DSGVO

Weitergabe von Kundendaten beim Asset Deal – Einwilligung erforderlich?

Es kommt immer wieder vor, dass Unternehmen verkauft werden. So kann z.B. bei einer GmbH ein Wechsel der Gesellschafterinnen (Genderhinweis) erfolgen, so dass das Unternehmen sozusagen in „andere Hände“ gelangt.

Dieser Umstand selbst ist datenschutzrechtlich unproblematisch, weil die „Verantwortliche“ selbst sich nicht ändert. Dort bleibt alles gleich. Der Wechsel der Gesellschafterinnen ist insoweit unbedeutend.

Häufig möchte ein Unternehmen aber nur einen Geschäftszweig veräußern, also z.B. eine bestimmte Sparte eines Produktes oder eine bestimmte Dienstleistungsabteilung. Wenn so ein „Asset“ von einem anderen Unternehmen gekauft wird, dann haben wir einen „Asset Deal“. Natürlich hat die Käuferin heute in der Regel ein großes Interesse daran, auch alle insoweit bestehenden Kundendaten dieser Sparte zu bekommen, um die Ware oder Dienstleistung weiter erfolgreich auch an bestehende Kunden anzubieten.

Rechtlich gesehen handelt es sich dabei um eine Weitergabe bzw. Offenlegung von personenbezogenen Daten. Und dazu benötigen wir eine Rechtsgrundlage. Hier stellt sich dann schnell die Frage?

Brauche ich für die Weitergabe von personenbezogenen Daten von Kunden an die Käuferin bei einem Asset Deal die Einwilligung des Kunden?

Einigkeit besteht zunächst darüber, dass eine Weitergabe der Kundendaten an die Käuferin erfolgen darf, wenn eine wirksame Einwilligung hierfür vorliegt. Besonders praktikabel ist das natürlich für die Vertragsparteien des Asset Deals nicht. Zumal die Verkäuferin die Kunden alle anschreiben und um Einwilligung bitten müsste. Denn schon die Weitergabe der Daten an die Käuferin für Zwecke der Einholung einer Einwilligung bedürfte ja einer Rechtsgrundlage. Das wird in der Praxis viel Aufwand und wenig Erfolg bereiten. Die „Conversion Rate“ für diese Einwilligungsschreiben ist praktisch sehr niedrig.

Hier sollte man daher schon beim Aushandeln des Asset Deals schon darauf achten, wie man mit diesem Szenario umgehen möchte.

Zum Teil wird vertreten, dass allein die Einwilligung die einzig mögliche Rechtsgrundlage wäre, um die Weitergabe der Kundendaten beim Asset Deal zu ermöglichen. Dem ist jedoch nicht so.

Denn die DSGVO sieht verschiedene Zulässigkeitstatbestände für die Weitergabe von Daten in Art. 6 DSGVO vor. Die Einwilligung ist nur eine davon. Und auch wenn ich es immer wieder betonen muss. Die Einwilligung ist mitnichten „die Königin“ der Rechtsgrundlagen. Ehrlich gesagt ist sie eher sehr häufig der Notgroschen, den ich nehme, wenn nichts anderes mehr geht und/oder Art. 9 DSGVO im Raum steht. Tatsache ist, dass alle Zulässigkeitstatbestände in Art. 6 DSGVO gleichrangig nebeneinander stehen.

Neben der Einwilligung ist die weitere mögliche und einschlägige Rechtsgrundlage Art. 6 Abs. 1 lit. f) DSGVO. Bei dieser Datenverarbeitung auf Basis einer Interessenabwägung ist eine Weitergabe der Kundendaten bei einem Asset Deal zulässig, wenn die Verkäuferin ein rechtlich legitimes Interesse an der Weitergabe hat und entgegenstehende Interessen der Betroffenen nicht überwiegen.

Dass die Verkäuferin bei einem Asset Deal ein Interesse an der Weitergabe der Daten hat, liegt auf der Hand. Die Daten der Kunden sind häufig ein wesentlicher Bestandteil dieser Verträge. Dieses Interesse ist auch rechtlich legitim, also von der Rechtsordnung gebilligt. Die Krux liegt also jetzt in der Frage, ob das Interesse der Kundin an einer Nicht-Weitergabe das Interesse der Verkäuferin überwiegt.

Bei dieser Interessenabwägung sind insbesondere die Grundrechte und Grundfreiheiten der Kundin zu berücksichtigen und dazu gehört z.B. das Grundrecht auf Datenschutz nach Art. 8 der EU-Grundrechte-Charta (GRCh) oder auch das Recht auf Privatheit nach Art. 7 GRCh.

Diese Interessenabwägung ist meist wackelig und birgt einige Unwägbarkeiten. Diese werden höher, wenn z.B. die Käuferin ihren Sitz in einem Drittstaat, also außerhalb der EU hat. Dann kann schon ein Zweifel am Datenschutzniveau dazu führen, dass entgegenstehende Interessen der Kundin überwiegen und die Weitergabe der Daten unzulässig ist.

Insgesamt ist der Bereich auch in der rechtswissenschaftlichen Literatur extrem umstritten. Zum Teil wird vertreten, dass nur die Zweckänderungsklausel nach Art 6 Abs. 4 DSGVO einschlägig sei. Andere vertreten wiederum ein Opt-Out-Modell, bei dem die Kunden vor der Weitergabe der Daten über die Umstände des Verkaufs und die geplante Datenweitergabe informiert und dieser binnen einer angemessenen Frist (z.B. drei Wochen) widersprechen können. Erfolgt dann kein Widerspruch, kann die Datenübermittlung erfolgen. Ich denke, dass dieser Weg eine ausgewogene und für beide Seiten interessenwahrende Möglichkeit ist, Kundendaten im Kontext mit einem Asset Deal zu übergeben. Also eine gute Idee.

