Der digitale Fortschritt wird in Deutschland häufig belächelt. Trotz holpriger Entwicklungen in der Digitalisierung hat Deutschland als Mitglied der Europäischen Union ein sehr hohes Datenschutzniveau. Im Umgang mit sensiblen Daten müssen hohe Anforderungen umgesetzt werden und insbesondere Unternehmen müssen auf diesem Gebiet der IT-Sicherheit verschiedenste Sicherheitsvorkehrungen treffen.
Die potenziellen Schäden, die aufgrund von Angriffen oder Missachtungen der Anforderungen entstehen können, fallen unter Umständen sehr hoch aus und werden entsprechend sanktioniert. Erfahren Sie, wie Sie sicher mit sensiblen Daten umgehen und dadurch Schäden vermeiden können.
Gemeinsam Verantwortliche nach der DSGVO und das MLM
So gut wie alle Network-Marketing-Unternehmen aus den USA oder Asien stehen aufgrund der Regelungen der Datenschutzgrundverordnung (DSGVO) vor großen Herausforderungen. Gerade das Multi-Level-Marketing (MLM) bringt Unternehmensstrukturen hervor, die sich aus Muttergesellschaft und verschiedenen Lizenznehmern oder Tochtergesellschaften zusammensetzen. Daten zu Kunden oder Vertriebspartnern werden in der Regel gemeinsam genutzt und nicht selten auf unterschiedlichen Servern gespeichert. Solche Unternehmensstrukturen sind typisch für die Regelung des Artikel 26 Abs. 1 Satz 1 der DSGVO über die gemeinsame Verantwortlichkeit.
Eine gemeinsame Verantwortlichkeit liegt immer dann vor, wenn mehrere Verantwortliche die Zwecke und Mittel zur Datenverarbeitung gemeinsam festlegen. Hierin liegt auch der entscheidende Unterschied zur Auftragsverarbeitung, bei der eine Stelle Bestimmungen vorgibt und die andere diese weisungsabhängig ausführt. Die wichtigste Anforderung an gemeinsam Verantwortliche ist die Festlegung einer gemeinsamen und transparenten Vereinbarung über die Verantwortungsbereiche und konkreten Aufgaben im Datenverarbeitungsprozess. Diese Vereinbarung ist mehr als nur eine Formalie. Das Nichtbefolgen dieser Regel stellt einen Verstoß gegen die DSGVO dar und kann mit einem hohen Bußgeld sanktioniert werden.
Der Zweck des Art. 26 DSGVO dient nicht dazu, etwaige Firmenstrukturen zu offenbaren oder rein interne Vorgänge sichtbar zu machen. Im Zentrum steht vielmehr der Schutz der informationellen Selbstbestimmung des Einzelnen, dessen personenbezogene Daten verarbeitet werden. Die Transparenz und der damit verbundene Schutzgedanke sollen das Persönlichkeitsrecht der Betroffenen wahren und sensible Daten schützen. Zudem soll verhindert werden, dass in komplizierten Unternehmensstrukturen Räume für Verantwortungslosigkeit geschaffen werden. Die Tochtergesellschaft soll sich im Konfliktfall nicht einfach aus der Affäre ziehen können und auf die Muttergesellschaft verweisen, wenn sich die Muttergesellschaft eventuell selbst nicht in der Verantwortung sieht.
Unternehmen aus dem MLM müssen also unbedingt prüfen, ob ihre Firmenstruktur eine gemeinsame Verantwortlichkeit begründet.
Ist dies der Fall, müssen zwischen den jeweiligen Gesellschaften unbedingt entsprechende Vereinbarungen aufgesetzt werden. Diese Vereinbarungen müssen dem Kunden mit ihren wesentlichen Inhalten beispielsweise über einen Datenschutzhinweis in verständlicher Weise mitgeteilt werden. Vorsicht ist hierbei besser als Nachsicht, da im Falle der Nichtbefolgung hohe Sanktionen durch die DSGVO drohen. Die Rechtsprechung des Europäischen Gerichtshofs (EuGH) zeigt, dass die Messlatte für die Begründung der gemeinsamen Verantwortlichkeit sehr niedrig ist.
