Spätestens seit der Einführung der Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 ist Datenschutz wichtiger denn je. Jüngst verhängte drastische Bußgelder führen dies sehr plastisch vor Augen. Drei aktuelle Beispiele aus dem Juni:

1. Das französische Unternehmen CRITEO S.A. bekam einen Bußgeldbescheid über 40 Millionen Euro. CRITEO ist auf dem Gebiet des Online-Marketings tätig. Es bietet unter anderem Software für das personalisierte Retargeting an, d. h. Produkte, mit denen Unternehmen den Besuchern ihrer Internetseiten speziell auf sie zugeschnittene Internetwerbung anzeigen können. Die zuständige Behörde stellte nach mehreren Inspektionsmissionen, die sie aufgrund von Beschwerden durchführte, unter anderem fest, dass CRITEO Daten von Nutzern ohne deren Einwilligung verarbeitete, Tracer-Cookies platzierte und sich auch nach dem Widerspruch von Betroffenen lediglich darauf beschränkte, keine personalisierte Werbung auszuliefern – dass die Firma die personenbezogenen Daten selbst aber nicht löschte. Auch seiner Auskunftspflicht war das Unternehmen nicht ausreichend nachgekommen: So hatte es den Kunden auf ihr Ersuchen hin nie alle über sie erfassten Daten übermittelt, sondern diverse gespeicherte Informationen zurückgehalten.
2. Gegen die schwedische Firma Bonnier News AB, ein internationales Medienunternehmen mit Sitz in Stockholm, wurde ein Bußgeld in Höhe von 1,1 Millionen Euro verhängt. Der Grund: Bonnier erstellte zu Marketing-Zwecken umfangreiche Profile über die eigenen Kunden, ohne zuvor deren Einwilligung eingeholt zu haben. So sammelte man über mehrere Monate hinweg Daten der Kunden, unter anderem über deren Surfverhalten im Internet und über ihre Käufe bei den Web-Shops des Unternehmens, und ergänzte diese Informationen teilweise durch personenbezogene Daten wie Geschlecht, Kaufkraft und Lebensphase. Dieses umfangreiche Profiling wurde z. B. für kommerzielle Telefonanrufe und für personalisierte Werbung im Internet verwendet.
3. Das Telekommunikationsunternehmen Tim S.p.A musste im Juni 7,6 Millionen Euro Bußgeld bezahlen. Obwohl sie oft keine wirksame Einwilligung eingeholt hatte, führte die Firma in großem Umfang unerwünschte Werbeanrufe durch, einschließlich teilweise belästigenden Verhaltens seitens der Anrufer – mit bis zu fünf Anrufen pro Tag über einen Zeitraum von mehreren Wochen. Die Behörde ordnete Korrekturmaßnahmen an. Dennoch trafen weiterhin zahlreiche Beschwerden über das Unternehmen ein, durchschnittlich mindestens drei Meldungen pro Arbeitstag. Auch gab es Beschwerden über fehlende oder verspätete Reaktionen auf Anträge auf Ausübung der Betroffenenrechte wie dem Recht auf Auskunft.

Fazit: Unternehmen kann immenser Schaden entstehen, wenn Mitarbeiter gegen Bestimmungen des Datenschutzrechtes verstoßen – ganz gleich, ob dies vorsätzlich, aufgrund unzureichender Kenntnisse oder eines mangelnden Unrechts-Bewusstseins geschieht.

Worum geht’s? Das Datenschutzrecht und seine Verschärfung

Das Recht auf freie Entfaltung der Persönlichkeit nimmt eine der höchsten Prioritäten im Grundgesetz ein. Daraus leitet sich das Recht auf informationelle Selbstbestimmung ab und daraus wiederum das Recht auf den Schutz personenbezogener Daten. Es handelt sich also um ein Recht, das auf einem zentralen Grundrecht basiert. Verstöße werden entsprechend hart sanktioniert.

Während es sich bis 2018 lediglich um eine Richtlinie der EU handelte, die also erst durch nationales Recht in den einzelnen Mitgliedstaaten ihre Wirkung entfalten konnte (in der Bundesrepublik Deutschland das BDSG-alt/2003), liegt mit der DSGVO seitdem ein unmittelbares Recht vor. Es gibt also Vorschriften, die von der Gerichtsbarkeit direkt anzuwenden sind und an dem sich sogar auch nationale Regelungen grundsätzlich orientieren müssen (Anm.: nationale Regelungen sind aufgrund von Öffnungsklauseln teilweise weiterhin möglich). Damit ist also eine wesentliche Verschärfung des Datenschutzrechtes eingetreten.