Das Ganze ließe sich aber noch weiter optimieren. So empfehle ich Mandantinnen, die schon im Vorwege in Erwägung ziehen, eine Sparte eines Unternehmens zu veräußern, diese Möglichkeit in ihren AGB anzusprechen. Wenn sich aus den AGB ergibt, dass es durchaus sein kann, dass das Unternehmen Teile des Unternehmens veräußert und in dem Kontext eine Datenweitergabe auf Basis der o.g. Widerspruchslösung erfolgt, dann lässt sich recht gut argumentieren, dass die „reasonable expectations“ der Betroffenen, also die vernünftigen Erwartungen hier schon durch die AGB so vorgestaltet waren, dass ein Verkauf beim Vertragsschluss bzw. im Laufe der Kundenbeziehung für die Kundin erwartbar war.

In diesen Fällen wird man schwerlich zu dem Ergebnis kommen können, dass die Interessen der Betroffenen gegen die Weitergabe prinzipiell überwiegen und kein Widerspruchsmodell zulassen.

So lässt sich also eine für die Vertragsparteien günstige Interessenabwägung weiter optimieren.

Fazit: Die Weitergabe von Kundendaten bei einem Asset Deal ist unter bestimmten Voraussetzungen sehr wohl ohne eine Einwilligung zulässig. Zumindest bis der BGH oder der EuGH das einmal anders entschieden hat.

Wahr ist allerdings auch, dass wir bei jedem Asset Deal genau hinschauen dürfen, um die Möglichkeiten und Risiken bei der Auswahl der passenden Rechtsgrundlage und der Gestaltung gut abzuwägen.

Küchendienstplanung im Büro – ein Problem für den Datenschutz?

Dass Geburtstagslisten im Büro ein Problem sein können, sollte landläufig einigermaßen bekannt sein. Der Wirbel um die DSGVO hat dieses Thema ja letztes Jahr noch einmal prominent gemacht. Ich hatte dazu auch hier einen Beitrag geschrieben.

Nun wurde ich gestern gefragt, ob ich nicht einmal etwas zu „Küchenlisten“ schreiben könne. Da würden sich ja ähnliche Probleme stellen. Ein schönes Thema – dachte ich – und vor allem auch nicht so schwer. Denn bei „Küchenlisten“ ist die Problematik bzgl. der Verarbeitung personenbezogener Daten im Vergleich zu Geburtstagslisten deutlich einfacher.

Was ist mit „Küchenliste“ gemeint?

In vielen Unternehmen oder öffentlichen Stellen werden „Küchenlisten“ auch als „Küchendienstplan“ oder „Küchendienstliste“ bezeichnet. Letztlich geht es darum, dass alle Beschäftigten in der Küche des Unternehmens bzw. der Behörde in einer (halbwegs) sauberen und aufgeräumten Umgebung essen und sich aufhalten wollen.

Da hier selten ein Rund-um-die-Uhr-Service des Arbeitgebers eingerichtet sein wird, „müssen“ die Beschäftigten dann also selbst „ran“ und organisieren sich dann selbst bzw. bekommen die Anweisung, sich zu organisieren. Dann werden entsprechend Listen erstellt, aus denen sich ergibt, welche Personen wann Küchendienst zu leisten haben. Also z.B. das Geschirr in den Geschirrspüler einräumen, den Geschirrspüler aktivieren, den Geschirrspüler ausräumen, den Tisch wischen oder was auch immer so zu tun ist. So eine Liste kann z.B. so aussehen:

Und wie hier unschwer zu erkennen ist, befinden sich auch personenbezogene Daten auf diesem Plan. Meist wurde der auch elektronisch erstellt, so dass man schwerlich damit argumentieren kann, dass die DSGVO nicht greift. Auch ist dies keine rein private, familiäre Datenverarbeitung, so dass auch insoweit nicht begründet werden kann, dass die Vorgaben des Datenschutzrechts keine Anwendung finden.

Die DSGVO bzw. die datenschutzrechtlichen Vorgaben finden also grundsätzlich erst einmal Anwendung. Aber wie so häufig steckt auch hier wieder der Teufel im Detail.

Fazit vorab: In aller Regel lässt sich sagen, dass die Angaben von Namen in einer „Küchenliste“ auch ohne Einwilligung der Beschäftigten datenschutzrechtlich zulässig ist.

Streiten können wir hier jedoch über die Rechtsgrundlage dieser Datenverarbeitung. Wenn z.B. der Arbeitgeber die Nutzung der Küche davon abhängig gemacht hat, dass die Nutzer dieser Küche die Küche sauber halten, dann spricht einiges dafür, dass die Angabe von Namen in einer Küchenliste, die in der Regel ja von den Beschäftigten selbst erstellt wird, zur Durchführung des Beschäftigungsverhältnisses erforderlich sind. Rechtsgrundlage kann dann § 26 Abs. 1 BDSG sein. Da der Arbeitgeber wohl kein Direktionsrecht gegenüber den Beschäftigten hat, dass diese Küche und z.B. Sozialräume sauber zu halten haben, ist die Verwendung dieser Rechtsgrundlage aber abhängig vom Einzelfall. Es kommt also darauf an…so ist das mit den Juristen…

Häufig wird daher aufgrund der Umstände im Unternehmen die sog. Datenverarbeitung auf Basis einer Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO die passende Rechtsgrundlage für die Angabe von Namen in Küchenlisten sein. Das Unternehmen wird hier wohl (auch darüber ließe sich streiten) der Verantwortliche i.S.d. DSGVO für die Datenverarbeitung sein. Das Interesse des Unternehmens, Daten von Beschäftigten zu verwenden und offenzulegen, um eine „ordentliche und reinliche“ Nutzung der Küche zu gewährleisten, ist in jedem Fall berechtigt. Und ein entgegenstehendes Interesse der Beschäftigten, das dieses Interesse des Unternehmens überwiegt, ist nicht gegeben.

Während es bei Geburtstagslisten über die Geburtsdaten eine „Einwirkung“ in den persönlichen Lebensbereich des Beschäftigten geben kann, ist dies bei Küchendiensten nicht der Fall. Hier haben wir also nicht das gleiche Problem wie bei Geburtstagslisten.

Daher sind sog. Küchenlisten m.E. datenschutzrechtlich zulässig. Es bedarf insoweit auch keiner Einwilligung der Beschäftigten.

