

Man kann die Auffassung der DSK teilen oder nicht. Es ist nicht klar, wie ein Gericht, die Rechtslage einschätzen würde. Manche Kollegen teilen die Auffassung der Behörde nicht. Letztlich kann aber aus unserer Sicht empfohlen werden, den Weg der Behörde zu folgen, um ein Bußgeld auszuschließen. Die meisten Gerichte folgen -typischerweise- der Auffassung der Behörde. Wer also kein grundsätzliches Interesse an der Entwicklung des Datenschutzes hat, sollte die Anweisungen beachten.

Kanzlei für Datenschutz

Wenn Sie Fragen zum Datenschutz haben, dann können Sie uns telefonisch unter 069 405 64282 telefonisch erreichen oder per E-Mail an info@rechtsanwalt-dsgvo.de

Ihr Rechtsanwalt für Datenschutz in Frankfurt am Main und bundesweit

Beitragsbild: Adeoulu Eletu