Fragen & Antworten

Ich biete Datenschutz-Coaching-Mitglieder und manchmal auch Newsletter-Lesern die Möglichkeit Fragen zum Datenschutz zu stellen. Die Antworten finden sich dann in dieser Kategorie.

Podcast: Antworten zu euren Fragen zum Datenschutz

Es gibt auf meiner Website die Möglichkeit für Unternehmen, Fragen zum Datenschutz zu stellen. Und viele von euch nutzen diese Möglichkeit.

Ich kann immer nur einen Teil der Fragen beantworten. Um den „Backlog“ aber einmal ein bisschen abzuarbeiten, werde ich jetzt auch immer mal Fragen im Podcast hier beantworten.

Und in dieser Podcast-Episode gebe ich Antworten zu folgenden Fragen:

Macht es datenschutzrechtlich einen Unterschied, ob man einen E-Mail Verteiler (Liste an E-Mail Adressen) bei einem Dritten (Mail Service / Dienstleister) speichert, oder ob man die Mail Adressen nur auf seinem eigenen Server speichert, aber einen Mail Service / Dienstleiter nutzt, um E-Mails zu versenden?

Gibt es Anhaltspunkte, ob die harten Strafen der DS-GVO schon vor Inkrafttreten angewandt werden sollen?

Muss das Datenschutzmanagement bei einer eventuellen Überprüfung final fertiggestellt sein, oder darf es auch noch „in Arbeit“ sein?

Ich bin Externer Datenschutzbeauftragter bei mehreren Firmen. In dieser Funktion bin ich natürlich auch für die Auftragsdatenverarbeitung und die ADV-Verträge nach §11 BDSG zuständig. Jetzt habe ich erstmals den Fall, dass ein entsprechender Vertrag mit einem öffentlichen Unternehmen abgeschlossen werden soll. Hier gelten ja die Landesdatenschutzgesetze und nicht das BDSG. Wie sollte ich vorgehen, haben Sie hier schon Erfahrungen?

…bei dem Analyse-Tool Piwik besteht ja die Möglichkeit, dieses selbst zu hosten. Ist es in diesem Zusammenhang notwendig, dieses Verfahren im internen Verfahrensverzeichnis zu beschreiben? Bzw. ist es grundsätzlich erforderlich, Webanalyse-Tools als internes Verfahren jeweils zu beschreiben?

Ich hoffe, die Beantwortung ist hilfreich für einige von euch!

Vollzugriff auf E-Mail-Konten von Franchisenehmern – zulässig?

Hier mal wieder ein Beitrag aus der Reihe Fragen & Antworten. Folgende Frage erreichte mich:

Ist es datenschutzrechtlich unbedenklich, wenn ein Franchisegeber Zugriff auf alle Emails seiner selbstständigen Franchisenehmer hat? Es können sowohl Passwörter, als auch Emails mit allen Kundendaten eingesehen werden.

Meine Nachfrage danach, ob es hierzu eine Regelung im Franchise-Vertrag gibt, wurde übrigens verneint.

Meine Antwort:
Ich fasse mich kurz: Nein, der Zugriff des Franchisegebers auf E-Mail-Konten von Franchise-Nehmern ist hier nicht zulässig.

In rechtlicher Hinsicht scheint es hier so zu sein, dass der Franchisegeber E-Mail-Konten unter einer bestimmten Domain für seine Franchise-Nehmer einrichtet. In rechtlicher Hinsicht sind die Franchise-Nehmer keine Beschäftigten i.S.d. § 3 Nr. 11 BDSG (bzw. ab 25.5.2018 nach § 26 Abs. 8 BDSG-Neu). Vielmehr sind diese selbstständige Dritte. Im Hinblick auf die Bereitstellung von E-Mail-Konten besteht zudem ein Anbieter-Nutzer-Verhältnis bzw. ein Anbieter-Kunden-Verhältnis i.S.d. Telekommunikationsgesetzes (TKG).

Der Franchisegeber ist als Diensteanbieter hier nach § 88 TKG verpflichtet, das Fernmeldegeheimnis einzuhalten. § 88 Abs. 2 und 3 TKG machen hier folgende Vorgaben (Hervorhebungen von mir):

(2) Zur Wahrung des Fernmeldegeheimnisses ist jeder Diensteanbieter verpflichtet. Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort, durch die sie begründet worden ist.