Allerdings muss auch über die Datenverarbeitung informiert werden. Und soweit hier die Datenverarbeitung auf Basis von Art. 6 Abs. 1 lit. f) DSGVO – also der „Interessenabwägung“ – erfolgt, müssen die Beschäftigten auf ein insoweit bestehendes Widerspruchsrecht nach Art. 21 DSGVO informiert werden.

Und wenn nun ein Beschäftigter der Angabe seines Namens auf der Küchenliste nach Art. 21 DSGVO widerspricht?
Dann teeren und federn sie diesen…okay Scherz beiseite. Letztlich muss man dann nach Art. 21 Abs. 1 DSGVO entscheiden, ob es „zwingende schutzwürdige Gründe“ für die Nennung des Namens auf der Liste gibt. Oder die Nennung der Namen für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist…das wird regelmäßig kaum der Fall sein.

Letztlich wird man sich im Falle eines Widerspruchs überlegen müssen, ob die Angabe des Namens wirklich zwingend ist oder es ein „milderes“ Mittel gibt, um den Zweck der Küchenliste zu erfüllen. Hier könnte man z.B. an die Verwendung von Pseudonymen denken. Und jetzt merkst du schon, dass das Ganze spätestens dann doch etwas „affig“ wird.

Wer diese „zoo-artigen“ Umstände vermeiden möchte, der tut gut daran, mit dem Arbeitgeber zu sprechen. Wenn dieser z.B. die Nutzung der Küche davon abhängig machen würde, dass diese von den Beschäftigten selbst unter Verwendung einer Küchenliste „ordentlich“ gehalten wird, der wird sich hier eher auf die Rechtsgrundlage des § 26 BDSG berufen können. Danach ist die Verwendung von Beschäftigtendaten u.a. zulässig, wenn dies für die Durchführung des Beschäftigungsverhältnisses erforderlich ist.

Alternativ ist übrigens auch die Einwilligung der Beschäftigten eine denkbare Alternative. Auch diese wird meist aber widerrufen werden können. Hier sollte man dann überlegen, ob mit Widerruf der Einwilligung die Erlaubnis zur Nutzung der Küche durch den jeweiligen Beschäftigten entfällt. Nur: Ist das wiederum zulässig und ist ein solche Einwilligung „freiwillig“? Fragen über Fragen…

In der Praxis hoffe ich für dich sehr, dass du in einem Unternehmen oder einer Behörde arbeitet, bei der die Beschäftigten mit der Verwendung einer Küchenliste schon aus eigenem Interesse kein Problem haben. Ich bin ein großer Freund der Überzeugung, dass „Datenschutz“ nicht über allen anderen Interessen steht. Insbesondere dort, wo Daten mit nur geringem Risiko verarbeitet werden, sollte die DSGVO in einer Weise angewendet werden, die einem gesunden Menschenverstand entspricht. Und selbst wenn wir uns bei einer banalen Sache wie einer Küchenliste theoretisch stundenlang darüber streiten können, was denn nun die richtige Rechtsgrundlage für die Datenverarbeitung ist, halte ich diese Diskussion im Ergebnis für eine Verschwendung von Lebenszeit.

Wie so häufig, sind Herauforderungen im „Datenschutz“ vornehmlich Kommunikationsherausforderungen. Wenn ich also den Nutzen einer Küchenliste gut und geeignet mit den Betroffenen kommuniziere, wird die DSGVO hier regelmäßig gar nicht erst auf die Streit-Agenda gelangen. Also: Redet miteinander!

DSGVO im Agenturbereich

Gerade im sog. Agenturbereich, also z.B. bei Werbeagenturen, Digitalagenturen etc., ist die DSGVO dieses Jahr mit voller Härte eingeschlagen.

Denn die Agenturen haben extrem bemerkt, dass Kunden im Datenschutzbereich erstmals Anforderungen gestellt haben oder bestehende Anforderungen wesentlich verschärft haben.

Früher hatten die „Kreativen“ manchmal noch etwas Narrenfreiheit. Da wurde dann schon mal von einem Auftragsverarbeitungsvertrag abgesehen oder für andere Anforderungen eher „länger Leine“ gegeben. Das ist nun anders.

Allerdings hat sich auch der Agenturbereich über die letzten Jahre geändert. Vieles ist nicht einfach nur nur noch „kreativ“, sondern vieles ist digital. So ist z.B. der Betrieb von Newsletter-Services häufig an Agenturen ausgelagert. Und nicht nur im Hinblick auf Text und Kreation, sondern auch im Hinblick auf Segmentierung, „Conversion Rate Optimization“ und Analyse von Öffnungs- und Klickverhalten.

Was speziell im Bereich der Digitalagenturen gerade gängige Probleme und Anforderungen sind (insbesondere im E-Mail-Marketing) könnt ihr der nachfolgenden Aufzeichnung eines Webinars entnehmen:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Was ich an der DSGVO gut finde

Jetzt haben wir reichlich an der DSGVO herumgenörgelt. Und es ist jetzt auch im Podcast einmal Zeit, neben meinem persönlichen „Lowlight“ der DSGVO (Betroffenenrechte & Informationspflichten) auch mal auf die „Highlights“ – also die positiven Aspekte einzugehen.

Und da gibt es in der DSGVO auch einiges, das sehr positiv ist. Zum Beispiel finde ich, dass die Regelungen zur Datensicherheit im Vergleich zum „alten BDSG“ wesentlich besser sind.

Dazu mehr in dieser Podcast-Episode.

Digitaler Ablasshandel in Zeiten der DSGVO – Die (vermeintliche) Beschwerdestelle „Datasax“

Ich bekomme viele E-Mails mit Anfragen zum Datenschutz, Mandatsanfragen, Hinweise auf Berichte & Entwicklungen und…und…und…

Seit gestern habe ich einige E-Mails bekommen, mit denen besorgte Unternehmen mir nachfolgende E-Mail, die die E-Mail-Adresse „info@datasax.de“ als Absender ausweist, weitergeleitet haben, die ich hier mal zitiere:

DSGVO Beschwerdestelle (Anm. von mir: hier war dann die jeweilige Stadt eingefügt) | Meldung wegen Verletzung Datenschutz nach DSGVO

Sehr geehrte Damen und Herren,

wir möchten Sie in Kenntnis setzen, dass über die DSGVO Beschwerdestelle von einem ihrer direkten Mitbewerber eine Meldung wegen Verletzung Datenschutz nach DSGVO eingereicht wurde. Ab dem heutigen Tag haben Sie 21 Tage Zeit, um die Versäumnisse ohne Abmahnung oder Anzeige aus der Welt zu schaffen. Dazu können Sie die kostenlose Erstberatung im Rahmen der DSGVO Meditation nutzen.