Was sind personenbezogene Daten?

Personenbezogene Daten sind sämtliche Informationen, die eine „identifizierte oder identifizierbare“ natürliche Person betreffen. Von „identifiziert“ sprechen wir, wenn eine Information einem bestimmten Menschen direkt zugeordnet werden kann, z. B. der Name und die Adresse. Identifizier-“bar“ ist eine Information hingegen dann, wenn aus mehreren Informationen (die jede für sich genommen keine Identifizierung ermöglichen) auf die betreffende Person zurückgeschlossen werden kann, wenn also der Kontext eine Identifikation ermöglicht und die Daten der betroffenen Person indirekt zugeordnet werden können.

Beispiel: Im Zusammenhang mit der Internationalen Automobilausstellung IAA wird vom “Vorsitzenden des Vorstands“ des “größten Herstellers der Welt“ gesprochen…

Wann dürfen diese Daten verarbeitet werden?

Für solcherlei Informationen, also für personenbezogene Daten, gilt: Sie dürfen grundsätzlich nicht verarbeitet werden (erhoben, gespeichert etc.), weder elektronisch noch auf Papier. Eine Ausnahme von diesem Grundsatz gilt ausschließlich dann, wenn Daten für festgelegte, legitime und eindeutige Zwecke verarbeitet werden, und auch dies nur, sofern sie dem Zweck angemessen sind, für diesen erheblich sind und nur im absolut notwendigen Umfang verarbeitet werden (letzteres wird auch als “Grundsatz der Datenminimierung“ bezeichnet).

Darüber hinaus muss sichergestellt sein, dass diese Daten richtig sind (d. h. sachlich richtig und auf dem neuesten Stand) und dass unrichtige Daten unverzüglich gelöscht oder berichtigt werden. Außerdem müssen sie in einer Weise gespeichert werden, die sicherstellt, dass die Identifizierung nur so lange möglich ist, wie es für den zugrundeliegenden Zweck erforderlich ist.

Verarbeitung nur mit Einwilligung Betroffener

Selbst dann, wenn all die oben genannten Voraussetzung erfüllt sind, ist die Verarbeitung personenbezogener Daten in aller Regel nur mit Einwilligung der betroffenen Person erlaubt. An diese Einwilligung wiederum legt das Gesetz sehr strenge Anforderungen an.

Das Unternehmen muss mehrere Punkte nachweisen können: Erstens, dass es sich um eine unmissverständlich abgegebene Willensbekundung handelt. Zweitens, dass sie freiwillig erfolgt ist – das heißt im Detail: Die betroffene Person muss eine echte und freie Wahl gehabt haben und sie muss die Einwilligung jederzeit ohne Nachteile verweigern oder zurückziehen können. Drittens darf zwischen dem Unternehmen und der betroffenen Person kein klares Ungleichgewicht bestehen (z. B. ein Abhängigkeitsverhältnis). Viertens muss die Einwilligung in informierter Weise erfolgt sein, d. h. die Einwilligungserklärung, die das Unternehmen der betroffenen Person vorgelegt hat, muss klar und verständlich sein, und sie muss über das Widerspruchsrecht aufklären.

Es gibt zwar auch bestimmte Abweichungen von dem eben dargestellten Grundsatz der Notwendigkeit der Einwilligung (in sehr engen Grenzen). Zum Bespiel ist die Verarbeitung personenbezogener Daten auch zulässig zur Erfüllung einer gesetzlichen Pflicht oder zum Schutz von Leib und Leben. Von einer ausführlicheren Darstellung dieser Abweichungen sehen wir in diesem Beitrag aber ab. 

Sprechen Sie uns an

Die ETL consit GmbH ist spezialisiert auf Revision, Datenschutz, Informationssicherheit und Compliance sowie auf Schulungen auf diesen Gebieten, sowohl für Spezialisten als auch für neue Mitarbeiter. Martin Stotz ist Referent für Datenschutz in dieser Firma. Für nähere Informationen zu den Seminaren/Webinaren/Schulungen oder zur Anmeldung senden Sie einfach eine E-Mail an martin.stotz@etl-consit.de.