Ungewöhnliche Konstellationen für die gemeinsame Verantwortlichkeit
Zu einem der prominentesten Beispiele gehört der Fall eines Facebook-Fanpage-Betreibers. Das Landeszentrum für Datenschutz Schleswig-Holstein klagte gegen den Betreiber einer Facebook-Fanpage und war der Meinung, dass weder Facebook noch der Betreiber die Nutzer der Fanpage ausreichend über die Verarbeitung der erstellten Profile informiert haben. Obwohl der Fanpage-Betreiber selbst Nutzer von Facebook war, entschied der EuGH, dass zwischen Facebook und dem Fanpage-Betreiber eine gemeinsame Verantwortlichkeit im Sinne des Art. 26 DSGVO besteht. Selbst diese ungewöhnliche Konstellation zeigt sehr deutlich, dass man große Sorgfalt im Umgang mit sensiblen Daten anlegen muss.
Ein weiteres Beispiel im Zusammenhang mit dem Art. 26 DSGVO bildet eine Streitigkeit bezüglich der Einbindung von Social-Media-Plugins in einem Onlineshop. Dem EuGH wurden im Zuge des Rechtsstreits zwischen einem Onlineshop-Betreiber und der Verbraucherzentrale verschiedene Fragen vorgelegt. Unter anderem bejahte der EuGH die gemeinsame Verantwortlichkeit.
Für die Einbindung des Facebook-Like-Buttons auf der Seite des Onlineshop-Betreibers. Der Onlinehändler muss sich damit an die Vorgaben des Art. 26 DSGVO halten und mit Facebook eine Vereinbarung über die Verantwortungsbereiche der Datenverarbeitung treffen.
Der „Gefällt mir“ -Button nimmt im Onlineshop des Betreibers nur einen verschwindend geringen Teil der Bildschirmfläche ein, ermöglicht es Facebook jedoch zumindest bei registrierten und eingeloggten Mitgliedern über die Verwendung des Buttons Cookies zu schalten und damit personenbezogene Nutzerprofile anzulegen. Die Datenverarbeitung löst dann die Pflichten zur Einhaltung der Vorgaben der DSGVO aus und soll letztlich die Betroffenen schützen. Die ungleiche Machtverteilung zwischen Facebook und dem Onlineshop-Betreiber spielt dabei keine Rolle. Es bedarf trotzdem der gemeinsamen Vereinbarung im Sinne des Art. 26 DSGVO.
Die Fälle betonen den Stellenwert des Datenschutzes und zeigen gleichzeitig, dass oftmals versteckte Details umfangreiche Pflichten auslösen können. Unternehmer müssen ihr Onlinegeschäft unbedingt fachlich absichern lassen und prüfen lassen, ob ihre Firmenstruktur eine gemeinsame Verantwortlichkeit begründet. Dies ist häufig mit einem hohen Prüfungsaufwand verbunden, der jedoch nicht vernachlässigt werden sollte.
Risiken einer Datenübermittlung ins EU-Ausland
Daten können in Sekundenschnelle von Kontinent zu Kontinent verschickt werden. Unternehmen profitieren von einem schnellen Datentransfer. Sie müssen allerdings auch bei Datentransfers ins EU-Ausland darauf achten, die Anforderungen der DSGVO einzuhalten. Es muss sichergestellt werden, dass die europäischen Standards in Bezug auf den Datenschutz durch internationale Vorschriften eines Drittstaates nicht unterschritten werden.
Um dieses Schutzniveau nicht zu unterschreiten, hat die EU-Kommission vergangenes Jahr die Vorgaben zu ihren Standard Contractual Clauses (SCC) angepasst. Für den Fall einer Datenübermittlung in Drittländer müssen der Datenexporteur und der Datenimporteur diese vorgefertigten Vertragsklauseln mit in ihre Vereinbarungen aufnehmen, um das hohe Schutzniveau gewährleisten zu können. Sie verpflichten sich zu entsprechenden Maßnahmen zur Datenspeicherung und beispielsweise zum Schutz vor Eingriffen der nationalen Behörden. Neben den vorgefertigten Vertragsklauseln kommt dem sog. Transfer Impact Assessment (TIA) eine wichtige Bedeutung zu. Es handelt sich um ein Verfahren zur Risikoeinschätzung der jeweiligen Datenübermittlung.