Ganz gleich, ob Sie Ihre Datenschutzverstöße selbst abstellen oder sich Hilfe von Dritten holen, vermeiden Sie dadurch eine kostenpflichtige Abmahnung in Höhe von 700,- Euro und eine Anzeige beim Datenschutzbeauftragen der Stadt. Datenschutzverstöße müssen zwingend geahndet werden (Art. 83 DSGVO). Die DSGVO schreibt den Aufsichtsbehörden eindeutig vor, dass Geldbußen in jedem Einzelfall wirksam, abschreckend und verhältnismäßig sein müssen (max. Regelbußgeld 4 % des Umsatzes). Das muss nicht sein. Bitte stellen Sie umgehend die Rechtssicherheit hinsichtlich Datenschutz nach DSGVO her.

Ihre kostenlose Erstberatung im Rahmen der DSGVO Meditation

Das Mediationsgesetz ist der Artikel 1 des Gesetzes zur Förderung der Meditation und anderer Verfahren der außergerichtlichen Konfliktbeilegung in Deutschland. Es ist ein Bundesgesetz, das am 26. Juli 2012 in Kraft trat. Die kostenlose Erstberatung im Rahmen der DSGVO Meditation erfolgt als Telefonat und setzt kein zeitaufwendiges Treffen voraus.

Bitte teilen Sie uns einen konkreten Ansprechpartner und eine Telefonnummer mit, unter der Sie erreichbar sind.

Besten Dank im Voraus.

Mit freundlichen Grüßen

(Anmerkung von mir: Namen des Autors gelöscht)

DSGVO Beschwerdestelle & Meditation

Bundesweite Zentralstelle:
10319 Berlin | Sewanstraße 178
info@datasax.de

Ich habe das erst für einen Scherz gehalten.

Un ich musste dann tatsächlich lachen, als ich mir die Internetseite von „Datasax“ angesehen habe. Ja…so schlecht ist das gemacht. War ja klar, dass zum Zeitpunkt meines Besuchs die Seite selbst nicht den Anforderungen der DSGVO genügte. Aber das ist nicht wirklich das Problem.

Laut Impressum soll (das wurde aus dem Text nicht klar) diese Person hier Anbieter der Internetseite sein (Stand: 13.06.2018):

Den Inhaber der Domain „datasax.de“ kann ich über die WHOIS-Abfrage der DENIC auch nicht mehr einfach abfragen. Übrigens auch etwas, was wir der DSGVO zu verdanken haben und aus Anwaltssicht keinen Sinn macht.

Ich kann mir eigentlich nicht vorstellen, dass es die Person wirklich gibt. Vielleicht weiß sie auch gar nichts davon, dass hier Schindluder betrieben wird.

Ich vermute einfach mal, dass es sich bei dem Betreiber der Internetseite wahrscheinlich um so eine „Bude“ handelt, die hier im Internet mit „bemerkenswerten“ Geschäftsmodellen versucht, Umsatz zu generieren. So war (Stand: 13.06.2018) als inhaltlich Verantwortlicher dann jemand aus den USA angegeben:

Sehr vertrauenserweckend, nicht wahr?

Zustandekommen sollen diese Beschwerden angeblich über dieses Beschwerdeformular (wer’s glaubt, wird selig…):


Was habe ich gelacht. So ein Unfug! Und ich kann mir schwerlich vorstellen, dass hier wirklich reale Personen Beschwerden eingereicht haben, die dann von „Datasax“ als „Meldung“ über eine Beschwerde an Unternehmen weitergeleitet wurden.

Um es ganz offen zu formulieren: Meiner Meinung nach stinkt das hier gewaltig.

Diese E-Mails, die von „Datasax“ als Mitteilung über eine Beschwerde versendet werden, stellen in rechtlicher Hinsicht meiner Ansicht nach eine unverlangte Werbung i.S.d. § 7 UWG dar. Dort wird ohne Umschweife mit Dienstleistungen für eine „Beratung“ geworben. Dass diese kostenlos sein soll, ändert nichts daran, dass dies nach der Rechtsprechung eine mittelbare Absatzförderung und damit im Ergebnis „Werbung“ darstellt.

Hier drängt sich bei mir der Verdacht auf, dass diese vermeintliche Beschwerdestelle „Beschwerden“ vorgibt, um diese als Grund zu nutzen, ihren „Spam“ nicht als „Spam“ wirken zu lassen. Es bleibt aber „Spam“, nämlich unverlangte Werbung. Keine seriöse Institution würde so ein merkwürdiges Beschwerdeformular und dann solche E-Mails versenden. Daher wäre ja auch mal spannend, Auskunftsansprüche bzgl. der Herkunft der Daten geltend zu machen und durchzusetzen.

Unternehmen oder Personen, die diese E-Mail bekommen, können m.E. damit Unterlassungsansprüche gegenüber dem Absender geltend machen und die Abgabe einer strafbewehrten Unterlassungserklärung einfordern. Für den Fall, dass eine strafbewehrte Unterlassungserklärung nicht abgegeben wird, kann eine einstweilige Verfügung beantragt werden.

Ich würde hier allerdings nicht zu viel Hoffnung haben. Das Ganze sieht so sehr nach „merkwürdigem Geschäftsverhalten“ aus, dass die einstweilige Verfügung vielleicht nicht mal zugestellt werden könnte, weil die Person unter der Adresse gar nicht anzutreffen ist. Vielleicht kann mal jemand nachschauen?