(3) Den nach Absatz 2 Verpflichteten ist es untersagt, sich oder anderen über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des Schutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen. Sie dürfen Kenntnisse über Tatsachen, die dem Fernmeldegeheimnis unterliegen, nur für den in Satz 1 genannten Zweck verwenden. Eine Verwendung dieser Kenntnisse für andere Zwecke, insbesondere die Weitergabe an andere, ist nur zulässig, soweit dieses Gesetz oder eine andere gesetzliche Vorschrift dies vorsieht und sich dabei ausdrücklich auf Telekommunikationsvorgänge bezieht.

Die Tatsache, dass der Franchisegeber Kenntnis von Inhalten nehmen kann, die dem Fernmeldegeheimnis unterliegen, stellt selbst noch keinen Verstoß dar. Wenn aber Zugriff auf E-Mail-Konten genommen wird, ohne dass es hierfür einen technischen Grund gibt (z.B. zur Fehlerbehebung beim Empfang/Versand von Nachrichten), dann liegt m.E. ein klarer Verstoß gegen das Fernmeldegeheimnis vor. Das kann zudem auch nach § 206 StGB strafbar sein.

Scheinbar hat der Franchisegeber im vorliegenden Fall auch Kenntnis von Passwörtern für den E-Mail-Account. Allein das ist schon rechtlich fragwürdig. Denn eine dem Stand der Technik entsprechende Einrichtung eines E-Mail-Accounts würde immer vorsehen, dass der Franchisenehmer selbst ein Passwort wählt, das außer ihm keiner kennt und dass im System auch nur verschlüsselt gespeichert wird („gehashed und gesalzen“).

Die Sachlage könnte u.U. anders aussehen, wenn der Zugriff auf E-Mail-Postfächer im Franchise-Vertrag geregelt wäre. Eine solche Klausel wäre allerdings wohl nur dann wirksam, wenn ein sachlicher Grund für den Zugriff besteht. Ich habe allerdings erhebliche Zweifel, dass ein wirklich sachlicher Grund für einen Zugriff auf Informationen, die dem Fernmeldegeheimnis unterliegen, vertraglich geregelt werden kann. Meist wird es wohl gleich geeignete, wesentlich weniger in die Persönlichkeitsrechte einschneidende Maßnahmen geben. Das würde Klauseln dieser Art wackeln lassen oder zum Fall bringen.

Wenn jedoch ein Zugriff – wie in der Fragestellung hier – ohne eine Regelung im Franchisevertrag oder gesonderte Regelungen zwischen Franchisegeber und -nehmer erfolgt, liegt m.E. ein klarer Rechtsverstoß vor.

Auslagerung von Funktionen auf Tochtergesellschaften

Aus der Reihe Fragen & Antworten mal wieder eine Frage, die mir häufiger so oder ähnlich gestellt wird:

Nehmen wir an die Mustermann GmbH möchte verschiedene Bereiche auslagern.

Dazu gründet sie diverse GmbHs wie z.B. die IT Service GmbH sowie die Lohnbuch GmbH

Die Arbeit aller Mitarbeiter und Abteilungen sowie deren Aufgaben bleibt gleich, nur sind es eigene GmbHs.

Gilt hier die Auftragsdatenverarbeitung?

Meine Antwort: Derzeit ja
Wenn Funktionen wie z.B. der Betrieb bzw. die Bereitstellung von IT-Systemen oder IT-Services oder die Lohnbuchhaltung auf Schwester- oder Tochterunternehmen ausgelagert wird, dann wird das im Rahmen des aktuell noch geltenden BDSG juristisch als Auftragsdatenverarbeitung abgebildet. Das führt in Unternehmensgruppen manchmal zu einem ganz schön komplizierten und verworrenen Geflecht von Auftragsdatenverarbeitungsverträgen. Und das mit verschiedenen Rollen. So wechseln die Funktionen von Auftraggeber und Auftragnehmer abhängig davon, ob nun eine Gesellschaft diese oder jene Services der Tochtergesellschaft in Anspruch nimmt und die Tochtergesellschaft wiederum andere Leistungen der jeweils anderen Firma.

Und es zeigt dann auch häufig, wie „abstrus“ das Thema Auftragsdatenverarbeitung in diesem Bereich der Datenflüsse in Konzernstrukturen ist.

Mit der DSGVO gibt es dann ab 25.05.2018 für derartige Konzerndatenflüsse ein sog. „Konzernprivileg light“. Denn nach Erwägungsgrund 48 kann Art. 6 Abs. 1 lit. f) DSGVO künftig auch als Rechtsgrundlage eine Übermittlung von Daten im Konzern dienen. So zumindest die Ausführungen in Erwägungsgrund 48:

Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln.