In verschiedenen Schritten wird eine gemeinsame Beurteilung vom Datenimporteur und -exporteur abgegeben, um zu beurteilen, ob im Drittland ein angemessener Schutz der personenbezogenen Daten besteht. Zu den individuellen Beurteilungen auf unternehmerischer Ebene gibt die EU-Kommission eine eigene Risikobewertung für diverse Staaten im Zuge eines Angemessenheitsbeschlusses heraus. Hierunter fallen beispielsweise Kanada oder Japan.
Spätestens mit dem Schrems-II Urteil des EuGH wurde deutlich, dass es sich bei Datenübermittlungen in Drittländer keineswegs um eine zu vernachlässigende Materie handelt. Der EuGH erklärte den Angemessenheitsbeschluss der EU-Kommission für ungültig und kippte damit das Abkommen zwischen der EU und den USA, den sog. EU US Privacy Shield. Die Entscheidung betonte aufs Neue den Stellenwert des Datenschutzes in der EU. Sie zeigte aber auch, welche Komplexität die Vereinbarungen annehmen können.
Für Unternehmer ist die Prüfung und Durchführung eines TIAs kaum ohne fachlichen Rat durchführbar. Die neu angepassten Standardvertragsklauseln führten zwar zu einer höheren Flexibilität in der Vertragsgestaltung und brachten mehr Klarheit mit sich. Allerdings sollten Unternehmer trotzdem möglichst zeitnah Fachleute mit den entsprechenden Prozessen betrauen. Andernfalls ist das Risikopotential hoch. Schließlich steht die IT-Sicherheit auf dem Spiel und damit das Persönlichkeitsrecht der Betroffenen.
IT-Sicherheit mal anders
In den vergangenen Jahren haben sich diverse Firmen mit einem besonderen Geschäftsmodell zum Thema IT-Sicherheit auf dem Markt positioniert. Kleinste Fehler, wie das Öffnen eines Links oder das Einstecken eines unbekannten Speichermediums in den Firmencomputer, können Angreifern die Tore öffnen und sensible Daten gefährden. Genau solche Schwachstellen können durch die Sicherheitsfirmen aufgedeckt werden, indem sie selbst Angriffe auf die Unternehmen starten. Am besten gelingt die Aufdeckung der Schwachstellen, wenn die Sicherheitsfirmen selbst ehemaliger Hacker beauftragen.
Die potenziellen Schäden können vom Image- oder Haftungsschaden bis hin zu hohen Bußgeldern fatale Auswirkungen annehmen. Der Autovermieter Buchbinder beispielsweise hat für einen Eklat gesorgt, indem sensible Kundendaten und firmeninterne Korrespondenz auf einem ungeschützten Server gespeichert wurden. Die Daten umfassten Vorgänge, die bis ins Jahr 2003 zurückgingen. Diese offensichtliche Sicherheitslücke hätte durch die Einschaltung einer spezialisierten IT-Sicherheitsfirma verhindert werden können.
Dem Umgang mit sensiblen Daten kommt eine immense Bedeutung zu. Unternehmen sind gut beraten, aufgrund der Komplexität der Thematik fachlichen Rat einzuholen oder selbst ganze Prozesse an spezialisierte Subunternehmer abzugeben. Unachtsamkeiten können große Schäden verursachen und müssen so gut es geht, ausgeräumt werden. Das IT-Recht entwickelt sich zudem mit einem schnellen Tempo. Man kommt nicht drum herum, sich stets über neuste Entwicklungen informieren zu müssen.
Ein Gastbeitrag von André Schenk
SBS LEGAL
www.sbs-legal.de