Vielleicht wissen die Damen und Herren von „Datasax“ auch gar nicht, was da gerade passiert? Ich vermute, es gibt sie gar nicht. Aber das ist ja nur meine kleine persönliche Auffassung.

Darüber hinaus wird über die Internetseite in Verbindung mit den E-Mails der Eindruck generiert, dass hier Rechtsberatung (kostenlos dazu) angeboten wird. Da drängen sich bei mir schon Zweifel an der Einhaltung der Vorgaben des Rechtsdienstleistungsgesetzes (RDG) auf. Denn ich sehe nicht, dass hier eine Befugnis zur Erbringung außergerichtlicher Rechtsdienstleistungen i.S.d. RDG besteht. Aber vielleicht übersehe ich ja auch etwas…(eher nicht).

Fazit: Ich halte diese E-Mails von „Datasax“ über vermeintliche DSGVO-Beschwerden für merkwürdig und rechtswidrig dazu. Sie können und sollten m.E. ignoriert werden.

Wer sich aber unbedingt abreagieren möchte und Lust und Zeit hat, kann überlegen, ob eine Abmahnung gegenüber Datasax ausgesprochen werden kann. Wird aber wohl eher ins Leere gehen, da ich davon ausgehe, dass es dieses „Unternehmen“ gar nicht gibt, sondern vielmehr Daten abgefangen werden sollen.

Für die Unternehmen, die als Einzelgewerbetreibende oder Personengesellschaften agieren, könnte natürlich auch überlegt werden, ob man mal einen Auskunftsanspruch bei Datasax geltend macht.

Da könnte man z.B. Folgendes schreiben:

Sehr geehrte Damen und Herren,

unter Bezugnahme auf Ihre E-Mail, mit der Sie u.a. Beratungsleistungen bewerben, bitte ich Sie zunächst um Nachweis meiner insoweit nach § 7 Abs. 2 Nr. 3 UWG erforderlichen Einwilligung.

Ferner bitte ich Sie nach Art. 15 DSGVO um Auskunft über alle in Art. 15 Abs. 1 DSGVO genannten Punkte. Insbesondere verlange ich nach Art. 15 Abs. 1 lit. g) DSGVO Auskunft über alle verfügbaren Informationen über die Herkunft der Daten.

Nach Art. 12 Abs. 3 DSGVO sind die Auskünfte unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Da Sie sich aber nach eigenen Angaben im Bereich der DSGVO auskennen, gehe ich davon aus, dass Ihnen dies bekannt ist.
Sollte diese Frist erfolglos verstreichen, werde ich mich bei einer Aufsichtsbehörde für den Datenschutz entsprechend beschweren.

Für den Nachweis der o.a. Einwilligung zur Zusendung von E-Mails mit Werbung setzte ich Ihnen eine Frist von 7 Tagen ab Zugang dieses Schreibens. Sollte diese Frist erfolglos verstreichen, gehe ich davon aus, dass die erforderliche Einwilligung nicht vorliegt und die Angelegenheit an meine Anwaltskanzlei übergeben.

Mit freundlichen Grüßen

Bei der u.a. Frist von sieben Tagen macht es übrigens Sinn, das Datum konkret zu benennen, also „…eine Frist zum xx.xx.xxxx“ (Datum einsetzen) zu schreiben. Also ändert das dann ggf. entsprechend.

Empfehlung: Mir persönlich wäre die Zeit für diese Leute zu schade. Handlungsbedarf zur Vermeidung von rechtlichen Nachteilen gibt es jedenfalls nicht.

Wirklich schade, dass jetzt doch einige merkwürdige Ideen zum digitalen Ablasshandel nach DSGVO kursieren. Diese hier von „Datasax“ ist allerdings meiner Meinung nach so schlecht, dass es auffallen muss.

Die ersten DSGVO-Abmahnungen sind da

Heute berichtet die Presse über erste Abmahnungen wegen fehlerhafter bzw. nicht vorhandener Datenschutzhinweise auf Internetseiten. Die Abmahnungen werden auf Verstöße gegen die DSGVO gestützt.

Ob nun Abmahnungen als Verstoß gegen das UWG durch Mitbewerber überhaupt abmahnbar sind oder nicht, ist stark umstritten. Einen guten Überblick zur Meinungslage gibt es bei hier.

Mir selbst wurden heute auch direkt Informationen zu Abmahnungen zugespielt, die bei Unternehmen eingegangen sind. Grundsätzlich geht es bei den mir aktuell vorliegenden Informationen um folgende Konstellationen:

  • Keine Datenschutzhinweise auf der Internetseite vorhanden
  • Verwendung von persistenten Cookies ohne Einwilligung
  • Verwendung von Google Webfonts ohne Einwilligung

Ein Hinweis vorab: Ich selbst übernehme keine Mandate bzgl. einer Abmahnung von fehlerhaften Datenschutzhinweisen auf Internetseiten oder bzgl. der Verteidigung gegen diese Art von Abmahnungen.

Meine 2 Cents zu dem Thema und einen kleinen Einstieg in die Problematik, ob Abmahnungen wegen DSGVO-Verstößen nun wettbewerbsrechtlich abmahnbar sind oder nicht, könnt ihr in dieser Podcast-Episode hören.

Videorezension: Moos, Datenschutz- und Datennutzungsverträge

Ich habe in Anbetracht des bevorstehenden Datums (25.05.2018 – Tag der DSGVO) nur wenig Zeit und kann auch keinerlei neue Anfragen derzeit beantworten.

Vielen von euch hilft gerade jetzt aber vielleicht ein Buch mit Vertragsmustern, die bei den erforderlichen Anpassungen an die DSGVO helfen können. Dazu ein kurzes Video von mir:


Informationen zu dem Buch bekommt ihr beim Verlag.

Webinaraufzeichnung: Datenschutz bei Internetseiten

Heute fand das Webinar „Datenschutz bei Internetseiten“ statt. Die gut 90-minütige Aufzeichnung können Datenschutz-Coaching-Mitglieder hier noch einmal anschauen:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Braucht mein Kontaktformular jetzt eine Checkbox?