Die bisherigen Besprechungen mit Mandanten haben bis dato allerdings ergeben, dass viele Mandanten aufgrund der noch nicht vorhandenen Erfahrungen mit dem „kleinen Konzernprivileg“ auch ab Geltung der DSGVO lieber auf „Nummer sicher“ gehen wollen. Das heißt, sie bleiben vorerst bei den wohl risikoärmeren Konstrukten der Auftragsdatenverarbeitung.

Müssen eingesetzte Handelsvertreter sich selbst um die Einhaltung der DSGVO kümmern?

Von einem kleineren Unternehmen mit weniger als 30 Beschäftigten erhielt ich im Hinblick auf die Umsetzung der DSGVO folgende Frage:

Wir haben zwei freie Handelsvertreter, müssen diese sich selbst um die DSGVO kümmern, oder gar nicht, oder müssen wir das machen?

Die Antwort hierauf ist in der Theorie zunächst einmal recht einfach. Hier reicht ein Blick in § 84 HGB. Dort steht:

Handelsvertreter ist, wer als selbständiger Gewerbetreibender ständig damit betraut ist, für einen anderen Unternehmer (Unternehmer) Geschäfte zu vermitteln oder in dessen Namen abzuschließen. Selbständig ist, wer im wesentlichen frei seine Tätigkeit gestalten und seine Arbeitszeit bestimmen kann.

Wenn es sich bei den zwei Handelsvertretern im vorliegenden Fall also wirklich um selbstständige Handelsvertreter handelt, dann sind diese in jedem Fall nicht dem „Verantwortlichen“ zuzuordnen. So wie bereits im BDSG ist der Handelsvertreter somit „Dritter“ und damit wiederum auch selbst „Verantwortlicher“ im Hinblick auf die DSGVO. Im Ergebnis muss der Handelsvertreter daher selbst für die Einhaltung der Vorgaben der DSGVO sorgen.

Einführung von Google Apps im Unternehmen und der Beschäftigtendatenschutz

Und wieder einmal ein Beitrag aus der Reihe Fragen & Antworten. Heute geht es um folgende Frage:

Ein kleines Unternehmen ohne Betriebsrat und damit Betriebsvereinbarungen entschließt sich seine Emails z.B. über Googlemail abzuwickeln, seinen Mitarbeitern also Emailaccounts bei Googlemail einzurichten. Die Nutzer, also Mitarbeiter der Firma, werden dann sehr viele personenbezogene Daten über Googlemail abwickeln. Muss das kleine Unternehmen und/oder Googlemail dafür eine Einwilligungserklärung der Nutzer, also Mitarbeiter des Unternehmens, einholen?

Meiner bescheidenen Meinung nach – dies wird durchaus unterschiedlich gesehen – lautet die Antwort wie folgt:

Wenn es keinen Betriebsrat, gibt es per se erst einmal keine Mitbestimmungsrechte der Mitarbeiter. Dass ein externer Dienstleister wie z.B. Google zum Einsatz kommt, kann der Arbeitgeber hier im Rahmen seines Direktionsrechts über Betriebsmittel für sich entscheiden. Wenn die Wahl dann eben auf Google fällt, ist das erst einmal so. Aber: Natürlich müssen beim Einsatz eines Dienstleisters für das Senden, Empfangen und Archivieren von E-Mail (hier: Gmail) die datenschutzrechtlichen Vorschriften eingehalten werden.

Beim Gmail besteht für ein deutsches Unternehmen konkret die Herausforderung, dass die Verarbeitung der Daten derzeit (Stand: 16.11.2016) ganz oder zu größten Teilen in den USA erfolgt. Bei einer Verarbeitung von Daten außerhalb der Europäischen Union muss das Unternehmen dann Sorge dafür tragen, dass für die Verarbeitung der Daten in einem Drittstaat wie den USA ein angemessenes Datenschutzniveau eingehalten wird.

Genau genommen soll nach ganz herrschender Meinung eine „Zwei-Stufen-Prüfung“ durchgeführt werden (vgl. dazu Düsseldorfer Kreis, „Datenübermittlung in Drittstaaten erfordert Prüfung in zwei Stufen“). Auf der ersten Stufe ist dabei zu prüfen, ob es eine Einwilligung oder Rechtsvorschrift für die Übermittlung der Daten gibt. Im Hinblick auf den Einsatz eines E-Mail-Services wird diese Stufe kein Problem darstellen, da § 28 Abs. 1 Nr. 1 BDSG oder notfalls § 28 Abs. 1 Nr. 2 BDSG hier eine Rechtsgrundlage darstellt. Wir brauchen hier also m.E. nicht zwingend eine Einwilligung der Mitarbeiterinnen und Mitarbeiter.