Ob ihr es glaubt oder nicht. Ich bekomme diese Frage jede Woche gestellt. Und ich kann sie nicht mehr hören. Wie so viele Fragen, die immer wieder gestellt werden, weil irgendwelche „Experten“ da draußen sich zu den vermeintlichen Anforderungen der DSGVO räuspern.

Ich konnte mich hier zu später Stunde nicht mehr zusammenreißen und habe daher einen etwas genervt-bösen Podcast aufgenommen. Zu einem Thema, das mir – wie einige andere – derzeit ganz schön auf den Keks geht.

Aber hört selbst…

Die DSGVO in der medizinischen Versorgung (Workshop-Aufzeichnung Teil 1)

Ich habe dieses Jahr einen Workshop zur DSGVO für Dienstleister im Bereich der medizinischen Versorgung abgehalten. Der Workshop ist von mir aufgezeichnet worden. Teile des Workshops werde ich hier in …

Die DSGVO in der medizinischen Versorgung (Workshop-Aufzeichnung Teil 1) Weiterlesen »

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Erleichterung bei kleineren Arztpraxen? Doch kein Datenschutzbeauftragter erforderlich?

Ich habe im August letzten Jahres einen Beitrag geschrieben, der sich mit der Pflicht von Arztpraxen beschäftigt, ggf. einen Datenschutzbeauftragten bestellen zu müssen.

Wichtig: Die Aufsichtsbehörden haben nun in einer Entschließung klargestellt, dass nicht immer ein Datenschutzbeauftragter in Arztpraxen zu benennen ist. Dazu habe ich hier einen Beitrag geschrieben.

Auch wenn ich in dem Beitrag zu dem Ergebnis komme, dass viele Arztpraxen wohl einen Datenschutzbeauftragten benennen müssen, bin ich rechtspolitisch nicht der Auffassung, dass dies wirklich erforderlich ist. Nach über 15 Jahren Anwaltspraxis im Datenschutzrecht kann ich recht sicher sagen, dass die alleinige Benennung eines Datenschutzbeauftragten durch eine Arztpraxis nicht automatisch dazu führt, dass die Verarbeitung von personenbezogenen Daten in einer Arztpraxis dadurch im Hinblick auf das Datenschutzrecht besser wird. Natürlich auch nicht schlechter.

Letztlich kommt es darauf an, ob die Arztpraxis Veränderungen möchte und diese ggf. auch für sinnvoll hält. Datenschutz, der in einer Reihe von Aufbürdungen besteht, war bei der Umsetzung im gewerblichen oder freiberuflichen Bereich grundsätzlich noch nie nachhaltig erfolgreich. Ausgenommen sind die Bereiche die extrem stark reguliert sind und in denen durch strikteren Datenschutz im Ergebnis „Erleichterungen“ geschaffen werden. Aber das ist nochmal ein ganz anderes Thema.

Viele Arztpraxen wird es freuen, dass sich vor kurzem nun eine Aufsichtsbehörde zu dem Thema „Datenschutzbeauftragter oder nicht“ mal klar positioniert hat (weitere sind gefolgt, s.u.)

Und zwar – mal wieder – das Bayerische Landesamt für Datenschutzaufsicht (BayLDA). Das BayLDA hat übrigens eine wirklich gelungene und extrem hilfreiche Internetseite zur Umsetzung der DSGVO mit Handreichungen für kleine Unternehmen und Vereine veröffentlicht. Ich kann sagen, dass die Seite zu dem Besten gehört, was ich für den Bereich bislang gesehen habe. Wirklich eine Empfehlung!

In diesen „Handreichungen“ gibt es aber nicht nur Hinweise für Vereine, KfZ-Werkstätten, Bäckereien, Beherbungsbetriebe u.ä., sondern eben auch für Arztpraxen. Für Arztpraxen gibt es dann z.B. auch ein Muster für ein „Verarbeitungsverzeichnis“, in dem typische Verarbeitungen in einer Arzpraxis aufgeführt (PDF). Dieses wäre dann zwar noch zu ergänzen, aber das ist schon einmal eine extrem hilfreiche Unterstützung.

Im Hinblick auf eine etwaige Pflicht zur Benennung eines Datenschutzbeauftragten in der Arztpraxis und auch zu einer etwaigen Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung (DSFA) ist dann das Dokument des BayLDA zu „Anforderungen der Datenschutz-Grundverordnung (DS-GVO) an kleine Unternehmen, Vereine, etc. – Muster 5: Arztpraxis“ (PDF) sehr interessant.

Da werden die Anforderungen für die Umsetzung der DSGVO anhand eines Beispiels einer Arztpraxis mal durchgespielt. Dabei wird fiktiv folgendes Szenario einer Arztpraxis angenommen:

Ein Arzt hat eine Hausarztpraxis auf dem Land mit fünf Sprechstundenhilfen/MFAs, einer Putzkraft und einem Sicher- stellungsassistenten. Die Arztpraxis betreibt eine kleine Webseite mit Hilfe eines Content Management Systems, auf dem online Termine angefragt werden können. Ein externer Dienstleister betreut die Webseite und die Praxis-IT. Die Datenverarbeitung bezüglich der Patientendaten erfolgt auf eigenen Computern und Servern innerhalb der Praxis.
Wesentliche Verarbeitungstätigkeiten sind z. B.:

  • Lohn- und Gehaltsabrechnung der Mitarbeiter
  • Verarbeitung von Patientendaten zur Behandlung
  • Verarbeitung von Patientendaten zur Abrechnung über die KVB bzw. PVS
  • Betrieb der Webseite mit der Online-Terminbuchungsmöglichkeit

Und dann werden einzelne Fragen beantwortet. So z.B. gleich die erste Frage:

A Datenschutzbeauftragter (DSB)
Muss ein DSB vom Arzt benannt werden?

Und die Antwort des BayLDA darauf? Nein.

Das hat mich in der Klarheit überrascht und auch erfreut. Begründet wird dies vom BayLDA wie folgt:

In der Arztpraxis findet in aller Regel keine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten statt, die zu einer Benennungspflicht führt. Es ist daher ein DSB nur zu benennen, wenn mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. „Ständig beschäftigt“ ist z. B. die Sprechstundenhilfe. „Nicht ständig beschäftigt“ ist dagegen bspw., wer als Putzkraft theoretisch Daten zur Kenntnis nehmen kann.