Auf der zweiten Stufe muss dann das Vorliegen des „angemessenen Datenschutzniveaus“ in dem jeweiligen Drittstaat geprüft werden. Eine Bejahung kann im Falle der USA und Google derzeit auf verschiedene Arten erfolgen. Alle sind mit Blick in die Zukunft etwas „wackelig“ – dazu aber gleich mehr.

Im Falle von Google gab es in der „Vergangenheit“ (und gibt es aktuell immer noch) die Möglichkeit, mit Google sog. EU-Standardvertragsklauseln abzuschließen. Bei einer Verwendung der EU-Standardvertragsklauseln kann ein angemessenes Datenschutzniveau angenommen werden, so dass insoweit ein Einsatz von Gmail datenschutzrechtlich zulässig sein kann. Warum nur „kann“ – da kommen wir zum vorhin angesprochenen „Wackeligen“. Denn ob die EU-Standardvertragsklauseln wirklich für ein angemessenes Datenschutzniveau sorgen oder ggf. genauso unwirksam wie der ehemalige „Safe Harbor“ wird wohl demnächst der EuGH klären. Es spricht einiges dafür, dass die EU-Standardvertragsklauseln langfristig keine gute Wahl sind. Derzeit sind sie aber noch wirksam und können nach wie vor verwendet werden.

Zweite und wohl aktuell „datenschutzrechtlich“ bessere Wahl, um ein angemessenes Datenschutzniveau annehmen zu können, ist „Privacy Shield“. Das ist – kurz gefasst – der Nachfolger von Safe Harbor und basiert auch auf einer Art von Selbstzertifizierung von Unternehmen in den USA, die sich als Voraussetzung bestimmten Pflichten im Umfang mit Daten aus der EU unterwerfen.

Im Falle von Gmail ist entscheidend, dass der Betreiber von Gmail, die Google Inc., Teilnehmer von „Privacy Shield“ ist (Listeneintrag hier). Im Übrigen auch für Beschäftigtendaten (HR Data). Damit kann auf der zweiten Stufe derzeit auch ein angemessenes Datenschutzniveau angenommen werden.

Auch „Privacy Shield“ ist allerdings alles andere als „safe“. Denn auch hier gibt es gewichtige Bedenken gegen die Annahme, dass damit ein angemessenes Datenschutzniveau gewährleistet wird. Das wird auch durch die politischen Änderungen in den USA durch die Wahl von Donald Trump zum nächsten Präsidenten der USA nicht einfacher. Entsprechend wird derzeit auch schon versucht, gerichtlich gegen „Privacy Shield“ vorzugehen. „Privacy Shield“ ist also auch „shaky“ im Sinne von „wackelig“. Aber der Vorteil beim Privacy Shield ist, dass die EU die Vorgaben regelmäßig evaluieren und ggf. mit den USA adaptieren will. Letztlich wird also die Praxis zeigen, wie „datenschutzfreundlich“ die Privacy-Shield-Variante wirklich ist. In rein datenschutzrechtlicher Hinsicht liegen aber derzeit die Voraussetzungen für ein angemessenes Datenschutzniveau vor. Denn noch ist „Privacy Shield“ noch nicht vom EuGH für unwirksam erklärt worden. Und das ist letztlich das entscheidende Kriterium.

Im Hinblick auf die Ausgangsfrage lautet meine Antwort aber wie folgt:

  • Der Einsatz von Gmail in dem Unternehmen ohne Betriebsrat ist auch ohne Einwilligung der Beschäftigten grundsätzlich zulässig.
  • Aber Achtung: Wenn und soweit per E-Mail auch „besondere Arten personenbezogener Daten“ (i.S.d. § 3 Abs. 9 BDSG), z.B. Gesundheitsdaten von Beschäftigten des Unternehmens über Gmail versendet oder gespeichert werden, kann wegen § 28 Abs. 6 BDSG i.V.m. § 4a Abs. 3 BDSG ein Einwilligung erforderlich sein.

Der Teufel steckt also etwas im Detail.

Erforderlichkeit einer Vor-Ort-Kontrolle bei Auftragsdatenverarbeitung in einem Rechenzentrum

Aus der Reihe Fragen & Antworten hier nun eine Frage, die mir häufiger so oder ähnlich gestellt wird:

Ist es im Rahmen der Vorabkontrolle unbedingt notwendig, ein Rechenzentrum (Zertifiziert nach ISO 27001) zu betreten? Diese Art der Kontrolle wurde uns nicht gewährt. Welche Möglichkeiten gibt es, unsere Auftraggeber dennoch von diesem Rechenzentrum zu überzeugen?

Die Fallkonstellation liegt hier offenbar so, dass der Fragesteller in einem Unternehmen arbeitet, das für Auftraggeber Daten im Auftrag verarbeitet und dabei selbst ein fremdes Rechenzentrum nutzt.

Ich kenne die Frage der Erforderlichkeit einer Vor-Ort-Kontrolle nur zu gut. Ich bin externer Datenschutzbeauftragter einer Reihe von Unternehmen, die für größere Unternehmen als Auftragsdatenverarbeiter tätig sind. Und hier werden auch professionelle Rechenzentren genutzt. Und nicht in jedes kommt man hinein. Sicher kann ich es nachvollziehen, dass Auftraggeber einer Auftragsdatenverarbeitung in manchen Fällen (z.B. bei sehr hohem Schutzbedarf der Daten) eine Vor-Ort-Kontrolle im Rechenzentrum für erforderlich halten. In vielen Fällen ist dies jedoch weder erforderlich noch sinnvoll. Merke: Ein Rechenzentrum wird nicht dadurch sicherer, dass jeden Tag Personen durch das Rechenzentrum marschieren und „Kontrollen“ durchführen. Dies ist in gerade in großen Rechenzentren nicht wirklich immer sinnvoll. Ich spreche da gerne mal von „Rechenzentrum-Tourismus“.

Telefonisch erhaltene E-Mail-Adressen für Newsletterversand nutzen?

Aus der Reihe Fragen & Antworten hier nun eine Frage, die für viele Unternehmen in der Gastronomie relevant sein könnte:

Die Frage:

Wir betreiben ein Restaurant und bekommen viele Reservierungsanfragen per Telefon. Wir nehmen bei der Annahme der persönlichen Daten auch die Emailadresse auf. Diese Emailadresse möchten wir eigentlich auch für unseren Newsletter einsetzen. Dürfen wir dies, oder was müssen wir machen um diese nutzen zu dürfen?

Meine Antwort:

Die Antwort auf die Frage kommt hier weniger aus dem Datenschutzrecht, sondern vielmehr aus dem Wettbewerbsrecht. Denn für das Versenden von E-Mails mit „Werbung“ ist primär § 7 UWG einschlägig.

Wer keine Zeit zum Lesen hat (oder zu faul ist), hier das Ergebnis vorab:

Die Zusendung eines E-Mail-Newsletters an eine Person, die bei einem Restaurant telefonisch eine Reservierung angefragt hat, ist dann rechtlich zulässig, wenn der Anrufer konkret gefragt wurde, ob er damit einverstanden ist, den E-Mail-Newsletter des Restaurants zu erhalten und er dies bejaht.

Zu empfehlen ist diese Praxis aber nicht, denn die Beweislast für das Vorliegen einer wirksamen Einwilligung liegt beim Restaurant. Dies im Falle einer Abmahnung wegen des Versands von E-Mail-Werbung auf Basis eines Telefonanrufs zu beweisen, dürfte praktisch schwierig werden und sehr häufig scheitern. Hinzu kommt, dass das Risiko einer Abmahnung in diesen Fällen nicht als niedrig eingestuft werden kann. Meiner Meinung nach ist der Ärger hier vorprogrammiert.

Und ich bin der Überzeugung, dass es vor allem einer viel bessere Möglichkeit gibt — dazu könnt ihr mehr gegen Ende des Beitrages erfahren…aber lest das auf jeden Fall nicht, wenn ihr nicht besser werden wollt.

Und jetzt die Langfassung:

Wir könnten lange diskutieren, wann etwas Werbung ist oder nicht. Und ich höre von Mandanten immer wieder, dass der eigene Newsletter doch wohl auf gar keinen Fall Werbung sei. Er habe schließlich einen konkreten Nutzern (und Vorteil) für den Empfänger.

Frage nach TOMs durch DSB der Auftraggeberfirma erlaubt?

Ich biete ja seit kurzem die Möglichkeit an, Fragen zum Datenschutzrecht über ein Formular zu stellen. Das ersetzt keine individuelle Beratung, ist aber für mich Gelegenheit, diese Internetseite mit Inhalten zu füllen, die für Leser der Seite interessant sein könnten.

So erreicht mich neulich diese Frage:

Frage:

Darf ein Datenschutzbeauftragter der Firma A (Auftraggeber) von einer Firma B (Dienstleister/Auftragnehmer) die Abgabe eines TOMs-Fragebogens über die Firma B verlangen? Der Auftragnehmer hat einzig einen Remotezugang auf das zu betreuende System beim Auftraggeber.