Diese Auffassung scheint sich übrigens durchzusetzen. Denn jetzt hat am 10.04.2018 auch das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) einen ebenfalls sehr hilfreichen Artikel mit dem Titel „Die Datenschutz-Grundverordnung tritt in Kraft – das müssen selbständige Heilberufler beachten“ veröffentlicht. Auch dort geht es – neben anderen Themen – auch um die Frage, ob ein betrieblicher Datenschutzbeauftragter in Arztpraxen benannt werden muss. Sehr interessant. Denn das ULD geht hier ebenfalls einen pragmatischen Weg und kommt zu folgenden Schlüssen:

Nach § 38 Bundesdatenschutzgesetz (BDSG) ist ein betrieblicher Datenschutzbeauftragter (DSB) in jedem Fall dann zu bestellen, wenn in der Arztpraxis, Apotheke etc. in der Regel mindestens zehn Personen ständig, d.h. nicht nur gelegentlich, mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Das ist natürlich klar. Umstritten ist aber, ob nun der bzw. die Inhaber der Arztpraxis auch mitzählen. Das ULD gibt zu der Frage, wer nun „mitzählt“, diese Aspekte an:

In einer Arztpraxis zählen zu diesen Personen zunächst die Ärzte selbst, da sie im Hinblick auf ihre Dokumentationspflicht medizinische Daten über die Betroffenen zu verarbeiten haben. Zu den mit der automatisierten Verarbeitung befassten Personen gehört auch medizinisches Hilfspersonal, soweit es die Daten der Patienten verarbeitet. Dies gilt z.B. für Arzthelfer etc., die Laborwerte, Ergebnisse von Tests etc. oder auch Termine in das Praxissystem eingeben. Mitzuzählen sind auch Verwaltungskräfte, die die Abrechnung organisieren oder Daten über die Mitarbeiter der Praxis pflegen. Nicht mitzuzählen sind dagegen z.B. Reinigungskräfte, die normalerweise keinen Zugriff auf die Daten haben.

Die wohl h.M.1 in der rechtswissenschaftlichen Literatur geht davon aus, dass die vertretungsberechtigten Personen einer Organisation, also z.B. Geschäftsführer einer GmbH, Vorstandsmitglieder einer Aktiengesellschaft oder eben der Inhaber einer Arztpraxis oder Gesellschafter einer Arztpraxis GbR nicht mitzählt. Denn diese Personen sind eben nicht „beschäftigt“, sondern „beschäftigend“. Ich halte diese Auffassung für korrekt. Zumal der deutsche Gesetzgeber diesen Streit mit einer Änderung des § 38 BDSG n.F. hätte beenden können, indem er sich von dem Wort „beschäftigt“ gelöst und stattdessen z.B. den Begriff „befasst“ verwendet hätte. Das hat er jedoch nicht getan. Da der Begriff des „Beschäftigten“ auch in § 26 Abs. 8 BDSG n.F. weiterhin legaldefiniert ist, ist er auch bei der Auslegung der Benennungspflicht in § 38 BDSG n.F. heranzuziehen. Dort steht aber, dass Verantwortliche einen Datenschutzbeauftragte benennen, wenn sie „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“. Mit dem Wortlaut ist nicht vereinbar, dass der „Verantwortliche“ selbst mitzählt.

Es ist also mitnichten „jeder Arzt“ mitzuzählen. In die Zählung dürfen richtigerweise nur die Ärzte einbezogen werden, die von der Arztpraxis „beschäftigt“ sind. Das sind eben nicht die Inhaber der Arztpraxis.

Unabhängig von der Anzahl der Beschäftigten wäre nach Art. 37 DSGVO aber ein Datenschutzbeauftragter auch dann zu bestellen, wenn zur Kerntätigkeit der Praxis die umfangreiche Verarbeitung von Gesundheitsdaten zählen würde. Und hier positioniert sich nun auch das ULD wie folgt:

Zwar wird man im Hinblick auf die Bedeutung der Dokumentation und der Verwaltung von Patientendaten davon ausgehen können, dass die Verarbeitung solcher Daten zur Kerntätigkeit in Arztpraxen, Apotheken etc. gehört. Allerdings wird in den allermeisten Fällen nicht von einer Verarbeitung in großem Maßstab auszugehen sein.

Etwas anderes gilt nur in besonders gelagerten Fällen, in denen der Umfang der Verarbeitung von Gesundheitsdaten (oder anderen sensiblen Daten wie z.B. genetischen Daten) weit über das hinausgeht, was in einer üblichen Arztpraxis anzutreffen ist.

Ich bin gespannt, ob sich dem auch weitere Aufsichtsbehörden anschließen werden. Eine Tendenz scheint auf jeden Fall in Ansätzen erkennbar.

Die Arztpraxen dürfen also ggf. „aufatmen“. Und ich persönlich finde die hier beschriebenen Stellungnahmen von BayLDA und ULD zu dem Thema erfreulich pragmatisch. Rechtlich habe ich so meine Zweifel, ob das wirklich korrekt ist. Aber rechtspolitisch halte ich die Auffassung für praxisgerecht und richtig.

  1. Vgl. Moos, in: BeckOK Datenschutzrecht, Wolff/Brink, 23. Edition, Stand: 01.05.2015, § 4f BDSG Rn. 11; von dem Bussche, in: Plath, BDSG/DSGVO, 2. Auflage, 2016, § 4f BDSG Rn. 8; Raum, in: Auernhammer, DSGVO/BDSG, 5. Auflage, 2017, § 4f BDSG Rn. 50; a.A. Scheja, in: Taeger/Gabel, BDSG, 2. Auflage, 2013, § 4f Rn. 19

Webinaraufzeichnung: Umsetzung der DSGVO mit der GM-Methode

Schon bevor die DSGVO im Amtsblatt der Europäischen Union veröffentlicht wurde, habe ich mit den ersten DSGVO-Implementierungsprojekten begonnen. Warum? Für einige Mandanten von mir bedeutete die DSGVO gravierende Umwälzungen im Geschäftsmodell. Diese waren frühzeitig zu bedenken und umzusetzen.

Zudem habe ich einige größere Unternehmen mit sehr vielen Geschäftsprozessen bei der Implementierung der DSGVO frühzeitig unterstützt. Diese Unternehmen hatten richtigerweise erkannt, dass eine Änderung von Geschäftsprozessen erforderlich wird und dies unmittelbare und mittelbare Auswirkungen auf andere Prozesse im Unternehmen haben wird.

Wie dem auch sei. Seit 2015 habe ich etliche DSGVO-Projekte begleitet. Und viele, ja sehr viele sind gescheitert. Und ich finde das nicht schlimm. Im Gegenteil. Ich sehe das wie Thomas Edison, der nach nach angeblich 1.000 Fehlversuchen, eine Glühbirne zu bauen, gesagt haben soll:

Ich bin nicht gescheitert. Ich kenne jetzt 1 000 Wege, wie man keine Glühbirne baut.

Und genauso sehe ich das auch. Ein DSGVO-Projekt gegen die Wand fahren zu sehen, kann schmerzhaft sein. Für die Mandanten. Als Anwalt hat man dann vielleicht eher die Ruhe und Besonnenheit, das nicht als Scheitern, sondern hilfreiches Feedback zu sehen.

Und so wie Thomas Edison kann ich heute sagen:

Ich kenne eine Vielzahl von Wegen, wie die DSGVO nicht erfolgreich implementiert werden kann.

Und jeder von euch, der schon einige Datenschutz-Projekte hinter sich hat, wird wahrscheinlich auch schon zu Beginn eines solchen Projekts, das Gespür dafür haben, ob das Projekt „rocken“ wird oder ob es so eine Art „es-knirscht-überall“-Projekt wird. Also ein Projekt, das einfach nicht rund laufen wird. Das kann am Ansatz des Projekts, an den Methoden oder einfach an den Leuten liegen. Die Gründe können vielschichtig sein.

Wie setzen Unternehmen denn heute sinnvoll die DSGVO um? Da gibt es natürlich verschiedene Wege. Wahrscheinlich alle Wege werden eine Art eines irgendwie gestalteten Datenschutzmanagements beinhalten. Die Basis kann z.B. ein ISMS auf Basis von ISO 27001 ein, das man um „Datenschutz“ aufbohrt. Oder man geht gleich in Richtung ISO 29151. Vielleicht mag man es auch lieber etwas übersichtlicher und probiert sich an VdS 10010. Oder darf es etwas Standard-Datenschutzmodell (SDM) sein?

Nach über 15 Jahren Erfahrung im praktischen Datenschutz und Datenschutzrecht erlaube ich mir ein Urteil darüber, was in der Praxis funktioniert und was nicht. Ich habe die Weisheit sicher nicht mit Löffeln gegessen. Aber ich fühle mich im Gegensatz zu manchen Datenschutzrechtlern, die nur über Bücher und Aufsätzen den Datenschutz erleben (nicht negativ gemeint, auch wissenschaftliche Arbeit ist für die Weiterentwicklung des Datenschutzes sehr wichtig), manchmal eher als Handwerker. Und ich spreche sozusagen aus der Praxis.

Im Englischen gibt es einen sehr schönen Begriff, der ganz zu meiner Überzeugung von meiner Umsetzung von Datenschutzrecht passt: Craftsmanship – das ist frei übersetzt „Handwerkskunst“. Und das passt auch zu einer Art von Handwerkerehre. Und die habe ich auch als Datenschutzrechtler und -praktiker. Mein Modell von „Craftsmanship“ im Datenschutzrecht basiert auch darauf, auf Dinge zu setzen, die sich in der Praxis bewährt haben. Es bringt in der Praxis nichts, einen noch so schön gedachten Ansatz aus der Datenschutztheorie anzuwenden, wenn sich bei der Umsetzung in der Praxis zeigt, dass es einfach nicht funktioniert.

Ich mache es in der Praxis eben eher wie ein Handwerker. Ich habe mich mit verschiedenen Methoden befasst, probiert diese umzusetzen und bin damit gescheitert. Weil etwas nicht funktionierte. Dieses Feedback („Scheitern“) nehme ich aber gerne mit, denn daraus lerne ich am meisten. Und nach vielem Probieren nehme ich mir dann die Dinge, die ich aus verschiedenen Methoden gelernt habe, und kombiniere diese miteinander. Frei nach dem Motto „Take the best of everything“. Und das hat nichts mit besonderen Fähigkeiten zu tun, sondern es ist etwas, was die meisten von uns anwenden können, nämlich: Gesunder Menschenverstand

Da „Umsetzung der DSGVO mit gesundem Menschenverstand“ sich etwas bescheuert anhört, heißt es bei mir eben „Umsetzung der DSGVO mit der GM-Methode“, wobei „GM“ eben für das steht, was es ist: „Gesunder Menschenverstand“.

Die GM-Methode hat bei mir Tradition. Jahrelang war der beliebteste Beitrag auf diesen Internetseiten der Beitrag „So erstellen Sie ein IT-Sicherheitskonzept (Teil 2) – Die „GM“-Methode“. Der Beitrag ist mittlerweile allerdings hoffnungslos veraltet.

Nun aber zum eigentlichen Thema dieses Beitrages. Wie eine „Umsetzung der DSGVO mit der GM-Methode“ aussieht, könnt ihr dieser Webinaraufzeichnung entnehmen:


Wie ihr an Stimme (und Husten) merkt, bin ich gesundheitlich noch nicht ganz fit.

Die Präsentationsfolien könnt ihr hier (PDF) herunterladen.

Das in dem Webinar angesprochene Muster eines Datenschutzhandbuchs wird in Kürze für Datenschutz-Coaching-Mitglieder und Teilnehmer des Online-Kurses für Datenschutzbeauftragte zum Download zur Verfügung stehen. Gleiches gilt für die Muster-TOMs und das Muster-Verarbeitungsverzeichnis. Ihr werdet darüber dann gesondert informiert werden.